ジェネラル
2026年開始のSCS評価制度とは 新時代のデータ保護戦略を解説
サプライチェーンを狙ったサイバー攻撃が増加するなか、経済産業省は企業のセキュリティ対策レベルを可視化・評価する新制度「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」の構築を進めています。2026年度下期の運用開始を目指す本制度は、将来的には、取引先選定時の参考指標や調達要件の一部として参照される可能性もあります。本記事では制度の概要から実務上の対応指針まで、わかりやすく解説します。
なぜ今、新たなセキュリティ評価制度が必要なのか?
サイバー攻撃の巧妙化により、企業単体での対策だけではリスクを抑えきれない時代になっています。ここでは、新たな評価制度が求められるようになった背景を整理します。
激化するサプライチェーン攻撃の現状
近年、企業を標的にしたサイバー攻撃の手口として、サプライチェーンを経由した侵害が深刻化しています。攻撃者はセキュリティの堅固な大企業を直接狙う代わりに、セキュリティ対策が相対的に手薄な取引先や委託先を「踏み台」として侵入し、最終的なターゲット企業への不正アクセスや機密情報の窃取を図ります。
こうした攻撃の被害は、単独の企業にとどまらないことも大きな問題です。自動車部品メーカーへの攻撃が部品の供給停止を招いたり、ITベンダーへの侵害が発注元の内部システムへの不正アクセスにつながったりと、一社の被害がサプライチェーン全体の事業継続に波及するリスクが現実のものとなっています。
従来の「チェックリスト」が抱える限界
サプライチェーンを通じたリスクへの意識が高まる一方、企業のセキュリティ対策状況は外部から正確に把握しにくいという根本的な課題もあります。取引の現場では、発注企業が仕入先のセキュリティ対策を確認する場面も少なくありませんが、その際に各社が独自のチェックリストを用いているのが実態です。
この結果、発注側は確認内容の妥当性を担保しにくく、受注側は取引先ごとに異なる要求事項への対応を迫られ、とりわけリソースが限られる中小企業を中心に過度な負担が生じています。こうした状況を打開するために、業界横断で参照できる「共通言語」としての評価指標が必要とされており、それが今回の制度検討の背景となっています。
SCS評価制度の5段階と評価スキーム
SCS評価制度では、企業のセキュリティ対策レベルを★1から★5の5段階で評価します。ここでは実務上の中核となる★3・★4を中心に、各レベルの内容を詳しく見ていきます。
既存制度と連携した5段階の評価体系
SCS評価制度では、セキュリティ対策のレベルを★1から★5の5段階で評価します。全体像を整理すると以下の通りです。
レベル
概要
評価スキーム
有効期間
★1
情報セキュリティ5か条への取り組み宣言
自己宣言
ー
★2
自社診断+基本方針の策定・公開
自己宣言
ー
★3(Basic)
最低限実装すべきセキュリティ対策
専門家確認付き自己評価
1年
★4(Standard)
標準的に目指すべきセキュリティ対策
第三者評価
3年
★5
到達点として目指すべき対策
第三者評価
今後検討
★1・★2はIPAが運営する既存の「SECURITY ACTION」制度を流用する位置づけであり、本制度の実質的な評価の中核は★3から★5の3段階となります。なお、上位レベルが下位レベルを包括する構造のため、★3を事前に取得していなければ★4を取得できないという関係にはなりません。
★3(Basic):一般的な攻撃から自社を守る
★3は、広く認知された脆弱性を悪用する一般的なサイバー攻撃を想定しており、すべてのサプライチェーン企業が最低限実装すべき対策水準として位置づけられています。評価項目は83項目で、主な要求内容は基礎的な組織的対策とシステム防御策です。
評価スキームは「専門家確認付き自己評価」で、取得希望組織が要求事項に基づき自己評価を行い、一定のセキュリティ資格を持つ専門家の確認・助言を経て登録機関に申請する流れとなります。有効期間は1年で、年次の更新が必要です。
★4(Standard):サプライチェーンを支える信頼の証明
★4は、サプライチェーンに大きな影響をもたらす攻撃や機密情報の漏えいを想定し、サプライチェーン企業が標準的に目指すべき水準として設定されています。評価項目は157項目に及び、組織ガバナンスの整備、取引先管理、多層防御による侵入リスク低減、ログ収集・分析、迅速な異常検知、事業継続に向けたサプライチェーン強靭化策など、包括的な対策が求められます。
評価スキームは「第三者評価」で、指定を受けた評価機関によるヒアリングや規程の確認に加え、インターネット公開機器(VPN装置、ルータ等)を対象とした脆弱性検査を含む技術検証の実施も求められます。有効期間は3年ですが、期間内は年次での自己評価の実施と評価機関への提出が必要です。
★5:高度な脅威に立ち向かう最高水準の対策
★5は、未知の攻撃も含めた高度なサイバー攻撃への対処を想定した、到達点として目指すべき最高水準の対策レベルです。ベンチマークとしてはISO/IEC 27001や自工会・部工会ガイドラインLv3などが想定されており、ISMS適合性評価制度との整合にも配慮した設計が進められています。
ただし具体的な要求項目・評価スキーム・開始時期については、令和8年度(2026年度)以降に実証事業で収集した意見・要望も踏まえながら具体化が進められる予定とされ、現時点では詳細が未確定です。
ビジネスへの影響:評価制度がもたらす「取引の新たな基準」
SCS評価制度の導入は、セキュリティ対策の強化にとどまらず、企業間の取引構造そのものに変化をもたらす可能性があります。ここでは、各企業に波及する影響について説明します。
取引先選定における「セキュリティの可視化」
本制度が導入されると、各企業の対策レベル(★3、★4など)が公表され、取引の場においてセキュリティ対策状況を客観的に示すことができるようになります。これは、発注側の企業にとって、サプライチェーンに起因するリスクの低減につながるメリットです。
一方、受注側の企業にもメリットがあります。自社の対策レベルを明らかに示すことで、スムーズな商談につながる可能性があるためです。さらに、制度取得によって対策への投資を可視化できることは、ビジネス上の差別化や信用向上にも寄与します。セキュリティ対策に積極的に取り組む姿勢を客観的な形で示せることは、企業の競争力強化にも直結する要素といえるでしょう。
政府調達や大手企業取引への波及
将来的には、本制度が政府の調達要件として位置づけられる可能性が検討されています。また、大手企業がサプライヤーに対して特定の★レベルの取得を取引条件として求めるケースも想定されます。
こうした動きが加速すれば、求められる対策レベルを満たせない企業はビジネス機会を失うリスクに直面しかねません。制度への対応は単なるコストではなく、今後のビジネスチャンスを確保するための先行投資といえるでしょう。
★4要件をクリアするWasabiのデータ保護戦略
SCS評価制度が求めるセキュリティ対策の多くは、クラウドストレージの適切な活用によって効率的に実現できます。なかでもデータのバックアップ・暗号化・不変性の確保は、★4の具体的な要求事項と直結する領域です。ここでは、Wasabiがこれらの要件にどう応えるかについて解説します。
「インシデントからの復旧」要件への対応
★4の要求事項のひとつに、「復旧ポイント・復旧時間を満たす手順等の整備」があります。サイバー攻撃やシステム障害が発生した際に、いつのデータまで復元できるか(復旧ポイント)、どれだけの時間で業務を再開できるか(復旧時間)を事前に定め、実際に対応できる体制を整えることが求められています。
この要件への対応において、クラウドへのバックアップは有効な手段のひとつです。
オンプレミス環境のみに依存したバックアップは、ランサムウェア攻撃などで同時に被害を受けるリスクがあります。Wasabiのクラウドストレージにバックアップデータを保管すれば、オンプレミス環境とは独立した形でデータを保護し、インシデント発生時の迅速な復旧とビジネス継続(BCP)に貢献します。
重要な保管データの暗号化と不変性
★4では「重要な保管データの暗号化」も具体的な要求事項として明示されています。機密情報や重要業務データを暗号化して保管することは、情報漏えいリスクの低減において基本的かつ重要な対策です。
Wasabiは保存データおよび転送データの暗号化に標準対応しており、この要件への適合を技術的に支援します。
さらに、Wasabiが提供するObject Lock(オブジェクトロック)機能は、保存したデータを一定期間変更・削除不可にするイミュータブルストレージを実現します。これはランサムウェアによるデータの暗号化・改ざん・消去を防ぎ、NIST CSFが求めるサイバーレジリエンスを高めるうえで有効な機能です。
コスト低減とセキュリティの両立
SCS評価制度の制度趣旨のなかには、「セキュリティサービスの標準化による選択肢拡大や中長期でのコスト低減」という受注企業へのメリットが明記されています。制度への対応をきっかけにセキュリティ投資を見直す企業にとって、コストパフォーマンスは重要な判断軸です。
Wasabiは、大手クラウドプロバイダーと比較して低コストなストレージ料金を実現しながら、エンタープライズグレードのセキュリティ機能を提供しています。データ転送料金が発生しないため、セキュリティ水準を落とさずにストレージコストを最適化したい企業にとって、SCS評価制度への対応コスト全体を抑えるうえでの有力な選択肢となります。
制度運用開始に向けたタイムラインと準備
2026年度下期の制度運用開始を見据えると、現時点から約1年強が企業にとっての実質的な準備期間となります。スケジュールを把握したうえで、自社がどのレベルを目指すべきかを早期に判断し、計画的な対応を進めることが重要です。
2026年度の運用開始に向けたスケジュール
経済産業省が公表した制度構築方針(案)によると、★3・★4については2025年度下期(2025年10月~2026年3月)に要求事項・評価基準(案)を確定し、2026年度上期から制度の詳細化および運用開始準備を進め、2026年度下期の運用開始を目指すスケジュールが示されています。運用開始後は取得企業が順次公表される見通しです。
つまり現在から約1年強が、企業にとって対応方針の検討と準備を進める重要な準備期間となります。制度開始後に慌てて対応を始めるのではなく、今のうちから自社の現状を把握し、必要な対策を計画的に進めておくことが得策です。
自社のリスク評価とレベル選定のステップ
自社がどのレベルに対応すべきかを判断する際の基準となるのは、「事業継続リスク」と「情報管理リスク」の2軸です。取引先の事業中断が自社の重要業務に許容できない遅延をもたらす可能性がある場合、または取引先へのサイバー攻撃が自社の機密情報管理に重大な影響をもたらす可能性がある場合は★4が、そうでない場合は★3が基本的な判断の目安となります。
対応すべきレベルの選定ステップは、おおまかに以下の通りです。
自社のIT基盤と情報資産の現状を棚卸しして可視化する
上記の判断基準に基づいてどのレベルを目指すかを決定し、現状とのギャップを洗い出す
優先度の高い対策から段階的に着手する
この際、クラウドストレージを含む外部サービスの活用も視野に入れながらIT基盤全体を最適化することで、対応コストを抑えながら実効性のある対策を実現できます。
まとめ
2026年に実施予定の「サプライチェーン強化に向けたセキュリティ対策評価制度」は、日本のビジネスにおける新たな「信頼の証」となる制度です。この制度への対応は、単なるコストではなく、未来のビジネスチャンスを勝ち取るための投資といえます。
新たな制度に向けてクラウドストレージの見直しを検討される場合は、データの暗号化やイミュータブルストレージ機能を備えたWasabiを、選択肢の一つとしてぜひご検討ください。
SCS評価制度に備えるデータ保護基盤
サプライチェーンを狙うサイバー攻撃への対策として、
バックアップ・暗号化・不変ストレージによるデータ保護が重要になっています。
Wasabiのクラウドストレージで、復旧力とセキュリティを強化しましょう。
多くのCISOは、データストレージをあまり重視していません。アイデンティティ管理、アクセス制御、検知、ガバナンスを同時に管理する立場では、何かしらの問題が起きない限り、背後で働くインフラにまで目が届かないのです。そのため、サイバー脅威が発生したり、最悪のタイミングでバックアップが失敗したりして初めて、ストレージに意識が向けられることになります。実のところ、レジリエンスは単にバックアップ頻度だけの問題ではありません。重要なのは、データがどれだけ適切に保護されているか、そして問題が発生した場合にどれだけ迅速に復旧できるかという点です。そのためストレージの保存先は、ファイアウォール、エンドポイント、アクセス制御と同じく非常に重要です。ストレージが不変性、アクセス性、そして手頃なコストでテストを行える状態を考慮して構築されていない場合、想像以上のリスクを負うことになります。今こそ一歩下がって、全体的なレジリエンス計画におけるストレージの役割を見直すチャンスです。以下の質問をチームに投げかけることで、重要なタイミングで組織が効果的に回復できる状態かどうかを確認することができます。1.自社のストレージは本当にビジネスリスクを下げているか?バックアップは、ただ作成するだけで評価される傾向にあります。チェックリストを満たして監査に対応することで、安心感が生み出されるためです。しかし、その安心感がレジリエンスになるわけではありません。本質的なポイントは、バックアップがどこに保存されてどのように保護され、問題が発生した際にどれだけ確実に復旧できるかということです。つまり、ストレージをリカバリ戦略の基盤として考えてみてください。あらゆるバックアップの保存先となるストレージの復元力が不十分だった場合、データ保護計画も脆弱になります。真にサイバーレジリエントなストレージは、攻撃者、内部関係者、さらには運用コストに足を引っ張られず、クリーンな復元を可能にする安全性と耐久性を兼ね備えています。まず、バックアップデータが主要な運用システムから分離されたセカンダリストレージに保存されているかどうかを確認しましょう。次に、アーキテクチャ自体を詳しく調べます。イミュータブル機能によって、データの保存期間が終了するまで変更や削除ができない状態になっていますか?AES-256などの最新標準を使用して、転送中および保存中のデータが暗号化されるようになっていますか?多要素認証(MFA)によって、アカウントへのアクセスが安全に管理されていますか?単一の認証情報でバケットやアカウントを独自に削除されないように、マルチユーザー認証(MUA)などの機能を導入していますか?こういった制御があるかどうかで、レジリエンスが迅速で検証可能なものになるか、高額な割に不確実なものになるかが分かれます。また、依然としてゴールドスタンダードとして挙げられるのが3-2-1-1-0ルールです。これは、3つのデータコピーを2種類の媒体に保存し、そのうち1つはオフサイトに、もう1つは不変の状態に保つ手法で、復旧後のエラーをゼロにすることを目的としています。ストレージがこれらの条件を満たしていない場合、ダウンタイムのリスクがあるだけではありません。この状態では単にレジリエンス戦略を夢見ているだけで、実際には何も整っていないことを意味します。2.理論的にではなく、実際にテスト可能なレジリエンスを構築しているか? すべてのストレージがレジリエンスを前提としているわけではなく、リスクの恐れがあります。データのバックアップは多くの環境で問題なくできても、「データを復元する」のは非常に困難です。いくつかの重要な機能があるかどうかで、いつでも復旧できる状態になるか、それとも時間との戦いになるかの違いが生まれます。まず土台となるのが、クラウドオブジェクトストレージです。これは耐久性、拡張性、リージョン間の冗長性を考慮して設計されており、単一の障害で全体が停止することを防ぎます。問題が発生した際に業務を安定させるバックボーンとなる存在です。続いて、基本的な要素が揃っているかどうかを確認します。イミュータブル機能:データを書き込み後、保持期間が終了するまで不変性が維持される機能です。これにより、ランサムウェアや誤削除からクリーンなコピーを保護することができます。あらゆる場所での暗号化:AES-256などの強力な最新標準によって、転送中および保存中のデータを暗号化しましょう。また、最も簡単にデータ流出を防ぐため、キーを定期的にローテーションすることも重要です。ゼロトラストアクセス:ストレージは、自社の他環境と同じ原則に従う必要があります。つまり、暗黙の信頼は置かず、誰一人としてすべてを削除できる権限を持たせないことが重要です。マルチユーザー認証では、データ損失につながりうるアクションに対して複数の承認を要求することで、これを実現します。手頃なコストの復旧テスト:高額なAPI料金や下り転送料が課せられる場合、十分な頻度でテストが行われなくなります。定期的かつ妥協せずにテストを繰り返してこそ、データの復元が可能になります。また、テストを行うことで、復旧スピード以外に2つの基本事項を確認することができます。想定するデータが本当にバックアップされているかどうか、および、そのデータは実際のインシデント発生時に回復する必要がある内容かどうかということです。以上のポイントはそれぞれ、復旧チェーンの異なる部分を守ります。すべてが組み合わさることで、データの完全性、アクセス性、復元可能性という、レジリエントな組織に不可欠な3つの要素が保証されます。3.予算内かつSLAを守りながら復旧できるか?どんなに優れた防御策であっても、決して失敗しないということはあり得ません。ポイントは、問題が発生した際の復旧速度です。これによって、ビジネスへの影響が軽度なものでおさまるか、大規模な停止に陥るかが決まります。復旧計画がきちんと文書化されている場合でも、それが実行可能かつ、十分な頻度でテストされていなければ意味がありません。まず、ストレージとバックアップシステムがフェイルオーバーをどのように処理するかを確認します。重要なアプリケーションを迅速に復元できる状態か、もしくはデータがどのクラウド層に存在するかによって復元時間が異なるかどうかを確かめましょう。また、コストについても正直に向き合う必要があります。コールドストレージは一見、お手頃で良い選択肢に思えますが、大規模な復旧時に役に立たない場合があります。高額な下り転送料が掛かったり、インシデント発生時にデータ取得するために何時間も待たされたりすると、節約したコストもすぐに消えてしまいます。続いて、アクセスやリカバリにかかる時間について、ストレージプロバイダーのサービスレベル契約が社内のRTO(目標復旧時間)と一致しているかどうかを確認しましょう。RTOは、インシデント発生後にシステムとデータをどれだけ早くオンラインに復旧できるかを示すものです。そのスピードによって、業務停止の長さ、失われる信頼や収益、そして問題に対処できたと証明するまでの時間が左右されます。次に、RPO(目標復旧ポイント)です。ここではより具体的に、最後のバックアップからどのくらい遡ってデータを復元できるかを確かめます。これは、バックアップがどのくらいの頻度で行われるかによって完全に異なります。ストレージコストが経済的かつ予測可能であれば、頻繁にバックアップをすることでデータ損失の可能性を減らすことができます。コストが原因でバックアップの間隔を長くせざるを得なくなった場合、その分リスクが増大します。最後に、テストの頻度とコストを確認します。復旧テストは少なくとも四半期ごと、ビジネスのなかで重要もしくは更新頻度が高いシステムの場合は、より頻繁に行う必要があります。下り転送料またはAPI料金が課されるストレージプロバイダーを選んでいた場合、復旧テストの頻度は次第に減っていきます。テストが行われなくなることは、その分の信頼も低下することを意味します。費用もしくは時間がかかりすぎるテスト計画は、単なる机上の空論に終わります。定期的かつ手頃な価格でテストを実施することで、サイバーレジリエンス戦略のあらゆる側面が裏付けられます。4.自社のストレージがコンプライアンスと監査の要件を満たしているか?コンプライアンスは単なる形式的なものではなく、制御が機能していることを証明する責任を担います。ストレージはこの点において、多くの人が認識しているよりも大きな役割を果たしています。まず、組織に適用される規制と内部ポリシーを確認します。HIPAA、FERPA、GDPR、SOXなどのフレームワーク、またはPCI DSS、CJIS、FedRAMPなどの業界標準は、データ保持、プライバシー、セキュリティの領域で重なり合う部分が多くあります。これは、データの保存場所、暗号化、アクセス方法など、あらゆるストレージの決定がコンプライアンスに関わることを意味します。また、新たなEU規制により、監視がさらに強化されました。サイバーレジリエンス法とEUデータ法は、サイバーセキュリティ、データガバナンス、透明性に関する新たな義務を課しています。これらは、データの保存および保護方法を示すだけでなく、レジリエンスと信頼性の基準がより広範かつ世界的に引き上げられたことを反映しています。そのため、ストレージはコンプライアンスを実際に満たす機能を備えている必要があります。以下の要件を満たすかどうか、ストレージチームと確認してください。保持と不変性:規制の対象となるデータは、保存期間全体にわたって保持され、変更または削除できない状態になっていますか?イミュータブル機能とバージョン管理を導入することで、監査が求める保証が提供されます。暗号化とキー管理:機密データは、AES-256などの強力な最新標準を使用して、転送中・保存時に暗号化されていますか?キーは定期的にローテーションされ、ストレージ資格情報とは異なるキー専用管理サービス(KMS)で管理されていますか?ゼロトラストの原則:ストレージ環境では、管理アクションに対して最小限の権限、継続的な検証、職務の分離が課されていますか?MUAなどの機能を通して、内部リスクを減らすことができます。監査への準備と可視性:監査の際、データアクセス、保持、復旧に関するエビデンスをどれだけ迅速に提示できますか?ログとメタデータは、規制当局の基準を満たしていますか?これらのポイントの中で何かしらの不明点がある場合は、そこをさらに深掘りする必要があります。暗号化、不変性、専用キー管理、透明性のある監査ログをサポートするストレージは規制要件を満たすだけでなく、セキュリティとコンプライアンス全体にわたる信頼性を強化します。まとめレジリエンスは偶然手に入るものではありません。不可避のトラブルを想定した計画・テスト・適応を通し、意図的に積み重ねてゆくものです。ストレージはレジリエンス全体において目立つ要素ではありませんが、残りの部分がどれだけ早く復旧できるかを決定づける存在です。本稿で取り上げた不変性、アクセス、テスト、コンプライアンスに関しての質問は、今後の対応が可能かどうかを確認する指針となります。こういった問いかけに答えられない部分があったとすれば、そこが着手し始めるべきポイントということです。レジリエンスはただ考えるだけでなく、検証があってこそ構築されます。復元をテストすることで、最悪の事態が発生した場合でも組織が事業を継続できるという自信につながります。...
これまで、欠けているパラメータ探しや古くなったAPIドキュメントの読解に苦労したことがあれば、質の悪いドキュメントがどれだけの時間を浪費することになるかをご存じのはずです。こういった状態は集中力の妨げとなるだけでなく、エラーの確認に追われ、機能を構築することができずにリリースが遅れる原因となります。そのため、WasabiではAPIファーストのアプローチを採用し、開発者向けのドキュメントとツールを根本から再構築しました。本稿では、新機能とその重要性、そして新しいWasabi API Reference Centerが開発のあらゆる側面を効率化する方法について解説します。より速く、よりスマートに、よりインタラクティブな体験をもたらすWasabi APIWasabiは、クラウドストレージを高速・予測可能・シンプルにすることを目指してきました。その使命を果たすうえで重要なのが、信頼性の高い統合を実現することです。そこで導入したのが、開発者がAPIを探索、テスト、展開する際に役立つインタラクティブな統合環境であるWasabi API Reference Center’(英語ページ)です。Wasabi API Reference...
医療DXの進展に伴い、電子カルテや医療情報の外部保存(クラウド化)が急速に進んでいます。しかし、医療情報は極めてセンシティブな内容のものが多く、サイバー攻撃の標的になりやすいため、厚生労働省・総務省・経済産業省が定める「3省2ガイドライン」への準拠が不可欠です。本記事では、ガイドラインの概要を整理したうえで、医療機関やベンダーがクラウドサービスを選定する際に最も重視すべき「データ保管場所(国内リージョン)」と「ランサムウェア対策(オブジェクトロック)」の重要性について、最新のセキュリティ要件を交えて解説します。3省2ガイドラインとは医療情報システムの導入や運用において、セキュリティ対策の基準となるのが「3省2ガイドライン」です。まずはその全体像と、なぜ今対策が急務とされているのか、その背景を解説します。3省2ガイドラインの構成「3省2ガイドライン」とは、以前は3つの省庁がそれぞれ発行していたガイドラインを整理・統合した総称です。現在は以下の2つのガイドラインで構成されています。厚生労働省「医療情報システムの安全管理に関するガイドライン(第6.0版)」主に医療機関を対象としたガイドラインです。病院、診療所、薬局などが、患者の電子カルテなどの医療情報を適切に管理・運用するための指針が示されています。参照:厚生労働省「医療情報システムの安全管理に関するガイドライン 第6.0版(令和5年5月)|厚生労働省」経済産業省・総務省「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」主にシステム・サービスを提供するベンダーを対象としています。医療機関と契約し、電子カルテシステムやクラウドサービスなどを提供する事業者が遵守すべき安全管理措置が定義されています。参照:経済産業省「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」ガイドライン制定の背景このように厳格なガイドラインが定められている背景には、医療機関を狙ったサイバー攻撃の激化があります。特に、データを暗号化して身代金を要求する「ランサムウェア」や、感染力が強いマルウェア「Emotet(エモテット)」による被害が、国内外の医療機関で多発しています。医療情報は患者の病歴や身体的特徴を含む「要配慮個人情報」です。漏洩や紛失は患者の生命やプライバシーに直結するため、一般の情報システム以上に高水準の安全管理が求められます。ガイドラインへの準拠は、単なる推奨事項ではなく、医療の信頼と継続性を守るための必須条件と言えるでしょう。ガイドライン準拠のクラウド選定ポイント1:データの保管場所医療情報のクラウド保存を検討する際、真っ先に確認すべきなのが「データが物理的にどこにあるか」という点です。ガイドラインに準拠した運用を行ううえで、なぜ「国内リージョン」が重要なのかを解説します。国外法適用のリスククラウドサービスを利用して医療情報を外部保存する場合、ガイドラインでは「情報を保存する国・地域」や「その国における国外法の適用可能性」を確認することを求めています。もし、データセンターが海外にある場合、その国の法律(例えば、捜査機関によるデータ差し押さえ権限など)が適用されるリスクがあり、日本の法律では想定していない形でのデータ開示やアクセス制限を受ける可能性が否定できません。また、医療機関側が「データがどこにあるか把握していない」状態は、管理責任を果たしているとは言えません。物理的なデータの所在が「日本国内(東京・大阪など)」であることが明確なサービスを選ぶことは、予期せぬ法的リスクを回避し、コンプライアンスを遵守するうえで大きな安心材料となります。BCPにおけるリージョンの役割災害大国である日本において、医療機関のBCP(事業継続計画)対策は急務です。ガイドラインにおいても、災害やシステム障害発生時に診療を継続できるよう、データのバックアップ体制を整えることが求められています。ここで重要になるのが、リージョン(データセンターのエリア)の選択です。特定の地域で大規模災害が発生した場合、データを守るうえで有効なのが遠隔地でのバックアップです。しかし、前述の通り海外への保存には法的な懸念が残ります。そのため、「国内法が適用される範囲内」かつ「地理的に離れた場所(例:東京と大阪)」でデータを冗長化(二重化)することが、コンプライアンス遵守と可用性の確保を両立させるための理想的な解決策となります。ガイドライン準拠のクラウド選定ポイント2:ランサムウェア対策と「真正性」の確保クラウド選定のもう一つの重要な基準が、ランサムウェア対策です。ガイドラインで求められる「情報の真正性」を守るために、どのような技術的対策が必要かを見ていきましょう。医療機関を狙うランサムウェアの脅威近年、ランサムウェア攻撃により電子カルテシステムが暗号化され、診療停止に追い込まれる事例が後を絶ちません。2022年には大阪急性期・総合医療センターでシステム障害が発生し、通常診療が長期間行えなくなる深刻な事態も発生しました。攻撃の手口は巧妙化しており、本番環境のデータだけでなく、バックアップデータそのものを狙って暗号化・破壊するケースも増えています。従来のように「データをコピーして保存しておけば安心」という考え方は通用しなくなっており、バックアップデータがウイルス感染や不正アクセスによって書き換えられないようにするための「強固な仕組み」が必要とされています。ガイドラインが求める「真正性の確保」と「復旧」ガイドラインでは、医療情報の安全管理において、以下の3つの要素(情報セキュリティの3要素)の確保を求めています。機密性:許可された人だけがアクセスできること完全性(真正性):情報が破壊・改ざんされていないこと可用性(見読性・保存性):必要な時にいつでも情報を使え、復元できること特にランサムウェア対策としては、一度保存したデータが不正に改ざん・消去されない「真正性」の確保が重要となります。ここで有効なのが、クラウドストレージの「オブジェクトロック(イミュータブルストレージ)」機能です。この機能を設定すると、指定した期間は管理者であってもデータの変更や削除ができなくなります。この結果、万が一ランサムウェアがシステム内に侵入しても、バックアップデータは「書き換え不可能」な状態で保護されるため、感染前のクリーンな状態に復旧することが可能です。医療機関・ベンダーが具体的に確認すべきチェック項目実際にクラウドサービスを選定・導入する際、医療機関とシステムベンダーそれぞれが確認すべき具体的なアクションリストは以下の通りです。医療機関向けの確認事項医療機関のシステム担当者は、外部保存を委託する事業者が十分なセキュリティ水準を満たしているかを確認する責任があります。第三者認証の取得確認:委託先のクラウド事業者が、ISMS認証(ISO/IEC 27001)やプライバシーマーク(Pマーク)を取得しているかを確認してください。これらは情報セキュリティ管理の仕組みが整っていることの証明になります。チェックリストの活用:厚生労働省が公開している「医療機関におけるサイバーセキュリティ対策チェックリスト」を活用しましょう。特に、「データやシステムのバックアップの実施と復旧手順を確認しているか」という項目は、ランサムウェア対策の実効性を測るうえで重要です。システムベンダー向けの確認事項医療機関にシステムを提供するベンダーは、説明責任を果たす必要があります。リスク情報の提供と合意:医療機関に対し、リスクアセスメントの結果や、データの物理的な保存場所(国内かどうか)を明示的に説明し、SLA(サービスレベル合意書)を締結しているか確認します。復旧アーキテクチャの確立:提供するシステムが、ランサムウェア攻撃を受けた際に、オブジェクトロックされたバックアップデータ等を用いて迅速に復旧できる設計(アーキテクチャ)になっているかを見直します。まとめ3省2ガイドラインは、患者の命とプライバシーを守るために、医療情報を扱うすべての関係者が準拠すべき重要な指針です。クラウド選定においては、単なるコスト比較だけでなく、「データが国内リージョンに保管され、法的リスクがないか」、「オブジェクトロック等の機能でランサムウェアからデータを守れるか」が極めて重要な判断基準となります。Wasabiのクラウドストレージは、日本国内(東京・大阪)のリージョンを選択可能で、ランサムウェア対策として有効なオブジェクトロック機能を標準で提供しています。ガイドラインの安全管理措置に適合する堅牢なデータ保護基盤として、ぜひご検討ください。...