Smart Management and Service ロゴ
Smart Management and Service Medical Information Governance
トップページへ戻る
MHLW Guideline v6.0 Compliant

医療機関の役割は「監督者」へ。
厚労省ガイドライン第6.0版に
完全追従する「セキュリティ軍師」

ITベンダーへの丸投げは法的に許されなくなりました。理事が最終責任を負う今、ベンダーのセキュリティ監査からSLA(責任分界)の最適策定、15分スコアリングによる課題整理まで、医療側の「軍師」として完全サポートします。

厚労省ガイドライン第6.0版準拠 ベンダー管理監査(SCS ★3 / ★4)
Governance Shift

なぜ、ベンダー任せのセキュリティは通用しなくなったのか?

厚生労働省ガイドライン第6.0版により、医療機関はシステムを「ただ利用する立場」から、外部の委託先や再委託先(クラウド、保守業者など)を監督・管理する責任主体へと位置付けられました。万が一セキュリティ障害が起きた際、「知らなかった」「ベンダーの責任だ」という言い訳は通用しません。

1

最終責任は経営層へ

理事長や院長がセキュリティ管理体制の整備・運用の「最終責任者」となります。名実ともに経営ガバナンスとしてのガチガチの統制が義務化されました。

2

IT資産の完全なる把握

電子カルテ端末だけでなく、院内のすべてのPC、スマートフォン、IoT医療機器、そして接続している全クラウドサービスの棚卸しと管理が必要です。

3

BCP(復旧)の絶対条件

ランサムウェア等の攻撃を受けたことを前提とし、「どのように迅速にバックアップから復旧し、診療体制を継続するか」という具体的なアナログ代替手順と訓練が求められます。

Service Blueprint

医療機関側のアドバイザーとして提供する3つの価値

私たちはベンダーの競合ではありません。専門用語で一方的に押し切られがちなベンダー交渉において、医療機関の利益と患者の安全を守る「最強のパートナー」です。

ベンダーの「厳格な目利き」

国が推進する「SCS評価制度」に基づき、委託先ベンダーの自己評価シートや提出書類(MDS/SDS)を客観的・専門的な視点で徹底精査。★3(最低ライン)、★4(理想的)など、ベンダーが公的基準を本当に満たしているかをプロの目で監査します。

「セキュリティ特約・SLA」の策定

インシデント発生時に「どこまでが誰の責任か」をネットワーク層、OS・ミドル層、アプリケーション層ごとに書面で厳密に定義(責任分界点の明確化)。再委託の統制やログ保管義務、重大な過失時の賠償特約まで、貴院を守る契約を設計します。

「15分簡易スコアリング」と課題整理

単に「自院の不備を探す」だけでなく、15分簡易スコアリングの結果を活用して「どのベンダーに対してどの項目を最優先で要求すべきか」「どこにセキュリティ投資を配分すべきか」のガバナンスロードマップを視覚化します。

Roadmap for Success

2027年本格運用に向けた
3フェーズ・アプローチ

セキュリティは「一度やって終わり」の使い捨てではありません。毎年の更新や環境の変化に耐えうる、自律的で強靭な組織体制をゆっくりと作っていきます。

国が公認するセキュリティ専門家として、ロードマップの設計から、毎年の実地監査、適合宣誓書の作成サポートまで長期的かつ緊密に伴走します。

★3基準は「1年更新」の厳格な仕組み

毎年、専門家による厳格な確認・署名と、経営層による適合宣言が必要です。一時的な「おまじない」ではなく、常に機能し続ける仕組み作りを私たちが支援します。

1

フェーズ1:現状把握と基盤構築

Timeframe: 即座にスタート(〜2026年)

院内のすべてのIT資産(医療機器、個人端末含む)を完璧に棚卸し。15分スコアリングを用いて★3要求事項と現状とのギャップを精密に分析し、対策のための予算と優先順位を明確にします。

2

フェーズ2:実装・訓練とSCS実証

Timeframe: 2026年 〜 2027年初頭

セキュリティソリューションを導入し、特に「万が一侵入された場合」に備えたバックアップからの復旧手順・アナログ代替手段を策定します。策定した手順が実際に機能するか、院内職員の訓練を並行します。

3

フェーズ3:本格運用と適合証明

Timeframe: 2027年度以降

セキュリティ専門家としての確認・署名を取得。経営層による公式な適合宣言を完了させ、SCS事務局に正式申請することで、対外的に「最高度に信頼できる要塞」であることを証明します。

Our Strength

なぜ、S-M-A-S が選ばれるのか

グローバル製薬インフラの圧倒的経験

参天製薬(Global Digital Infrastructure Team)等において、大企業規模のグローバルAzure/Microsoft 365 ゼロトラスト環境のハイエンドなセキュリティ設計・運用を最前線で牽引してきました。

滋賀県初の快挙、個人「DX認定事業者」

個人事業主として滋賀県初の「DX認定事業者」を単独取得(DX-2025-03-0051-01)。国が認めたDX準備完了者として変革アプローチの知見をそのまま適用します。

経営ガバナンスと現場実務の「架け橋」

過剰なセキュリティ投資を徹底的に抑え、経営課題の策定(DX・SCS・SECURITY ACTION)といった上流ガバナンスから、泥臭いPCの資産管理・監査までをワンストップで完璧に繋ぎます。

S-M-A-S 代表 大村信夫 S-M-A-S Principal

大村 信夫Nobuo Ohmura

Cloud Security Architect & IPA Security Presenter

「医療の安全とITの利便性を、確かな調和へ導きます。委託先管理に悩む医療機関様のために、中長期的な最高の参謀として全力で伴走します。」

セキュリティ監査・SLA見直しのご相談

厚労省ガイドライン第6.0版に基づく対応の現状診断、15分スコアリングの導入、ITベンダーとの契約精査、SECURITY ACTION等について、まずはお気軽にご面談をお申し込みください。

【無料初回面談】お申し込み・ご相談はこちら

医療機関向け対応は大丈夫?無料チェックはこちら