迫る！経産省「サプライチェーン強化に向けたセキュリティ対策評価制度」とは？〜発注者・受注者が今すぐ知るべきポイントを徹底解説〜

近年、自社だけでなく取引先や委託先の弱点を突いた「サプライチェーン攻撃」が深刻化しています。また、取引先からセキュリティチェックシートが届くたびに、対応に追われていませんか？ 

「自社のセキュリティ対策、本当にこれで十分なのか客観的な指標が欲しい……」

そんな企業の悩みを解決する、新たな国家制度がいよいよ動き出します。

2025年12月、経済産業省は「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針（案）」（SCS（Supply Chain Security）評価制度の構築方針（案））を公表しました。これは企業単体ではなく、取引関係全体のセキュリティを底上げする新制度です。企業のセキュリティ水準を星（★）の数で格付けするもので、2026年度末頃の運用開始が想定されています。

本コラムでは、この新制度の全体像と、発注者・受注者それぞれにもたらすメリット、そして「今すぐ知るべきポイント」についてわかりやすく解説します。

なぜ今、サプライチェーンのセキュリティなのか

2020年以降、国内外でサプライチェーンを起因としたサイバー攻撃や侵害が多発しています。特に日本国内では、ランサムウェアへの感染をきっかけに、情報漏洩やシステムの停止、さらには部品供給が滞り工場が停止するといった甚大な被害が後を絶ちません。

独立行政法人情報処理推進機構（IPA）が発表する「情報セキュリティ10大脅威」においても、サプライチェーンリスクに対する関心は年々高まっており、常に上位にランクインしています。

サイバー攻撃は、最も守りが弱い企業を入口にして拡大します。
大企業が直接攻撃されるのではなく、セキュリティの甘い委託先や関連会社（サプライチェーン）を経由して本丸を攻める「サプライチェーン攻撃」が増えています。しかし、中小企業にとっては「何をどこまでやればいいか分からない」、発注側にとっては「取引先の対策状況を正確に把握できない」という課題がありました。

この制度は、こうした状況を受けて、企業間取引の安全性を担保する共通の物差しを作ることを目的としています。サプライチェーン全体のセキュリティ対策状況を可視化し、リスクを体系的に低減する狙いがあります。

また、企業ごとにバラバラだったセキュリティ要求を統一し、過度な要求や認識のズレを防ぐ役割も期待されています。

セキュリティ対策評価制度（SCS評価制度）の仕組み：★星の数でセキュリティレベルを評価

「サプライチェーン強化に向けたセキュリティ対策評価制度（SCS評価制度）」は、企業のIT基盤のセキュリティ対策状況を客観的に評価し、そのレベルを「★（星）」マークで可視化・公開する仕組みです。

主な特徴は以下の通りです。

※★3・★4が先行して運用される見込みです。
※★1・★2は、既存の「SECURITY ACTION」制度との整合性を踏まえて位置付けられる予定です。

ISO認証のように、自社のセキュリティレベルを客観的に証明できる制度になります。この評価結果は、取引先の選定にも直接影響すると考えられています。

発注者は何をすればよいのか

発注側（委託元）企業にとって最大のポイントは、取引条件にセキュリティ要件を組み込むことです。

制度では、発注者が受注者に対して「★4以上」などの基準を提示し、その達成度を確認する運用が想定されています。バラバラだった独自のチェックシートを本制度に統合することで、管理コストの大幅な削減が可能です。発注企業にとって、この制度は「取引先管理の強力な武器」になります。

発注者が取るべき主な対応は次の通りです。

• 自社の必要セキュリティ水準を定義する
• 既存取引先の評価・見直し　→　現行の委託先管理プロセスを見直し、現行要件とのギャップを分析
• 取引先に求める星ランクを決める　→　どの業務レベルに対して「★3」や「★4」を要求するかの方針を策定、委託先への制度適用の周知
• 調達・契約プロセスに組み込む　→　継続的なモニタリングプロセスの設計

これにより、委託先由来の事故リスクを低減できるだけでなく、説明責任も果たしやすくなります。

受注者は何をすればよいのか

受注側（委託先）企業にとっては、より直接的な影響があります。
自社の評価が低い場合、取引機会そのものを失う可能性があるためです。

制度の目的の一つは、「どこまで対策すればよいかを明確にすること」です。受注企業にとって、この制度は「負担」ではなく「信頼の証明」と捉えるべきです。

受注者が今から取り組むべきことは以下です。

• 現在のセキュリティ対策の棚卸し
• 必要レベルとのギャップ分析
• 基本対策の強化　→　ウイルス対策、OS更新、ID管理、アクセス管理、ログ管理、バックアップ等
• 社内ルール・教育の整備　→　不足している規程の改定や技術的対策、インシデント発生時の連絡体制整備等を実施
• 第三者評価への準備

特に中小企業は、リソース不足で対策が遅れがちなため、本制度の影響を強く受けると考えられています。
本制度は2026年下期（10月〜3月）の運用開始が想定されています。しかし、対策の実施や評価の準備には時間がかかるため、早期から準備に取り掛かることが望まれます。

制度導入による「発注者」「受注者」のメリット

この制度は、単なる規制ではなく、発注者と受注者（委託元と委託先）の双方に大きなメリットをもたらします。

発注者のメリット

• 要求水準の明確化： 調達や業務委託の際、受注者に対して「★3以上」といった形でセキュリティ要件を明確に指定できるようになります。
• 評価プロセスの効率化： これまで取引先ごとに個別に実施していたセキュリティ調査（アンケート送付や監査）が標準化されるため、管理にかかる工数が大幅に削減されます。

受注者のメリット

• 個別対応からの解放： 一度「★」の認定を取得・公開すれば、複数の発注元から個別に要求されていたセキュリティ評価やアンケート対応の手間から解放されます。
• 信頼性の証明と競争力強化： 自社のセキュリティ対策方針が明確になり、取引先からの信頼獲得や継続的な受注機会の確保に直結します。

制度に適合することで、単なる「セキュリティ強化」以上のメリットがあります。双方にとって、取引先からの信頼向上、新規取引のチャンス拡大、セキュリティ投資の指針明確化、事故時の被害最小化、などが見込めます。

サプライチェーン全体の強化が進めば、経済全体のレジリエンス向上にも寄与します。

制度に対応しないとどうなるのか

最も現実的なリスクは、取引からの排除です。

セキュリティ水準が明確に比較されるため、基準未満の企業は選ばれにくくなります。サプライチェーンのどこかでインシデントが発生した際、「適切な監督を行っていたか」が問われます。本制度のような公的基準を活用していない場合、ガバナンス不備とみなされるリスクが高まります。

「一定ランク未満の企業とは取引しない」という条件が一般化する可能性も指摘されています。これは品質認証やコンプライアンス要件と同様、ビジネス参入条件の一つになることを意味します。

いつまでに何をすればよいのか

SCS評価制度は2026年度末頃の運用開始が想定されています。

（※2026年度春以降「サイバーセキュリティお助け隊サービス」の新類型（★3取得支援など）の実証開始予定）

実質的な準備期間は非常に短いと言えます。
今すぐ着手すべきステップは次の通りです。

制度開始直前では対応が間に合わない可能性があるため、早期対応が重要です。

まとめ：サプライチェーン時代の「新しい信用」

SCS評価制度は単なるIT施策ではありません。今後のBtoBビジネスにおいて、継続的な取引の必須条件（パスポート）となる可能性が高い重要な取り組みです。

    発注者：安全な取引先選定の仕組み
    受注者：事業継続のための必須要件
    社会全体：サイバーリスクの低減

「うちは狙われない」「小規模だから関係ない」という考え方は通用しなくなりつつあります。「難しそう」「お金がかかりそう」と感じるかもしれません。しかし、経済産業省は中小企業でも取得しやすいよう、安価な支援サービス（お助け隊サービス）やガイドラインの整備も同時に進めています。

サプライチェーンの一員である限り、すべての企業が対象です。
制度開始までに、自社の立ち位置を把握し、必要な対策を計画的に進めることが求められます。本制度を「経営課題」として捉え、前もって対応を進めることが不可欠です。

株式会社LYSTの支援サービス

株式会社LYSTでは、発注者・受注者双方の立場に立った実務支援を行っております。

• 発注者向け： 委託先への要求水準の策定から、独自アンケートの設計、継続的なモニタリング体制の構築までを一貫して支援する「委託先管理プロセス構築支援サービス」
• 受注者向け： ★3/★4の取得に向けた現状のギャップ分析、対策案の立案、規定改定や技術的対策のアドバイザリーを行う「認定取得への伴走型支援サービス」

制度への対応や現状把握にお悩みの方は、ぜひお気軽に株式会社LYSTまでご相談ください。事実と経験に基づいた最適な「次の一手」をご提案いたします。

  ★LYSTにお気軽にご相談ください★