法規制対応ガイド(何を満たすか)の姉妹版。本ガイドは「受注する事業者に何が要るか」を、組織の認証・人材の資格・事業形態の許可・入札資格・AWS パートナー認定の 5 レイヤーで、必須度別に整理する。
資格要件は「持っていないと受注できないもの」から「あると勝てるもの」まで濃淡がある。本ガイドは全項目を次の 3 段階で色分けする。
2026 年 5 月時点の公的・公式情報に基づく一般整理。制度・版番は改定される。実際の取得計画・入札参加にあたっては、各公式と当該調達仕様書で最新を確認すること。
| 資格・要件 | レイヤー | 必須度 | いつ効くか |
|---|---|---|---|
| 全省庁統一資格(物販+役務) | 入札 | 必須ゲート | 国・独法(国立病院機構)の入札参加 |
| 自治体 入札参加資格者名簿 | 入札 | 必須ゲート | 自治体立病院の入札参加 |
| ISMAP 登録 | 入札/認証 | 必須ゲート | クラウドで国・独法を狙う時(原則必須) |
| 医療機器製造販売業許可+QMS+製品承認 | 事業形態 | 条件付き必須 | 診断支援(SaMD)機能を載せる場合のみ |
| 衛生検査所登録 | 事業形態 | 条件付き必須 | 自社で検体検査を受託する場合のみ |
| ISMS(JIS Q 27001:2023)+ ISO 27017 | 組織認証 | 実質必須 | クラウド提供の選定前提 |
| プライバシーマーク(JIS Q 15001:2023) | 組織認証 | 実質必須 | 個人情報取扱事業者の信頼担保 |
| 医療情報技師 | 人 | 実質必須 | 調達仕様書に「望ましい資格」と明記 |
| 3省2GL(事業者向け第2.0版)準拠表明 | 体制 | 実質必須 | 医療情報システム提供の前提 |
| AWS Security-Specialty + CISSP | 人 | 加点・差別化 | 医療×クラウドの信頼の核 |
| AWS HCLS(ヘルスケア)Competency | パートナー | 加点・差別化 | 医療で AWS 公認+共同営業 |
| ASPIC 医療情報認定 / HISPRO 適合性評価 | 組織認証 | 加点・差別化 | 医療特化の訴求 |
| 上級医療情報技師 / 高度区分IPA(PM・SA) / 登録セキスペ | 人 | 加点・差別化 | 体制の厚み・調達加点 |
| ISO 27018 / Migration Competency / 同種実績 | 各種 | 加点・差別化 | PII保護・移行価格競争力・実績要件 |
情報セキュリティマネジメントシステムの認証。JIS Q 27001:2023(ISO/IEC 27001:2022 対応、2023-09-20 公示)、追補1=JIS Q 27001:2025(2025-05-20)。旧版からの移行期限は 2025-10-31。
3省2GL 事業者向けGL が安全管理体制の中核として明記。医療機関の調達基準でほぼ必須化。これがないと選定テーブルに乗らない、全ての土台。
クラウドサービスのための情報セキュリティ管理策実践規範(ISO/IEC 27017:2015)。CSP/CSC の役割分担を明確化。ISMS に上乗せして取得。
LIS を SaaS 提供する以上、ISMS 単独では不足とみなされやすい。クラウド提供形態では実質必須化が進行。ISMS とセットで固めるのが現実解。
パブリッククラウドの個人情報(PII)保護実践規範。患者 PII を扱うクラウドの加点要素。27017 とセットで取得されることが多い。
27017 取得時に同時上乗せが効率的。患者データを扱うクラウドであることの信頼性を補強。
個人情報保護マネジメントシステムの認証。JIS Q 15001:2023、構築・運用指針 ver1.0 は 2024-10-01 申請分から適用。医療系は『保健医療福祉分野のプライバシーマーク認定指針』(MEDIS)の遵守が望ましい。
提供事業者GL が「取得が望ましい」。要配慮個人情報を扱う事業者の信頼の土台。ISMS と並行取得可。入札では「Pマーク or ISMS のいずれか保有」で条件クリアとする公告が多い。
政府情報システムのためのセキュリティ評価制度。国の機関・独法・指定法人のクラウド調達は原則 ISMAP クラウドサービスリスト登録が要件。ISMAP-LIU(低リスク SaaS 向け、2022-11 運用開始)。
国立病院機構・大学病院等の公的調達を狙う段階で必須。民間医療機関中心なら後回し可。注意:LIS は要配慮個人情報を扱うため「低リスク用途」に該当しにくく、ISMAP-LIU ではなく本体側が筋。登録は監査コスト・期間が大きく投資判断が要る。
クラウドサービスの安全・信頼性に係る情報開示認定制度(医療情報 ASP・SaaS)。総務省『医療情報を取り扱う ASP・SaaS 安全・信頼性ガイドライン』が根拠(2017-10 運用開始)。
医療情報を扱うクラウドの安全性を開示・認定。医療機関の調達担当への提案で訴求力が高い。提案差別化として中盤以降に。
HISPRO 適合性評価:製品/サービス単位で 3省2GL 適合を第三者点検。JASA CS ゴールドマーク:ISO/IEC 27017 ベースの外部監査人による第三者評価(27017 認証の代替/補完)。
医療機関の選定材料として実務で参照される。27017 認証を取らない/補完する選択肢として、または 3省2GL 適合の分かりやすい証明として。
3省2GL のセキュリティ体制説明・安全管理責任者の裏付け。クラウド案件の責任分界の説明者として特に重い。政府調達でセキュリティ人材要件として評価されやすい。
調達仕様書(NCVC 等)で「情報システム:高度区分」を望ましい資格に明記。プロジェクトマネージャは体制責任者の定番証明。構築チームの体制要件として効く。
診療情報管理士:コード・国際統計分類・院内情報運用の理解。病院情報連携時に効く。医療情報システム監査人(MEDIS-DC):安全管理・運用適正の監査証明で 3省2GL 準拠の第三者性アピール。規模拡大・大病院/連携案件で追加する加点枠。
この 2 枚が医療機微情報案件の信頼と提案加点の中心。AWS Security-Specialty(SCS-C02、6ドメイン)は暗号化・データ保護・ログ監視・ガバナンスの技術実装を、CISSP は組織のセキュリティ統括を証明し、補完関係にある。大型・公共入札での加点効果が大きい。
Solutions Architect Associate=構築の中核、Professional(SAP-C02)=設計力の最上位証明と入札加点。DevOps Engineer Professional=運用自動化・監視。Advanced Networking-Specialty=院内⇔クラウドの閉域接続設計。Terraform Associate=IaC 標準(2026-01 から 004)。これらの保有数が AWS パートナーティアの要件を満たす。
コンテナ基盤採用なら CKA→CKS(K8s セキュリティ)。マルチクラウド提案なら Azure(AZ-305/AZ-500)or GCP(PCA/Security Engineer)の1系統。監査・第三者統制が契約要件なら CISA。CISM はセキュリティ管理の戦略側(CISO/責任者)。Security+ は全員のセキュリティ基礎兼 CISSP 実務要件の waiver。
SaMD を自社名で市場に出す場合。クラスⅢ・Ⅳ=第一種、Ⅱ=第二種、Ⅰ=第三種(上位は下位をみなす)。総括製造販売責任者・三役体制が必須。製品ごとに承認(クラスⅢⅣ)/認証(基準ありのⅡ)/届出(Ⅰ)。QMS 省令(平16厚労令169号、令3改正で ISO13485 整合、ソフトウェアバリデーション義務)への適合が承認要件。
他社製を含む高度管理医療機器を業として販売・貸与する場合は「許可」(営業所管理者の設置必須)、管理医療機器なら「届出」。自社開発でなくても、SaMD を再販・サブスク提供するなら対象。
検体検査を業として受託する場合(病院・診療所等を除く場所で実施)。臨技法20条の3。管理者(医師 or 相当経験の臨床検査技師)+指導監督医、構造設備・精度管理基準。LIS ソフト提供だけなら非該当。
| 観点 | 公的病院(国立病院機構・自治体・地独・大学) | 民間病院 |
|---|---|---|
| 選定方式 | 原則 一般競争入札。基準額超は総合評価方式/公募型プロポーザル(技術点+価格点) | 随意契約。価格・機能・関係性で自由に選定 |
| 入札参加資格 | 全省庁統一資格(国・独法)または自治体名簿登録が必須。等級・営業品目の指定あり | 不要 |
| 認証 | Pマーク/ISMS が条件 or 加点。クラウドは ISMAP(国・独法は原則必須) | 必須ではない。3省2GL 準拠は実務上ほぼ必須 |
| 実績・体制・財務 | 同種実績・保守体制証明・経営状況審査が課される | 病院側の任意判断 |
| 営業上の含意 | 資格を事前に整えないと入札に参加すらできない | 製品力・サポート・価格交渉が勝負 |
国の機関・独法の調達で必須。営業品目は物品の製造/販売/役務の提供等/買受の4区分(LIS は「物品の販売」「役務の提供等」)。調達ポータルからオンライン申請、有効期間 最大3年(現行 令和7・8・9年度)。等級 A〜D は財務等で自動格付け。国立病院機構の病院情報システム実例では A・B・C が対象(D は対象外)。
都道府県・市町村立病院の競争入札。全省庁統一資格とは別物で、自治体ごとに登録が必要。有効期間は自治体により異なる(神奈川2年・千葉/岡山 最大36か月 等)。営業品目の指定と定期申請の始期を逆算してスケジュール管理。地独・大学病院は設立団体名簿の準用 or 独自名簿で、法人ごとに要確認。
「本業務と同種業務実績1件以上」型が典型。保守・アフターサービス体制の証明、経営状況(自己資本・流動比率)審査。3省2GL 準拠表明は仕様書でほぼ必ず要求される。総合評価・プロポーザルでは認証・実績・有資格者で加点。
AWS Professional 認定を企業規模別に保有+ヘルスケア固有の本番稼働事例4件(うち2件は公開参照可能)+技術検証・監査。取得すれば医療業界での専門性を AWS が公式認定し、Solutions Finder 上位表示・共同営業スコア向上・AWS 営業への直接アクセス。医療機関提案で大きな差別化になる。事例4件のリードタイムが長いので、ティア到達と実績作りを進めながら最終目標として狙う。
大規模移行の実績・体制・技術力の検証。Competency 取得 or Validated Stage で MAP 資金が使え、顧客の初期移行コストを相殺できる。LIS の「既存システム→クラウド移行」が主戦場なら優先度が高く、提案の価格競争力=直接受注力に効く。
本シリーズは、医療情報システムの開発・クラウド化を手がける X Harumi が、公的な一次資料を根拠条項まで遡って再整理したものです。AI 活用支援・業務効率化・DX 推進・システム開発を提供しています。