top of page
ノートとペン

コラム

検索

SCS★3取得に向けた士業事務所のロードマップ——みまもりが支援できること

  • 3 日前
  • 読了時間: 4分

SCS★3の制度開始は2026年10月の予定です。

2026年4月時点から逆算すれば、制度開始まで約半年あります。計画的に準備を進めることができれば、小規模の事務所でも★3取得の申請ができる状態になります。この記事では、士業事務所がSCS★3を取得するまでの現実的なロードマップを整理します。



フェーズ1:現状把握(1〜2ヶ月)

最初にやることは「今の状態を知る」ことです。★3の26項目に対して、現在の自事務所がどの程度対応しているかを確認します。

具体的な作業はIT資産台帳の作成です。PC・スマートフォン・ルーター・クラウドサービスの一覧を作りながら、同時にBitLockerの設定状況、MFAの設定状況、バックアップの状況を確認します。

この作業の結果として「対応済み」「設定はされているが文書化なし」「未対応」の3区分で★3の各項目を仕分けします。これが次のフェーズの優先順位の根拠になります。

所要時間の目安は、担当者1名が集中して取り組めば2〜4週間です。外部の支援を受ける場合はより短縮できます。みまもりの無料診断では、この棚卸し作業を支援します。



フェーズ2:技術的な設定の整備(2〜3ヶ月)

フェーズ1で「未対応」と判定された技術的な項目を実装します。

多くの場合、この段階で残る未対応項目は「BitLockerが設定されていないPCがある」「一部のクラウドサービスにMFAが設定されていない」「Intuneに登録されていない端末がある」といったものです。

Microsoft 365 Business Premiumを使っている事務所であれば、これらの大部分はMS365の機能範囲内で対応できます。追加の費用が発生する場合でも、Business BasicからBusiness Premiumへのアップグレード程度(1名あたり月額約1.500円の差額)が主な費用です。

この段階での注意点は「設定作業の記録を残すこと」です。「いつ・何の設定を・誰が実施したか」を記録します。これが後の審査での証跡になります。記録なき設定変更は「やっていない」と同じ評価を受ける可能性があります。



フェーズ3:文書整備(2〜3ヶ月)

★3の要件の中で「文書化」に関するものは多い。技術的な設定が整っていても、それを裏付ける文書がなければ要件を満たしません。

整備すべき主な文書は以下の通りです。


情報セキュリティポリシー(基本方針)——「うちの事務所は情報セキュリティをこのように管理する」という基本的な考え方を示す1〜2ページの文書。


IT資産管理規程——台帳の管理方法・更新ルール・廃棄手順を定めた規程。アクセス管理規程——誰がどのシステムにアクセスできるか、退職時の手順等を定めた規程。


インシデント対応手順書——何かが起きたときの対応フローを定めた1ページの手順書。


バックアップ管理規程——バックアップの実施頻度・保管場所・復元確認頻度を定めた規程。


これらはIPAが公開している「中小企業の情報セキュリティ対策ガイドライン(改訂版)」のひな型を基に作成できます。ゼロから書く必要はありません。ひな型を事務所の実態に合わせて修正する作業です。



フェーズ4:セキュリティ専門家による確認(1ヶ月)

★3の取得プロセスでは、自己評価の結果についてセキュリティ専門家(登録セキスペ等)による確認・助言が必要です。

専門家にはIPAの「中小企業向けサイバーセキュリティ対策支援者リスト」から依頼することになります(2026年度中に公開予定)。

専門家確認の前に「自己評価シートの記入」が必要です。★3の26項目について、各項目の対応状況と証跡(文書・設定画面のスクリーンショット等)を記録した評価シートを作成します。



フェーズ5:登録機関への申請

専門家確認が完了したら、取得希望組織の経営層による適合宣言を行い、登録機関(IPA)への評価結果提出・申請を行います。申請が受理されれば★3のロゴマークが発行されます。有効期間は1年で、毎年の更新が必要です。



みまもりが支援できること

行政書士事務所みまもりは、このロードマップの「フェーズ1〜3」を支援します。

現状把握のためのIT簡易診断(無料)。IT資産台帳のひな型作成と棚卸し支援。Microsoft 365のセキュリティ設定確認と整備。★3対応に向けた各種規程・文書の整備支援。

「フェーズ4」のセキュリティ専門家確認については、登録セキスペ等の専門家との連携・紹介を通じてサポートします。


制度開始まで約1年のうち、フェーズ1〜3を今から始めることをお勧めします。まず現状を確認するところから一緒に始めましょう。


▶ 士業向けIT・セキュリティ整備サービス(無料診断はこちらから)


行政書士事務所みまもり

セキュリティ研究者・デジタルフォレンジックエンジニア

成田 浩志

bottom of page