医療機関におけるサイバーセキュリティ対策は、いまや「情報システム部門だけの課題」ではなくなっています。
電子カルテ、部門システム、画像管理システム、オンライン資格確認、医療機器、予約システム、クラウドサービス、保守ベンダーとのリモート接続など、医療現場は多くのシステムと外部事業者に支えられています。
その一方で、ランサムウェアや不正アクセスによって診療機能が停止すれば、単なる情報漏えいでは済みません。外来受付、検査、会計、処方、入退院管理、救急受入れなど、医療提供そのものに影響が及ぶ可能性があります。
こうした中で注目されているのが、SCS評価制度です。
SCS評価制度は、サプライチェーン強化に向けたセキュリティ対策評価制度のことで、取引先や委託先を含めたセキュリティ対策の水準を「★」で示す仕組みとして整備が進められています。IPAは、SCS評価制度について、委託元が委託先に適切な段階を提示し、対策の実施を促すことを想定した制度であると説明しています。
では、医療機関もこのSCS評価制度の★取得を目指すべきなのでしょうか。
結論から言えば、中規模以上の医療機関、複数施設を運営する医療法人、外部委託や医療DXを積極的に進める医療機関は、SCS★取得を将来的な目標として考える価値があります。
ただし、すべての医療機関が今すぐ取得を目指すべきというわけではありません。
まず優先すべきは、厚生労働省が示している医療情報システムの安全管理ガイドライン、医療機関向けサイバーセキュリティ対策チェックリスト、そしてサイバー攻撃を想定したBCPの整備です。
SCS評価制度とは何か
SCS評価制度は、サプライチェーン全体のセキュリティ対策水準を高めることを目的とした制度です。
近年、企業や組織が直接攻撃されるだけでなく、委託先、保守事業者、システムベンダー、クラウドサービス、取引先を経由して被害が広がるケースが増えています。IPAは、SCS評価制度の目的について、委託先へのサイバー攻撃等を起因としたサービス停止、機密情報の漏えい、改ざん、不正侵入等のリスクに対して、サプライチェーン全体で対策水準を向上させることとしています。
重要なのは、SCS評価制度は単なる「認証マーク」ではないという点です。
本来の目的は、組織が自分たちのセキュリティ対策の状態を整理し、取引先や委託先との間で「どの程度の対策が必要なのか」を分かりやすくすることにあります。
医療機関に置き換えると、次のような場面と関係します。
電子カルテベンダーとの保守契約、医療機器メーカーによるリモートメンテナンス、クラウド型予約システムの利用、検査会社や外部委託先とのデータ連携、医療法人本部と各施設間のシステム管理などです。
医療機関は、見方を変えれば非常に複雑なサプライチェーンの中にあります。だからこそ、SCS評価制度の考え方は医療機関にも関係があるといえます。
2026年6月時点では、まだ「準備段階」と考えるべき
ただし、現時点で注意すべきことがあります。
2026年6月時点では、SCS評価制度の★3・★4はまだ本格運用前です。IPAのFAQでは、★3・★4は2027年3月頃の運用開始予定とされています。また、★3・★4の申請方法は2026年10月頃に公開予定、申請・登録費用は今後公開予定とされています
つまり、現時点で医療機関が取るべき姿勢は、
「今すぐSCSを取得する」ではなく、「将来的にSCS★3を取得できる状態に近づけておく」
という考え方です。
また、経済産業省は、SCS評価制度を引き合いに「評価を取得していないと商取引が規制される」「今すぐ取得しないと入札から除外される」といった不適切な勧誘に注意を呼びかけています。SCS評価制度は任意の制度であり、特定のセキュリティ製品の導入が必須とされているわけでもありません。
医療機関においても、「SCSを取らないといけない」「特定の製品を入れないと取得できない」といった話には注意が必要です。
医療機関がまず優先すべきものは何か
医療機関の場合、SCS評価制度よりも先に確認すべきものがあります。
それが、厚生労働省の医療情報システムの安全管理に関するガイドラインと、医療機関等におけるサイバーセキュリティ対策チェックリストです。
厚生労働省は、医療情報システムの安全管理に関するガイドライン第6.0版を公表しており、医療機関等に対してガイドラインを遵守するよう求めています。
また、厚生労働省は令和7年5月版の医療機関等におけるサイバーセキュリティ対策チェックリストを公表し、医療機関や薬局が優先的に取り組むべき事項を整理しています。チェックリストマニュアルも作成されており、医療機関、薬局、医療情報システム・サービス事業者に対して活用が求められています。
さらに、サイバー攻撃を想定したBCPについても、厚生労働省は確認表、手引き、ひな形を公表しています。
したがって、医療機関の優先順位としては、次の順番が現実的です。
- 医療情報システムの安全管理ガイドラインへの対応
- 医療機関向けサイバーセキュリティ対策チェックリストへの対応
- サイバー攻撃を想定したBCPの策定
- 委託先・保守ベンダー・リモート接続の管理
- その延長線上でSCS★3相当の体制整備
- 将来的なSCS★取得の検討
つまり、SCS評価制度は単独で考えるものではありません。
医療機関にとっては、既存の厚労省対応、保健所立入検査対応、BCP、委託先管理を整理する中で、結果的にSCS★取得にもつながる、という位置づけで考えるべきです。
医療機関にSCS評価制度が関係する理由
SCS評価制度は、もともと医療機関専用の制度ではありません。
しかし、医療機関にはSCS評価制度と相性の良い要素があります。
第一に、医療機関は多くの外部事業者に支えられています。
電子カルテ、部門システム、レセコン、PACS、検査システム、給食システム、勤怠管理、クラウドサービス、ネットワーク機器、UTM、VPN、医療機器など、院内の仕組みは一つのベンダーだけで完結していません。
第二に、医療機関ではリモート保守が多く使われています。
保守ベンダーが院外から接続できる状態は、便利である一方、攻撃者に悪用されるリスクもあります。リモート接続の有無、接続方法、認証方式、利用時間、操作記録、緊急時の停止方法などを管理できていなければ、サイバー攻撃時に被害範囲を把握することが難しくなります。
第三に、医療機関は診療継続が求められます。
一般企業であれば、システム停止は売上や業務効率の問題として扱われることが多いでしょう。しかし医療機関では、システム停止が患者対応、検査、処方、手術、救急受入れに影響します。
厚生労働省も、医療機関等がサイバー攻撃やその疑いを受けた場合、また医療情報システム障害が発生した場合には、所管省庁への連絡など必要な対応を行うことを示しています。
このように考えると、医療機関においてSCS評価制度を意識することは、単に「マークを取る」ことではなく、外部委託先を含めたセキュリティ管理体制を整えることにつながります。
SCSを取得すれば医療機関のセキュリティは十分なのか
ここは誤解してはいけません。
SCSを取得したからといって、医療機関として必要なセキュリティ対策がすべて完了するわけではありません。
SCS評価制度は、サプライチェーン上のセキュリティ対策を可視化し、組織間で必要な対策水準を共有しやすくする制度です。
一方、医療機関には医療特有のリスクがあります。
たとえば、電子カルテ停止時の紙運用、検査オーダー停止時の代替手順、部門システム停止時の連絡体制、救急受入れの判断、院内ネットワーク分離、医療機器の保守、患者情報の取扱い、診療録の真正性・見読性・保存性などです。
これらは、単なる一般企業向けのセキュリティ対策だけでは整理しきれません。
そのため、医療機関では、
厚労省ガイドライン・チェックリスト・サイバーBCPを土台にし、その上にSCS評価制度の考え方を重ねる
という順番が重要です。
どのような医療機関はSCS★取得を目指すべきか
すべての医療機関が同じ温度感でSCS★取得を目指す必要はありません。
特に前向きに検討すべきなのは、次のような医療機関です。
| 医療機関のタイプ | SCS★取得を検討すべき理由 |
|---|---|
| 中規模以上の病院 | システム数・委託先数が多く、管理体制の可視化が必要 |
| 地域中核病院・救急対応病院 | 診療継続性の説明責任が大きい |
| 複数施設を運営する医療法人 | 法人全体で統一したセキュリティ水準を示しやすい |
| 健診・産業医・企業向けサービスを行う医療機関 | 委託元企業からセキュリティ水準を問われる可能性がある |
| 医療DXを積極的に進める医療機関 | クラウド、外部連携、リモート接続の管理が重要 |
| 治験・研究・データ利活用を行う医療機関 | 外部機関との信頼性確保が必要 |
一方で、小規模クリニックの場合、いきなりSCS★取得を目標にするよりも、まずは基本対策を確実に実施することが重要です。
具体的には、管理責任者の明確化、端末・サーバ・ネットワーク機器の台帳整備、バックアップ、ウイルス対策、OS・ソフトウェア更新、リモート保守の把握、インシデント発生時の連絡体制、紙運用を含めたBCPの整備などです。
小規模医療機関にとっては、SCS★取得そのものよりも、SCS★3相当の考え方で自院の対策を整理することの方が実務的です。
医療機関がSCS★取得を目指すメリット
医療機関がSCS★取得、またはSCS★3相当の体制整備を目指すメリットは大きく分けて4つあります。
1.セキュリティ対策の現状を説明しやすくなる
医療機関では、経営層、現場部門、情報システム担当、委託先の間で、セキュリティ対策の認識がずれていることがあります。
SCS評価制度の考え方を取り入れることで、どの対策ができていて、どの対策が不足しているのかを整理しやすくなります。
これは経営層への報告にも役立ちます。
「危険です」「対策が必要です」という抽象的な説明ではなく、「現在この項目が未対応であり、委託先管理とインシデント対応に課題があります」と具体的に伝えることができます。
2.委託先・保守ベンダー管理を強化できる
医療機関のセキュリティ対策では、院内だけを見ていても不十分です。
電子カルテベンダー、ネットワーク保守会社、医療機器メーカー、クラウドサービス事業者、外部委託先がどのような対策を行っているかを確認する必要があります。
厚生労働省のチェックリストでも、医療機関と事業者の確認が重要な位置づけになっています。
SCS評価制度の考え方は、この委託先管理と非常に相性があります。
3.保健所立入検査や監査対応に活用しやすい
医療機関では、サイバーセキュリティ対策チェックリストへの対応が求められています。
日頃からチェックリスト、BCP、委託先確認、教育記録、インシデント対応手順を整理しておけば、保健所立入検査や内部監査の際にも説明しやすくなります。
SCS★取得を目指す過程で証跡を整理することは、医療機関の説明責任を果たすうえでも有効です。
4.医療DXを進める前提条件になる
医療DXを進めるほど、医療機関は外部サービスやクラウド、ネットワーク連携に依存するようになります。
オンライン資格確認、電子処方箋、地域医療連携、クラウド型電子カルテ、予約・問診システム、AI活用などが進めば、セキュリティ管理の重要性はさらに高まります。
厚生労働省も、AIの高度化により医療情報システムや院内ネットワーク機器の脆弱性探索が容易になり、サイバー攻撃の頻度が上がることが想定されるとして、医療機関に具体的な対策を求めています。
医療DXを安全に進めるためにも、SCS評価制度のような整理されたセキュリティ対策の枠組みは有効です。
SCS★取得を目的化してはいけない
一方で、注意点もあります。
SCS★取得を目的化してしまうと、本来のセキュリティ対策からずれてしまう可能性があります。
たとえば、書類上は整っているが実際にはバックアップから復旧できない、委託先一覧はあるが緊急連絡先が古い、リモート保守の記録が残っていない、職員がインシデント時の初動を知らない、といった状態では意味がありません。
医療機関に必要なのは、マークを取得することではなく、実際にサイバー攻撃を受けたときに診療を止めない、被害を広げない、迅速に報告・復旧できる体制です。
そのため、SCS★取得を目指す場合でも、次の視点を忘れてはいけません。
- 電子カルテが止まった場合の代替運用はあるか
- バックアップから実際に復旧できるか
- リモート保守の接続経路を把握しているか
- 委託先の責任範囲を確認しているか
- インシデント発生時の連絡先は整理されているか
- 経営層が判断すべき事項は明確か
- 職員教育は実施されているか
- サイバーBCPは机上訓練で検証されているか
これらができていない状態でSCS★取得だけを目指しても、医療現場を守る対策にはなりません。
医療機関が今から準備すべきこと
現時点で医療機関が取り組むべきことは、SCS★取得の申請準備というより、SCS★3相当の基礎体制づくりです。
具体的には、次のような進め方が現実的です。
ステップ1:厚労省チェックリストで現状を確認する
まずは厚生労働省の医療機関向けサイバーセキュリティ対策チェックリストを使い、自院の現状を確認します。
「できている」「できていない」だけでなく、証跡があるか、担当者が明確か、運用が継続されているかまで確認することが重要です。
ステップ2:情報資産と委託先を棚卸しする
次に、電子カルテ、部門システム、サーバ、端末、ネットワーク機器、医療機器、クラウドサービス、保守ベンダーを一覧化します。
特に重要なのは、リモート接続です。
誰が、いつ、どの機器に、どの方法で接続できるのかを整理しなければ、サイバー攻撃時に初動対応が遅れます。
ステップ3:サイバーBCPを整備する
システム停止時に、どの業務をどのように継続するのかを決めます。
受付、診察、検査、処方、会計、入院、救急、医事請求など、影響を受ける業務ごとに代替手順を検討します。
BCPは作って終わりではありません。机上訓練を通じて、実際に使える内容になっているか確認する必要があります。
ステップ4:経営層に報告できる形にまとめる
医療機関のサイバーセキュリティ対策は、情報システム担当者だけでは完結しません。
予算、体制、診療継続、患者対応、委託先契約、広報対応など、経営判断が必要な場面が多くあります。
そのため、現状のリスク、未対応項目、優先順位、必要な予算、今後のスケジュールを経営層に報告できる形にまとめることが重要です。
ステップ5:SCS★3要求事項との対応表を作る
最後に、厚労省チェックリストやBCPの対応状況を、SCS★3の要求事項と照らし合わせます。
この対応表を作ることで、医療機関として必要な対策と、SCS評価制度で求められる対策の重なりが見えてきます。
この段階まで進めば、将来的にSCS★3取得を目指すかどうかを判断しやすくなります。
結論:医療機関はSCS★取得を目指すべきなのか
結論として、医療機関はSCS★取得を「目的」としてではなく、セキュリティ対策を体系的に整理するための目標として考えるべきです。
中規模以上の病院、複数施設を運営する医療法人、企業健診や研究・治験に関わる医療機関、医療DXを積極的に進める医療機関は、将来的にSCS★3取得を目指す価値があります。
一方で、小規模クリニックでは、まず厚労省チェックリスト、基本的な資産管理、バックアップ、委託先管理、インシデント対応、サイバーBCPの整備を優先すべきです。
大切なのは、
「SCSを取るために対策する」のではなく、
「医療機関として必要な対策を整えた結果、SCS★取得にも近づく」
という考え方です。
医療機関のセキュリティ対策は、単にシステムを守るためのものではありません。
患者情報を守ること。
診療を止めないこと。
職員が混乱せず対応できること。
委託先を含めた責任範囲を明確にすること。
そして、万が一の際に迅速に復旧できること。
これらを実現するための一つの指標として、SCS評価制度を活用することが、これからの医療機関にとって重要な選択肢になると考えます。
医療機関向けセキュリティ対策でお困りの方へ
当社では、医療機関向けに、厚生労働省チェックリスト対応、サイバーBCP策定、委託先・リモート保守管理の確認、職員研修、机上訓練、SCS★3取得を見据えた現状整理を支援しています。
「何から始めればよいかわからない」
「保健所立入検査に向けて準備したい」
「サイバーBCPを作成したい」
「委託先や保守ベンダーの管理を見直したい」
「将来的にSCS★取得も視野に入れたい」
このようなお悩みがあれば、まずは現状確認からご相談ください。
医療機関の規模や体制に合わせて、無理のない形でセキュリティ対策を整理し、実際に使える運用体制づくりを支援します。