「2026年 情報セキュリティ関連の主要動向まとめ」でもお知らせしておりました、経産省主導の「サプライチェーン強化セキュリティ評価制度」の公式サイトが公開されました。
SCS評価制度とは・・・(サプライチェーン強化に向けたセキュリティ対策評価制度)
サプライチェーンを構成する企業のセキュリティ対策を、共通基準で評価・可視化する制度です。
取引先を経由したサイバー攻撃や情報漏えい、業務停止が増えるなかで、発注企業が委託先の対策状況を確認しやすくするとともに、委託先が取引先ごとに異なる質問票や要求へ対応する負担を減らすことを目的としています。経済産業省と内閣官房国家サイバー統括室が制度を構築し、IPAが運営します。
<主な評価内容>
評価項目は、単にウイルス対策ソフトを導入しているかだけではありません。おおむね、次のような組織面・技術面の対策が対象です。
・経営者の関与、責任者・管理体制の整備
・情報資産やシステムの把握
・セキュリティ規程・ルールの整備
・従業員への教育
・アカウント・アクセス権限の管理
・多要素認証、パスワード管理
・脆弱性・アップデート管理
・マルウェア、不正アクセス対策
・ログの取得・監視
・バックアップと復旧
・インシデント発生時の対応体制
・委託先・クラウドサービスの管理
・取引先や関係者への報告・連絡体制
特定のセキュリティ製品を購入しなければならない制度ではなく、要求事項をどのような方法で満たしているかが評価されます。詳細な解説書と取得ガイドは、2026年10月頃の公表予定です。
<対象となる企業・範囲>
業種や企業規模を問わず、サプライチェーンに参加する幅広い企業が対象になり得ます。
主な評価対象は、パソコン、サーバー、ネットワーク、クラウド環境などの企業のIT基盤です。工場設備などの制御・OTシステムや、顧客に提供する製品自体は原則として直接の評価対象外とされ、別の制度やガイドラインによる対策が想定されています。
<義務なのか>
制度そのものは任意制度であり、法令によって全企業に取得が義務付けられるものではありません。
ただし、実務上は発注企業が取引条件として、
「この業務を委託する企業は★3以上を取得していること」
などと求める可能性があります。そのため、将来的には入札、業務委託、取引先選定などで、取得状況が確認される場面が増えると考えられます。
なお、経済産業省は現時点で「取得していないと商取引が規制される」「今すぐ取得しないと入札から除外される」といった勧誘は不適切であるとして注意を呼びかけています。
<中小企業への影響>
中小企業にとっては、取引先からSCS評価を求められる可能性がある一方、取引先ごとに異なるセキュリティチェックシートへ何度も回答する負担を減らせるメリットがあります。
SCS評価制度への対応は、一度にすべてを整備する必要はありません。
まずは、自社がどのような情報を保有し、どのようなサービスを利用しているのかを確認することが第一歩です。
セキュリティ対策は、事故を防ぐためだけでなく、取引先や顧客から安心して仕事を任せてもらうための重要な経営基盤でもあります。
今後公表される評価基準や取得ガイドを確認しながら、自社に必要な対策を整理し、無理のない範囲から準備を進めていきましょう。