構築する評価制度（現時点案）

経済産業省が2026年度の運用開始を目標に進めている「サプライチェーン強化に向けたセキュリティ対策評価制度」は、近年深刻化しているサプライチェーン攻撃への対策として検討されている新しい取り組みです。サプライチェーン攻撃とは、セキュリティ対策が比較的弱い取引先を踏み台にし、最終的な標的となる企業へ侵入する攻撃手法のことを指します。この制度は、企業のセキュリティ対策状況を「星（★）」の数で格付けし、第三者にもわかりやすく示すことが目的です。今後は、この評価が取引条件として使われる可能性があり、中小企業にとっても無関係ではない制度になるかもしれません。

現在は、取引開始や継続の際、発注側が独自に作成した「セキュリティチェックシート」を受注側へ送付し、その回答内容をもとにセキュリティ対策状況を確認するという方法が多くの企業で取られています。こうしたチェックシートは法的に義務付けられているものではありませんが、実務の中では広く使われており、企業ごとに質問内容や形式が異なるのが実情です。そのため、回答する受注側は取引先ごとに似た内容を何度も記入する必要があり、確認する発注側にとっても内容の精査に膨大な事務負担がかかっています。これを国が認める評価制度に一本化することで、個別のチェックシートのやり取りや重複作業を減らし、より本質的なセキュリティ強化にリソースを集中できるようにすることが、この制度の狙いです。 

この制度は、これまで独立行政法人情報処理推進機構（IPA）が推進してきた中小企業向けの情報セキュリティ自己宣言制度「SECURITY ACTION」で示されてきた段階的な考え方を踏まえ、そのうち、取引の現場で活用できる上位評価（★3～★5）を新制度として位置づけています。現時点では、2026年度下期（10月～3月）を目標に、★3および★4の本格運用が開始される予定です。

この評価制度が始まると、発注側企業が「★4以上を取得している企業のみと取引する」といった条件を設ける可能性が高まります。そのため受注側企業にとっては、★4の取得が実質的な取引要件になるケースも想定されるでしょう。★4を取得するためには、これまでの自己評価に加えて、第三者評価（認証）が必要となり、3年ごとの更新と、1年ごとの自己評価の提出も求められます。さらに、★4では44項目もの対策要求が設定される見込みとのこと。経済産業省が公開している資料「【参考資料】★3・★4要求事項案・評価基準案」を参考にしながら、今のうちから自社の現状を確認し、段階的に準備を進めていきましょう。 

関連リンク

•  サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ（経済産業省）
• 経産省「サプライチェーン強化に向けたセキュリティ対策評価制度」対応ガイド｜★4の取得を希望する企業が今するべきことは？（NRIセキュア）

ツイート