複数の取引先から「うちの形式でセキュリティ対策状況を提出してほしい」と、それぞれ異なるフォーマットで求められる——そんな悩みを持つ中小企業は少なくない。経済産業省と内閣官房国家サイバー統括室が3月27日に公表した「SCS評価制度の構築方針」は、そのバラバラな要求を共通の物差しに統一しようとする試みだ。
SCS評価制度とは何か
SCSとは「Supply Chain Security」の略で、サプライチェーン(原材料の調達から製造・流通・販売に至る事業の連鎖)を構成する企業が、IT基盤においてどの程度のセキュリティ対策をとっているかを共通基準で評価・可視化する制度のことだ。
経産省は一次資料の中で「企業のセキュリティ対策レベルを競わせる格付け制度ではない」と明確に記している。では何かというと、発注側(委託元)が取引先(委託先)に対して「この水準を満たしてほしい」と提示し、その実施状況を確認するための共通言語に近い。格付け制度ではなく、認証ラベルを競う制度というより、企業間の確認様式を標準化する仕組みと捉えると分かりやすい。
★3・★4の2段階(★5は今後検討)で運用が始まる予定で、2026年度末ごろの制度開始(申請受付の開始)を目指している。
なぜ今、この制度が必要なのか
行政がこの制度を作ろうとした背景には、二つの現場の課題がある。
ひとつは発注側の悩みだ。委託先のセキュリティ対策状況は外から見えにくい。担当者に書面を出してもらっても、どこまで信頼していいか判断しにくい。かといって自社でゼロから監査するのは時間もコストもかかる。
もうひとつは受注側(特に中小企業)の悩みだ。複数の取引先からそれぞれ異なる形式でセキュリティ確認を求められる。A社からはExcelで提出、B社からはWeb入力、C社からは現地訪問確認——という具合に、対応コストが際限なく積み上がる。
SCS評価制度はこの二つを同時に解こうとしている。共通の物差しを作ることで、発注側は共通基準をもとに確認しやすくなり、受注側も取得した評価を複数の取引先への対応に活用しやすくなることを目指している。「厳格化」ではなく「標準化」という設計思想だ。
★3と★4の違いは「セキュリティの高低」だけではない
★3と★4の違いを「セキュリティが高度かどうか」だけで理解すると、少しずれる。
制度の設計では、★3は自己評価をセキュリティ専門家が確認するかたちを想定している。一方★4では、より広い要求事項を含み、第三者評価機関が関与するスキームも想定されている。
つまり★の数は「どれだけ高いセキュリティ技術を持っているか」という単純な高低比較だけでなく、「どの程度の証明責任の重さで対策状況を示すか」という確認の厳密さの違いでもある。自社のIT環境や取引先からの要求水準に応じて、どの段階から取得するかを判断する仕組みになっている。
対象はあくまで企業のIT基盤(クラウド環境を含む)であり、工場の製造設備などのOT(制御システム)や委託元に提供する製品そのものは今回の直接対象にはなっていない。まず共通化しやすいIT基盤から始める、という現実的な制度設計だ。
「取らせるための市場」まで同時に整備する
今回の発表で注目したいのが、評価制度の公表と同時に、中小企業向けの支援策が複数セットで出てきた点だ。
主なものを挙げると、「サイバーセキュリティお助け隊サービス(新類型)」の創設がある。これはSCS評価制度の★3・★4を安価かつ簡便に取得できるよう設計された支援サービスで、2026年春ごろから実証事業が始まる予定だ。また、IPAのガイドライン改訂(第4.0版)では★3・★4の要求事項を踏まえた実践手順が盛り込まれており、登録セキスペ(情報処理安全確保支援士)が中小企業の専門家確認を支援できる体制も整備が進んでいる。
支援策がこれほど厚い理由は、制度の構造上の必然でもある。受注側の多くは中小企業だ。高い要求水準だけを先に作っても、実際に取得できる企業が少なければサプライチェーン全体に制度が広がらない。評価制度の設計と、取得を可能にする市場や支援の整備はセットで進めないと機能しない、という発想だ。
取引慣行を変えるための法律面の整理も進んでいる
今回の発表に含まれたもうひとつの注目点が、公正取引委員会との連名による法律面の整理だ。
発注側が委託先にセキュリティ要求を出すことが、独占禁止法や中小受託取引適正化法上の「優越的地位の濫用」や「不当要求」などと受け止められないよう、経産省と公取委が昨年12月に補足文書を公表していたことが今回改めて確認された。
これが入っている意味は小さくない。制度を使って取引先にセキュリティを求めることは、適切に行えば問題ないが、乱用されれば大企業が中小企業に不当な負担を押しつける手段になりうる。その線引きを整えておくことで、制度が取引慣行の変化としても機能するよう設計されている。
「お願い」から「共通様式での確認」へ
SCS評価制度がフルで動き出す2026年度末以降、企業間のセキュリティ確認のやり取りは変わっていく可能性がある。発注側が「うちの書式で出してください」と個別にお願いする代わりに、★3などの段階を共通基準として示しやすくなる。受注側も、取得した評価を複数取引先への対応に活用できる可能性がある。
制度が整ったからといって、すぐに全取引先が★を取得しなければ契約できない世界が始まるわけではない。しかし取引先からセキュリティ水準を問われる場面が増えることは、制度開始前から徐々に現実になりつつある。「何をやればいいか」を考え始めるなら、制度が動き出してからではなく、今のうちが動きやすいタイミングだといえる。
(本稿は各種公開情報をもとに作成しました。一部数値は記事掲載時点の情報です)
