3省2ガイドライン × SCS評価制度 ― 医療業界とそのベンダーが取るべき対応
SCS評価制度の全体像については SCS評価制度 対策ガイド もあわせてご覧ください。
医療業界では、電子カルテ・PACS・医療機器・遠隔診療システムなど、医療情報を扱うシステムに対して**「3省2ガイドライン」**と呼ばれる業界ガイドラインが運用されています。医療機関本体だけでなく、医療情報システムを提供するベンダー、クラウドサービス事業者、医療機器メーカーまでが対象となる広範な制度です。
そこに2027年2〜3月頃に運用開始予定のSCS評価制度(サプライチェーン強化に向けたセキュリティ対策評価制度)が加わると、医療系事業者は「3省2 × SCS★」の二重対応が論点になります。本記事では、両制度の関係を整理し、医療機関・医療機器メーカー・医療系SaaS事業者それぞれの対応戦略を解説します。
3省2ガイドラインの構成
3つの省・2つのガイドライン
「3省2ガイドライン」は、次の3省庁が連携して策定した2系統のガイドラインを指します。
- 厚生労働省「医療情報システムの安全管理に関するガイドライン」(医療機関向け)
- 経済産業省・総務省「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」(事業者向け)
医療機関と医療情報システム事業者の双方を対象とすることで、サプライチェーン全体での安全管理を狙う設計です。
主な要求領域
3省2ガイドラインの要求は次の領域に及びます。
- 医療情報の取扱方針と組織体制
- アクセス制御(医師・看護師等の権限分離)
- 認証(職員ID、ICカード、生体認証など)
- 通信・保存時の暗号化
- 監査ログと長期保管
- 物理的セキュリティ(サーバ室、端末持ち出し等)
- 委託先管理(クラウドサービス、保守業者など)
- 災害対策・BCP
要求水準は中小医療機関にとって決して低くなく、外部委託・クラウド利用への対応で苦労するケースが多い領域です。
SCS評価制度との関係
重なる領域
3省2ガイドラインとSCS評価制度の重なる主な領域は次のとおりです。
- 情報セキュリティポリシーの整備
- アクセス制御・多要素認証
- 暗号化(通信・保存)
- ログ管理と監査
- バックアップと事業継続
- インシデント対応
- 委託先管理
両制度ともサイバーセキュリティの基本領域をカバーしているため、3省2対応で実装した管理策の多くがSCS★3・★4にも流用できます。
異なる領域
異なる領域も明確にあります。
- 医療情報の特殊性:3省2は患者情報、医療画像、診療履歴など医療特有の情報資産に踏み込んだ要件
- 医療職種の権限分離:医師、看護師、薬剤師、事務など職種ごとの権限設計
- 医療機器のセキュリティ:医療機器そのもののセキュリティ(脆弱性管理、医療機器メーカーとの連携)
- 災害医療・電子カルテ3原則:真正性・見読性・保存性の確保
- サプライチェーン視点の有無:3省2は医療情報の安全管理が主/SCSはサプライチェーン全体のセキュリティ底上げ
3省2は医療情報という特定の情報資産にフォーカスし、SCSはサプライチェーン全般の対策を見るという目的の違いがあります。
医療機関の対応戦略
大規模病院・医療法人
大規模医療機関は、3省2への対応が必須であり、すでに体系的なセキュリティ対策が整備されているケースが多いはずです。SCS評価制度については、ITベンダーや医療機器メーカー側の取得が先行する見込みで、医療機関本体が直接SCS★を取得する優先度は中程度です。
ただし、自治体病院や独立行政法人傘下の病院は政府調達の文脈でSCS★が要件化される可能性があり、注視が必要です。
中小クリニック
中小クリニックは、3省2ガイドラインの遵守が中心で、SCS評価制度は取引のあるベンダー側の対応で間接的に恩恵を受ける位置づけになる見込みです。クリニック側がSCS★を取得する直接的な必要性は限定的です。
ただし、SECURITY ACTION★1・★2への取り組みは推奨されます。
医療機器メーカー・医療系SaaS事業者の対応戦略
医療機器メーカー
医療機器メーカーは、3省2ガイドラインだけでなく、医療機器規制(薬機法)、IEC 62443(産業制御セキュリティ)、IMDRF(医療機器規制調和国際フォーラム)のサイバーセキュリティガイダンス等への対応も求められる多重制度の業界です。
SCS評価制度については、医療機関への納入企業として★3または★4を取得することで、調達条件のクリアと営業上の優位性を得られる見込みです。とくに公立病院・大学病院との取引では★4が要求される可能性があります。
医療系SaaS・電子カルテベンダー
電子カルテ、医療情報クラウド、遠隔診療プラットフォームを提供するSaaS事業者は、3省2ガイドラインの「事業者向け」が直接適用されます。これに加えてSCS★4を取得すると、次のメリットがあります。
- 公立病院・大学病院の調達基準クリア
- 大手医療法人グループへの納入時の信頼性
- 「3省2 + SCS★4」のダブル対応で他社との差別化
- 政府調達(厚労省・地域医療連携プロジェクト等)への参加機会
医療系BPO・運用代行
医療事務BPO、医療データ入力代行、医療機関向け情シス代行などの事業者は、3省2の「委託先」として位置づけられます。SCS★3を取得することで、医療機関側のSCS要求事項のうち「委託先管理」の項目を満たしやすくなります。
二重対応を効率化する3つのポイント
ポイント1:規程の統合と要求事項マッピング
3省2用とSCS用で別々の情報セキュリティ規程を作るのは非効率です。1つの統合規程に対して、3省2要求事項マッピング表とSCS要求事項マッピング表を別添で整備する設計が効率的です。
ポイント2:監査ログの長期保管設計
3省2は監査ログの長期保管を強く求めます。SCS★4でも「ログの1年以上の保管と定期的な確認」が要件です。3省2に合わせて長期(5年〜法定保存期間)保管する設計を採用すれば、SCSの要件は自動的に満たせます。
ポイント3:委託先管理の医療仕様
医療機関は外部委託先(電子カルテベンダー、保守業者、検査会社など)が多く、3省2は委託先管理に厳しい要件を課します。SCSの委託先管理(実装ガイド)と統合することで、年次評価サイクルを一本化できます。
政府調達への組み込み
医療業界では政府調達(厚労省事業、地域医療DX推進事業、自治体立病院の調達など)の文脈でセキュリティ要件が課されています。将来的にSCS★4が政府調達要件に組み込まれる見通しが報じられており、医療系ベンダーにとって★4取得は中長期の必須要件となる可能性が高いです。
詳細は政府調達ロードマップ × SCS評価制度も合わせてご覧ください。
情シス365による医療業界支援
情シス365では、医療系事業者向けに次の支援を提供しています。
- 3省2ガイドラインとSCS要求事項のマッピング作成
- 規程・運用記録の統合設計
- 医療機器・医療情報システム特有のセキュリティ対策
- 委託先管理の医療仕様カスタマイズ
- 専門家確認・第三者評価機関対応の伴走
医療機関本体、医療機器メーカー、医療系SaaS事業者、医療BPO事業者など、医療サプライチェーンに属する各層に対応します。