| 【注意喚起】 サプライチェーン強化に向けた  |
サプライチェーン強化に向けたセキュリティ対策評価制度がはじまります
近年、取引先に影響を与えるようなサイバー攻撃事案が頻発しており、サプライチェーン全体でのサイバーセキュリティ対策の強化が求められています。
そうした中、取引先のセキュリティ対策状況を外部から判断することが難しいといった発注元企業側の課題や、複数の取引先から様々な対策を要求されるといった委託先企業側の課題が生じています。
こうした課題に対応するため、経済産業省及び内閣官房国家サイバー統括室では、サプライチェーンにおける重要性を踏まえた上で満たすべき各企業の対策を提示しつつ、その対策状況を可視化する仕組み(「サプライチェーン強化に向けたセキュリティ対策評価制度」、略称「SCS評価制度」)の検討をすすめ、2026年3月27日に「制度構築方針」を公表しました。(1)制度の目的・位置付け及び趣旨
サプライチェーンを構成する企業のセキュリティ対策状況を共通の基準で評価・可視化することで、委託元企業・委託先企業双方の負担を軽減しつつ、サプライチェーン全体のセキュリティ水準の底上げを図る仕組みとして本制度を位置付けます。
具体的には、2社間の取引契約等において、委託元が、委託先に適切な段階(★)を提示し、示された対策を促すとともに実施状況を確認することを想定しています。
(2)制度の対象範囲
本制度は、サプライチェーンを構成する企業等のIT基盤(クラウド環境で運用するものも含む。)を対象としています。なお、一般的にIT基盤に該当しないと考えられる製造環境等の制御(OT)システムや委託元等に提供する製品等については、サプライチェーン全体での共通化が難しいことから直接の対象とはせず、他の制度・ガイドライン等に基づき対策を行うことを想定しています。
(3)本制度において設けるセキュリティ対策の段階
セキュリティ対策の段階を★3・★4(★5については今後検討)に区分し、★3の要求事項・評価基準を基礎として、★4ではより段階的に広い範囲や対策を含む要求事項・評価基準に基づき、自己評価(専門家の確認を経たもの)や第三者評価機関による評価を行います。
(4)制度の運用体制案
制度を維持管理するスキームオーナーには、社会全体への制度浸透や諸外国の制度との連携を今後調整していくことから、政府のガバナンスが効くことが重要となります。また、任意制度を新しく立上げ普及させるには高いハードルもあります。こうした点を踏まえ、経済産業省の示す本方針に従い制度を構築し、同省の監督のもと制度を運営するスキームオーナーは、同省が所管官庁である独立行政法人情報処理推進機構(IPA)としています。
こちら
をご参照ください。
(5)中小企業向け支援策
経済産業省及び独立行政法人情報処理推進機構(IPA)では、中小企業による本制度の★3・★4取得に向けた支援策として以下の取組を進めています。
サイバーセキュリティお助け隊サービス(新類型)
中小企業がSCS評価制度の★3及び★4を安価かつ簡便に取得できるよう、新たな支援策として「サイバーセキュリティお助け隊サービス」(新類型)を創設します。
サイバーセキュリティお助け隊サービス(新類型)実証事業
2026年春頃から、「サイバーセキュリティお助け隊サービス」(新類型)の制度設計を行うための実証事業を開始する予定です。この実証事業では、サービス提供事業者と連携して、実際に中小企業に対してSCS評価制度★3又は★4取得のためのサービスを試行的に提供します。その活用状況や結果を踏まえて、中小企業にとって導入しやすいサービスであること等を担保するための品質要件や価格要件などについて検討を行います。
最新情報は下記URLからご案内いたします。
詳細はこちらを参照ください。
制度開始の時期
★3及び★4:2026年度末頃の制度開始(申請受付の開始)を目指します。
★5:2026年度以降、要求事項・評価基準や評価スキームの具体化の検討を進めます。
(※ 上記は制度運営基盤の整備状況等により変更となる可能性があります。)
よくあるお問い合わせ(FAQ)
最終更新日:令和8年3月27日
註:本FAQは、SCS評価制度における制度構築方針に対してよく寄せられる質問に対し、最終更新日時点での回答を記載したものであり、今後の制度詳細化に当たって内容が変更される可能性があることを、あらかじめ御承知おき下さい。
Q1 SCS評価制度の具体的な開始時期はいつですか?
現時点では、SCS評価制度の開始時期(申請の受付開始時期)は令和8年度末頃(1月~3月頃)を予定しています。詳細なスケジュールや提出様式等については、令和8年度に具体化される予定ですので、SCS評価制度のスキームオーナーである独立行政法人情報処理推進機構(IPA)の公表をお待ちください。
Q2 ★3や★4の取得は必須ですか? それとも任意ですか?
本制度は、事業者間で委託元から委託先に対して求めるセキュリティ水準を分かりやすく提示し、サプライチェーン全体のセキュリティ水準を高めることを目的とした任意の制度です。
★の取得は委託元(または委託先)との取引契約において決められるものであり、本制度として何らかの規制を課すものではありません。
関連ワード:強制, 義務, 取引停止
Q3 各★の取得情報(取得企業)は公開されるのでしょうか?
★3や★4を取得した企業については、制度オーナーである独立行政法人情報処理推進機構(IPA)のWEBサイトで公開することを予定しています。詳細は令和8年度の制度具体化後にIPAから公表する予定です。
Q4 ★3の取得に必要となる、「専門家」とはどのような人材ですか?
★3の「専門家確認付き自己評価」における「専門家」とは、制度構築方針p.20に記載の要件を満たす「セキュリティ専門家」を指します。具体的には、情報処理安全確保支援士、公認情報セキュリティ監査人、CISSP、CISM、CISA又はISO27001主任審査員等の資格保持者のうち、本制度における所定の研修を受講した者を想定しています。詳細な要件については、制度の具体化に伴い改めてIPAから公表する予定です。
関連ワード:登録セキスペ
Q5 評価機関はどこに公開されていますか?
★4の第三者評価における評価機関は、制度構築方針p.39に記載の通り、令和8年12月頃を目途にIPAから公表される予定です。現時点では、指定・公表は行われていません。
Q6 SCS評価制度は、どのような業種や企業規模に適用されるのですか?
業種や事業規模を問わず、幅広い事業者が対象となり得ます。サプライチェーンを構成する企業等を対象としていますが、取引先からの要請が無くても、各企業が自らのサイバーセキュリティ対策状況を可視化するために、マーク(★)を自主的に取得することも考えられます。
Q7 サイバーセキュリティお助け隊サービス(新類型)は、どのような支援を提供するのですか?
サイバーセキュリティお助け隊サービス(新類型)は、★3や★4の取得支援を目的としたサービスです。具体的には、セキュリティポリシー策定などの組織的対策の支援をサービス内容とする予定です。
詳細は下記URLをご参照ください。
https://www.meti.go.jp/policy/netsecurity/otasuketai_jissho.html
Q8 ★取得しないと委託契約を打ち切られると聞きました。本当ですか?
本制度は、2社間の取引契約等において、発注企業が、受注側に適切な段階(★)を提示し、示された対策の実施を促すとともに、実施状況を確認することを想定しています。
したがって、★取得をどのような要件として契約上扱うかは、契約当事者同士で円満に合意されるべきものであり、独占禁止法上及び取適法上適切に本制度を活用することが求められます。
詳細は、下記URLを御参照ください。
https://www.meti.go.jp/policy/netsecurity/partnership2.html
Q9 ISMSとSCS評価制度は何が違うのですか?
SCS評価制度の★3及び★4は、代表的な脅威を参考に、効果の高い管理策を抽出するベースラインアプローチを採用しています。ISMS(情報セキュリティマネジメントシステム)とは相互補完的な制度と位置づけていますが、詳細な比較については制度構築方針p.28をご参照ください。
Q10 EDRや資産管理システムなど、特定のセキュリティ対策製品を導入しなければならないのですか?
★の取得を希望する組織の規模やシステム構成によって求められる対応が必ずしも同一では無いことから、本制度の評価基準を達成するにあたっては、特定のセキュリティ対策製品の導入を求めるものではありません。
Q11 ★3の取得に必要なチェックリストはどこで入手できますか? 判定方法や合格基準も教えてください
★3・★4要求事項及び評価基準は制度構築方針と共に公開しています。詳細な評価方法は、来年度の制度具体化の過程でIPAから公表予定です(ガイダンス資料として、令和8年秋頃目途で公開予定です。)。
Q12 ★3取得の際、社内の情報システム担当者が確認すれば良いのでしょうか?
★3の取得にあたっては、「セキュリティ専門家」による確認が必要です。単に社内の情報システム担当者であれば良いというものではありません。セキュリティ専門家の要件については、制度構築方針p.20をご参照ください。
Q13 ★3や★4の取得後、どのように「基準を達成しています」と宣言すれば良いですか?
★3や★4の取得後の、取得企業における社外周知・広報活動に係る活用方法については、令和8年度の制度具体化の中でIPAから公表します。
関連ワード:ラベル, マーク
Q14 ★4の評価機関とは具体的にどのような機関ですか?
★4の評価機関については、制度構築方針p.21にて要件が示されています。現時点では、評価機関の指定・公表は行われておりません。制度構築方針p.39のスケジュール上で公表していないものについては、令和8年度の制度具体化の過程において、制度開始までにIPAから公表します。
Q15 制度の詳細や提出様式、受付開始時期などはいつ公表されますか?
制度の詳細や提出様式、受付開始時期等については、令和8年度の制度具体化の過程において、制度開始までにIPAから公表します。公表までお待ちください。
Q16 サプライチェーンのどの範囲まで評価対象となりますか?(例:在宅勤務者や出向者の業務環境も含まれますか?)
現時点では、制度構築方針にて制度の方針が示されている段階です。詳細な評価対象の範囲については、令和8年度の制度具体化の過程において、制度開始までにIPAから公表します。公表までお待ちください。
関連ワード:テレワーク, 社外常駐者
Q17 ★の取得は公共事業の入札要件になりますか?
政府機関等や重要インフラ事業者等における調達等での活用は、今後検討してまいります。
関連ワード:調達要件
Q18 中小企業だけが対象ですか? 大企業も評価対象になりますか?
制度構築方針に記載の通り、業種や事業規模を問わず、幅広い事業者が対象となり得ます。中小企業だけでなく、大企業も評価対象とすることが可能なように制度を設計しています。
Q19 ★3の有効期間は1年とありますが、取引期間が1年を超える場合はどうなりますか?
本制度は、2社間の取引契約等において、発注企業が、受注側に適切な段階(★)を提示し、示された対策を促すとともに実施状況を確認することを想定しています。
したがって、契約上で★の取得状況をどのような要件として取り扱うかは、契約当事者同士で合意されるべきものでありますが、制度の趣旨に鑑みると、例えば当該契約の満了までは、必要な★の評価を維持し続けることを求める等の運用が考えられます。
Q20 ★によって想定される脅威が異なると聞きましたが、どのような違いがありますか?
★によって想定される脅威については、制度構築方針にて「一般的なサイバー攻撃」と「未知の攻撃も含めた高度なサイバー攻撃」等の違いが示されています。詳細は制度構築方針をご参照ください。
関連ワード:脆弱性
Q21 全ての要求事項・評価基準を満たさないと、制度開始後直ちに取引停止等になるのでしょうか?
本制度は、事業者間で委託元から委託先に対して求めるセキュリティ水準を分かりやすく提示し、サプライチェーン全体のセキュリティ水準を高めることを目的とした任意の制度です。
したがって、契約上で★の取得状況をどのような要件として取り扱うかは、契約当事者同士で合意されるべきものではありますが、例えば、★取得の有無のほかに、本制度の要求事項・評価基準を共通のチェックリストとして必要なセキュリティ基準を満たしているか確認するといった活用方法も想定されます。
なお、本制度の開始は申請受付の開始を意味しており、制度開始時点において★を取得している企業は存在しません。
関連ワード:強制, 義務, ★取得できない, 一部不適合
資料ダウンロード
-
サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(概要)(PDF形式:637KB)
-
サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(本文)(PDF形式:2,831KB)
-
★3・★4要求事項及び評価基準(Excel形式:51KB)
関連リンク
- 経済産業省(METI)- サプライチェーン全体のサイバーセキュリティ向上のための取引先とのパートナーシップの構築に向けて
- 情報処理推進機構(IPA) 関連リンク(New!)2026年4月22日公開
お問合せ先
よくあるお問い合わせ(FAQ)をよく読んでからお問い合わせください。商務情報政策局 サイバーセキュリティ課
担当者:緑川、大久保、長島
メール:bzl-cyber-madoguchi★meti.go.jp
※[★]を[@]に置き換えてください。
ダウンロード(Adobeサイトへ)最終更新日:2026年5月20日