令和8年度医療機関診療情報サイバーセキュリティ対策支援事業
基本情報
この補助金のまとめ
この補助金の特徴
補助基準額が施設規模で5段階
本事業の最大の特徴は、施設規模に応じて補助基準額が5段階に細分化されている点です。500床以上の大規模病院は3,500万円、200-500床未満は1,250万円、200床未満は500万円、有床診療所は437.5万円、無床診療所は375万円と、施設の情報資産規模に応じた現実的な設計になっています。500床以上の大規模病院に最大3,500万円という大型補助が用意されている点が突出しています。
補助率は一律1/2
102902/102903が病床規模で補助率を分岐させている(200床未満は3/4)のに対し、本事業の補助率は施設規模に関わらず一律1/2です。基準額が施設規模で大きく異なるため、補助率を一定にすることでバランスを取る設計です。500床以上なら基準額3,500万円×1/2=最大1,750万円、200床未満の病院なら基準額500万円×1/2=最大250万円が補助上限の目安となります。
病院・診療所が広く対象
対象は病院(病床規模3区分)と診療所(有床/無床)で、医科診療所も含めて医療機関全般が対象になります。歯科診療所の取扱いは要綱第2を要確認ですが、医療情報を扱う全ての医療機関がセキュリティ強化の対象として想定されています。
ランサムウェア対策が背景
2022年以降、徳島県つるぎ町立半田病院、大阪急性期・総合医療センター等、医療機関を狙ったランサムウェア攻撃が多発しています。本事業はこの社会的課題への東京都の対応で、特にバックアップシステム・EDR(エンドポイント検知応答)・ネットワーク分離等のランサムウェア対策が中核的な補助対象になります。
電子カルテ導入と同時整備が王道
102902(電子カルテ整備)の対象経費にもセキュリティ機器が一部含まれますが、より高度・大規模なセキュリティ対策は本事業で別建て申請するのが定石です。同一経費の重複申請はNGですが、経費区分を分けて両事業を組み合わせる設計が効率的です。
ポイント
対象者・申請資格
対象事業者
- 東京都内に所在する病院(病床規模3区分)
- 東京都内に所在する有床診療所(19床以下)
- 東京都内に所在する無床診療所
補助基準額(施設規模別)
- 500床以上の病院:35,000千円(3,500万円)
- 200床以上500床未満の病院:12,500千円(1,250万円)
- 200床未満の病院:5,000千円(500万円)
- 有床診療所:4,375千円(437.5万円)
- 無床診療所:3,750千円(375万円)
補助率
- 全施設一律:補助率1/2
対象事業
- ファイアウォール・UTM・IDS/IPS等のネットワークセキュリティ機器導入
- EDR(エンドポイント検知応答)・アンチウイルスソフト導入
- バックアップシステム(オフライン・イミュータブルバックアップ等)構築
- SIEM・セキュリティ監視サービス導入
- 脆弱性診断・ペネトレーションテスト実施
- 電子カルテとオフィス系のネットワーク分離
- サイバーセキュリティ研修(一部、人材育成は102904との切り分け)
対象外
- 国・地方公共団体・独立行政法人等が直接運営する医療機関
- 暴排条例関連の除外対象
- 通常のIT機器更新(セキュリティ強化と無関係なもの)
併用上の留意点
- 102902の電子カルテ本体導入経費の一部にあるセキュリティ機器とは経費を切り分けて申請
- 国の医療機関サイバーセキュリティ補助金との重複NG
ポイント
あなたは対象?かんたん診断
8問の質問に答えるだけで、この補助金の対象かどうかを簡易診断できます。
申請ガイド
ステップ1:自院のセキュリティ現状診断
本事業を最大活用するには、まず自院のセキュリティ現状を把握する必要があります。電子カルテのネットワーク構成、バックアップ体制、エンドポイント保護、職員の権限管理などをチェックリスト化し、不足している領域を洗い出してください。可能であれば外部の脆弱性診断を事前実施するとセキュリティ投資の優先順位が明確になります。
ステップ2:施設規模別の基準額確認
自院の病床規模(500床以上/200-500床未満/200床未満/有床診療所/無床診療所)から補助基準額を特定します。500床以上なら3,500万円、200-500床未満なら1,250万円といった具合です。基準額の1/2が補助上限の目安です。
ステップ3:セキュリティ対策計画と見積取得
優先度の高いセキュリティ対策(バックアップ強化、EDR導入、ネットワーク分離、脆弱性診断等)について複数ベンダーから見積を取得します。医療業界向けのセキュリティ実績があるベンダーを選定し、医療情報システム安全管理ガイドライン(厚労省)への準拠性も確認してください。
ステップ4:jGrants申請準備
GビズIDプライムを取得済みの医療機関はjGrantsから申請します。事業計画書には『現状の課題』『対策内容』『期待される効果』『医療情報システム安全管理ガイドラインとの整合性』を具体的に記載してください。締切は令和8年9月11日と本系列の中では短めなため、6-7月に申請完了するのが現実的です。
ステップ5:交付決定後に発注・実施
交付決定通知の受領後にベンダーと契約を締結します。セキュリティ機器・サービスの導入には設計・構築・テスト・運用引継で3-6ヶ月を要するため、年度末(2027年3月)までに稼働確認が必要です。実績報告では納品書、検収書、稼働確認書類、セキュリティ強化前後の比較資料等を提出します。
ポイント
審査と成功のコツ
医療情報システム安全管理ガイドラインとの整合性
ランサムウェア対策の3層防御を提案
バックアップ強化を最優先で
施設規模の証拠資料を早期準備
医療業界実績のあるセキュリティベンダーを選ぶ
ポイント
対象経費
対象となる経費
ネットワークセキュリティ機器(4件)
- ファイアウォール・UTM(統合脅威管理)機器導入費
- IDS/IPS(不正侵入検知・防御)システム導入費
- ネットワーク分離用機器・VLAN構築費
- VPN機器・リモートアクセスセキュリティ強化
エンドポイント保護(3件)
- EDR(エンドポイント検知応答)ソフトウェア導入費
- アンチウイルス・アンチマルウェアソフト導入費
- デバイス管理・資産管理ツール導入費
バックアップ・復旧体制(4件)
- オフラインバックアップシステム構築費
- イミュータブルバックアップストレージ導入費
- 災害復旧(DR)サイト構築費
- データ復旧手順策定・訓練費
脆弱性診断・監視サービス(4件)
- 脆弱性診断・ペネトレーションテスト実施費
- SIEM(セキュリティ情報イベント管理)導入費
- SOC(セキュリティオペレーションセンター)監視サービス費
- セキュリティ監査・コンサル費用
対象外の経費
対象外の経費一覧(6件)
- セキュリティ強化と無関係な通常のIT機器更新
- 医療業務と無関係なオフィスソフト・業務ソフト
- セキュリティ運用後の継続的な監視サービス費(補助対象期間外)
- 職員の人件費(既存職員の通常業務分)
- 交付決定前に契約・発注したセキュリティ機器・サービス
- 他の補助金で既に補助対象となっているセキュリティ経費
よくある質問
Q500床以上の大規模病院ですが、本当に3,500万円の基準額が適用されますか?
はい、補助基準額は5段階で設定されており、500床以上の病院は基準額3,500万円・補助率1/2で最大1,750万円の補助が受けられます。これは医療系補助金の中でも大型の部類で、EDR・SIEM・SOC監視・バックアップ強化などの本格的なセキュリティ基盤構築に対応できる規模感です。基準額の根拠は病床数のため、医療機関指定通知書等で500床以上を証明する書類が申請時に必須です。
Q電子カルテの整備補助(102902)にもセキュリティ機器が含まれますが、本事業との違いは?
102902(電子カルテ整備)は電子カルテ本体導入に付随する基本的なセキュリティ機器(最低限のファイアウォール等)が対象に含まれる一方、本事業(102905)はEDR、SIEM、SOC監視、ネットワーク分離、脆弱性診断などの本格的なセキュリティ強化が対象です。同一経費の重複申請はNGですが、経費区分を分ければ両事業を併用できます。本体システムに付随する基本セキュリティは102902、本格的な強化策は本事業と切り分けるのが定石です。
Q脆弱性診断やペネトレーションテストも対象になりますか?
はい、対象です。脆弱性診断、ペネトレーションテスト、セキュリティ監査などのサービス費用も補助対象に含まれます。診断結果に基づいて改善対策を実施する流れで活用するのが効果的で、診断・対策・再診断を一連の事業として申請できます。診断のみで対策を伴わない場合は採択評価で不利になる可能性があるため、診断と対策実装をセットで計画してください。
Qクラウド型のセキュリティサービスも対象ですか?
原則として導入時の費用(初期構築費、設定費)は対象になりますが、月額利用料の継続課金分は補助対象期間内のみが対象になる可能性が高いです。詳細は交付要綱で確認してください。SOC監視サービスやSIEMクラウドサービスは医療機関でも一般的になっており、医療業界実績のあるベンダーを選定すれば採択評価で問題になりにくいです。
Qバックアップシステムの強化は補助対象になりますか?
はい、本事業の中核的な補助対象です。ランサムウェア被害でバックアップが暗号化されて復旧不能になった事例が多発しており、オフラインバックアップ(テープ・取り外し可能ストレージ)、イミュータブルバックアップ(書き換え不可ストレージ)、災害復旧(DR)サイト構築などへの投資は採択評価が高く、実効性も確実です。事業計画書で『ランサムウェア対策としてのバックアップ強化』を明記してください。
Q無床診療所でも申請できますか?
はい、無床診療所も対象で、補助基準額は3,750千円(375万円)です。補助率1/2を適用すると最大187.5万円の補助が受けられます。診療所は小規模ながら患者の個人情報・診療記録を扱うため、サイバーセキュリティ対策は必須です。本事業を活用してファイアウォール、EDR、バックアップ強化などの基盤整備を進めてください。
Q歯科診療所も対象になりますか?
要綱の文言上は『病院及び医科診療所』が中心の対象とされており、歯科診療所の取扱いは要綱第2の詳細規定で確認が必要です。歯科診療所が申請を検討する場合は東京都保健医療局医療政策課(03-5320-4448)に事前確認することを推奨します。歯科でも電子カルテやレセコンを使用していればサイバーセキュリティ対策は重要なため、相談する価値があります。
Q他の補助金・助成金と併用できますか?
本事業(102905・サイバーセキュリティ)は、東京都の医療DXパッケージの中で『守り』を担う補助金です。電子カルテシステム本体(102902)にもセキュリティ機器の一部は含まれますが、より高度・大規模なセキュリティ対策(EDR、SIEM、SOC監視、ネットワーク分離等)は本事業で別建て申請するのが定石です。経費区分が重ならないよう、本体システムに付随する基本的なセキュリティ機器は102902、本格的なセキュリティ強化(EDR、SOC、脆弱性診断等)は本事業(102905)と切り分けてください。コンサル活用(102903)でセキュリティ対策の要件定義を行い、本事業(102905)で機器・サービス導入、人材育成(102904)でセキュリティ研修受講、という4本立ての設計が東京都医療DXパッケージの王道です。一方、国の医療機関サイバーセキュリティ強化補助金や厚労省所管の医療DX関連補助金で同じセキュリティ機器を補助対象としている場合は重複NGとなります。経費の二重計上は厳禁のため、見積段階から経費を分割し、どの補助金にどの経費を申請するか事前に設計してください。
詳細説明
制度の位置づけ
令和8年度医療機関診療情報サイバーセキュリティ対策支援事業(102905)は、東京都保健医療局が展開する医療DXパッケージのうち、『守り』のセキュリティ基盤強化に特化した補助金です。電子カルテのランサムウェア被害が全国で多発する中、医療機関の情報セキュリティ投資を補助率1/2で後押しします。
補助内容と上限額 — 5段階の基準額
本事業の最大の特徴は、施設規模に応じて補助基準額が5段階に細分化されている点です。
- 500床以上の病院:35,000千円(3,500万円)
- 200床以上500床未満の病院:12,500千円(1,250万円)
- 200床未満の病院:5,000千円(500万円)
- 有床診療所:4,375千円(437.5万円)
- 無床診療所:3,750千円(375万円)
補助率は施設規模に関わらず一律1/2です。500床以上なら最大1,750万円(基準額の半額)、200床未満の病院なら最大250万円が補助上限の目安となります。
対象となるセキュリティ対策
医療情報システムの安全性を担保する幅広いセキュリティ機器・ソフト・サービスが対象です。
- ネットワークセキュリティ:ファイアウォール、UTM、IDS/IPS、ネットワーク分離
- エンドポイント保護:EDR、アンチウイルス、デバイス管理
- バックアップ・復旧:オフラインバックアップ、イミュータブルストレージ、DRサイト
- 脆弱性診断・監視:SIEM、SOC監視、ペネトレーションテスト
ランサムウェア対策が背景
2022年以降、徳島県つるぎ町立半田病院、大阪急性期・総合医療センター等、医療機関を狙ったランサムウェア攻撃が多発しています。これらの事例ではバックアップが暗号化されて復旧不能になり、診療停止が長期化したケースが多く、本事業ではバックアップ強化・ネットワーク分離・EDR導入が中核的な対策として想定されています。
申請スケジュールと注意点
申請受付期間は2026年4月14日から9月11日までで、本系列の中では中間的な短さです。セキュリティ機器・サービスの導入には設計・構築・テスト・運用引継で3-6ヶ月を要するため、6-7月に申請完了するのが現実的です。交付決定前に契約した経費は対象外のため、ベンダーとは『交付決定後に契約締結』を事前合意しておいてください。
採択を確実にするコツ
採択評価のポイントは『医療情報システム安全管理ガイドライン(厚労省)への準拠』と『ランサムウェア対策3層防御の具体性』です。事業計画書には(1)入口対策(ファイアウォール、メールセキュリティ)、(2)内部対策(EDR、ネットワーク分離、権限管理)、(3)出口対策(バックアップ、復旧手順)の3層を明記し、医療業界実績のあるベンダーを選定してください。
姉妹事業との組み合わせ
東京都の令和8年度医療DXパッケージの中で、本事業は『守り』を担います。理想的な組み合わせは以下のとおりです。
- 102903でコンサル活用→セキュリティ要件定義・ベンダー選定支援
- 本事業(102905)で機器・サービス導入→本格的なセキュリティ基盤構築
- 102904で人材育成→情報セキュリティ管理者の資格取得(補助率10/10)
関連書類・リンク
東京都の給付金・支援金もチェック
子育て・医療・住宅など、東京都で受けられる補助金・給付金を探せます。
東京都の補助金・給付金一覧を見る →