取引先にも広がる『サプライチェーン・セキュリティ評価制度 (SCS評価制度)』準備は進んでいますか?

マネジメントのための経営財務情報『拝啓社長殿』

目次

サプライチェーンを狙うサイバー攻撃の増加を受け、経済産業省は取引先を含むセキュリティ対策を統一基準で可視化する「SCS評価制度」の構築を進めています。今後は、価格・品質・納期に加えて、取引先のセキュリティ対策レベルが選定・継続取引の重要な判断材料となる可能性があります。

制度の概要 ~ 何が変わる?

従来は発注者ごとに個別・不統一だった取引先評価が、制度導入後は★3〜★5の対策レベルで客観的に示されます。評価はセキュリティ管理に加え、取引先管理を含む観点で構成される予定で、特に★4以上は第三者評価が前提となる方向です。

区分 ★3(Basic) ★4(Standard) ★5(Advanced)

要求項目

83項目

157項目

検討中

評価方法

専門家確認付き自己評価

第三者評価

第三者評価

出典:経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針」, 2026年7月6日取得

発注者には取引先リスクを比較可能にする仕組み、受注者には自社の信頼性を示す証明として活用されていく見込みです。重要システム、機密情報を扱う委託業務、クラウドサービス等では、より高い格付けが求められることが想定されます。

企業が今から取り組むべきこと

1.  要求される格付け・影響範囲を見極める

  • 発注者は、委託業務の重要性、情報の機密性、システム接続の有無に応じて、取引先に求める対策レベルを整理する。
  • 受注者は、主要顧客の要求水準を踏まえ、取得すべき★レベルと不足項目を把握する。

2.  部門横断の推進体制を整える

  • 事業・購買・法務・IT・セキュリティ部門の役割を明確化し、審査対応に必要な要員・予算・スケジュールを確保する。
  • 規程、委託先管理台帳、契約条項、インシデント対応手順など、提示可能な証跡を整備する。

3.  取引先管理プロセスを見直す

  • 選定・契約・モニタリングの各段階で委託先に求める管理レベルを確認し、再委託管理やインシデント通知などの要求事項を見直す。

お見逃しなく!

SCS評価制度への対応には、現状分析から規程・証跡整備、取引先管理プロセスへの組込み、審査対応まで概ね6か月〜1年を要すると見込まれます。制度化を待たず、まずは簡易ギャップ分析で自社の課題を把握し、重要取引先や主要サービスから段階的に対策を進めることが重要です。

PDF版はこちら
Download PDF

PDF版はこちら

ダウンロード [301 kb]