サプライチェーンセキュリティの評価制度(SCS評価制度)導入に向けて意見公募を実施、独禁法や取適法との関係について整理した想定事例も公表 経産省/NCO
経済産業省と内閣官房国家サイバー統括室(NCO)は2025年12月26日、企業のサイバーセキュリティ対策状況を可視化する新たな制度「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」について制度構築方針案と具体的な要求事項・評価基準案を公表し、意見公募を開始しました。意見の募集は今月24日まで。政府は今年度中に方針を正式決定し、2027年春頃(26年度末)の制度運用開始を目指します。
新制度は取引先を経由したサイバー攻撃の激化を受け、サプライチェーン全体での対策強化を目的としています。従来は企業間で個別にセキュリティ対策の状況を確認・回答してきましたが、統一の基準を設けることで対策状況の可視化を図るとともに、取引開始時に行う確認作業の効率化を推進します。
可視化は「★(星)」を用いた評価区分を用います。すでに情報処理推進機構(IPA)において「SECURITY ACTION(セキュリティアクション)」の取り組みがあるため、新制度では「★3」から始まります。セキュリティアクションでは基礎的な取り組みを自己宣言する「★1」と「★2」が運用されています。
意見公募の対象となっている要求事項・評価基準案は「★3」と「★4」の内容です。新制度は「★5」までを設計していますが、「★5」については来年度以降に具体化するスケジュールとなっています。要求事項・評価基準案は求められるセキュリティ対策を示すもので、米国立標準技術研究所(NIST)が策定した「サイバーセキュリティフレームワーク(CSF)」の6分野(※1)に「取引先管理」を追加した7分野で整理されています。
新制度が導入されると、発注企業は取引先(受注企業)に対し、セキュリティ対策の段階として「★3」や「★4」を提示して対策実施を促すことが想定されます。新制度はセキュリティアクション(IPA)のほか、日本自動車工業会(JAMA)と日本自動車部品工業会(JAPIA)が共同で作成した「自工会・部工会ガイドライン」と連携する制度設計を目指しました。
具体的には、「★3」は最低限実装すべき段階とされ、自工会・部工会ガイドラインの「レベル1」に対応します。要求事項は基礎的な組織的対策とシステム防御策で83項目あります。「★3」を取得するには、組織の自己評価に対しセキュリティ専門家が確認・助言を経て結果を確定させる「専門家確認付き自己評価」が必要です。
「★4」は侵入検知やインシデント対応を含む包括的・標準的なセキュリティ対策で要求事項が157項目あります。自工会・部工会ガイドラインでは「レベル2」に対応し、「レベル3」についても一部参照とします。「★4」取得には、認定を受けた評価機関による「第三者評価」と脆弱性検査などの技術検証が必須となります。
取引先(受注企業)での対策費用が取引価格に適正に転嫁されることも促します。経済産業省は発注側と受注側のパートナーシップ構築に向け、独占禁止法や取適法との関係を整理した文書を同日、公開しました。同文書は公正取引委員会の考え方を反映し、SCS評価制度に基づく対策要請と、それに伴う価格交渉について円満に合意する想定事例を示しています。
※1 6分野とは、統治(Govern)、識別(Identify)、防御(Protect)、検知(Detect)、対応(Respond)、復旧(Recover)のこと。
※2 「製造委託等に係る中小受託事業者に対する代金の支払の遅延等の防止に関する法律」(中小受託取引適正化法)のこと。2025年12月31日までは「下請代金支払遅延等防止法(下請法)」。
