経済産業省及び内閣官房国家サイバー統括室(NCO)は3月27日、「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針」(SCS評価制度の構築方針)を公表した。
同省及びNCOでは、サプライチェーンにおける重要性を踏まえた上で満たすべき各企業の対策を提示しつつ、その対策状況を可視化する「サプライチェーン強化に向けたセキュリティ対策評価制度」(SCS評価制度)の検討を進めるべく、産業サイバーセキュリティ研究会ワーキンググループ1サプライチェーン強化に向けたセキュリティ対策評価制度に関するサブワーキンググループで、制度の目的や位置付け、要求項目・評価基準の内容、制度の普及のために必要な施策等について有識者・産業界とも継続して議論を進め、2025年4月に同制度構築に向けた「中間取りまとめ」を公表している。
同省及びNCOではその後、同制度の実証事業に取り組んできた結果を踏まえ、2025年12月26日に、制度の運用体制案、制度で用いるセキュリティ要求事項・評価基準、制度における評価スキームなどを盛り込んだ「制度構築方針(案)」を公表し、2026年1月24日まで意見募集を行った。
同省及びNCOでは93者から提出された569件の意見を踏まえ、サブワーキンググループで更なる検討を行い、「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針」(SCS評価制度の構築方針)を取りまとめている。
同方針の主な内容は下記の通り。
1.制度の目的・位置付け及び趣旨
サプライチェーンを構成する企業のセキュリティ対策状況を共通の基準で評価・可視化することで、委託元企業・委託先企業双方の負担を軽減しつつ、サプライチェーン全体のセキュリティ水準の底上げを図る仕組みとして本制度を位置付ける。
2.制度の対象範囲
サプライチェーンを構成する企業等のIT基盤(クラウド環境で運用するものも含む)を対象としている。
3.本制度において設けるセキュリティ対策の段階
セキュリティ対策の段階を★3・★4(★5については今後検討)に区分し、★3の要求事項・評価基準を基礎として、★4ではより段階的に広い範囲や対策を含む要求事項・評価基準に基づき、自己評価(専門家の確認を経たもの)や第三者評価機関による評価を行う。
4.中小企業向け支援策
経済産業省及び独立行政法人情報処理推進機構(IPA)では、中小企業による本制度の★3・★4取得に向けた支援策として下記の取組を進めている
・中小企業がSCS評価制度の★3及び★4を安価かつ簡便に取得できるよう、新たな支援策として「サイバーセキュリティお助け隊サービス」(新類型)を創設。
・2026年春頃から「サイバーセキュリティお助け隊サービス」(新類型)の制度設計を行うための実証事業を開始予定。
・中小企業が自らSCS評価制度★3・★4の対策を実施できるよう、「中小企業の情報セキュリティ対策ガイドライン」を改訂し、公開。
・IPAで、情報処理安全確保支援士(登録セキスペ)のうち、中小企業向けのセキュリティ対策支援が可能な専門家を「中小企業向けサイバーセキュリティ対策支援者リスト」として公開。
