「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針」（SCS評価制度の構築方針）を公表しました

1．経緯

近年、取引先に影響を与えるようなサイバー攻撃事案が頻発しており、サプライチェーン全体でのサイバーセキュリティ対策の強化が求められています。
そうした中、取引先のセキュリティ対策状況を外部から判断することが難しいといった発注元企業側の課題や、複数の取引先から様々な対策を要求されるといった委託先企業側の課題が生じています。
こうした課題に対応するため、経済産業省及び内閣官房国家サイバー統括室では、サプライチェーンにおける重要性を踏まえた上で満たすべき各企業の対策を提示しつつ、その対策状況を可視化する仕組み（「サプライチェーン強化に向けたセキュリティ対策評価制度」、略称「SCS評価制度」）の検討を進めるべく、産業サイバーセキュリティ研究会ワーキンググループ1サプライチェーン強化に向けたセキュリティ対策評価制度に関するサブワーキンググループ（以下「サブワーキンググループ」という。）において、制度の目的や位置付け、要求項目・評価基準の内容、制度の普及のために必要な施策等について有識者・産業界とも継続して議論を進め、2025年4月に本制度構築に向けた「中間取りまとめ」を公表しました。その後、本制度の実証事業に取り組んできた結果を踏まえ、2025年12月26日に、制度の運用体制案、制度で用いるセキュリティ要求事項・評価基準、制度における評価スキームなどを盛り込んだ「制度構築方針（案）」を公表し、2026年1月24日まで意見募集を行いました。

2．意見募集の結果

意見募集の結果、93者から569件の意見が提出されました。提出された意見並びにそれぞれの意見に対する対応及びその考え方は、
資料1 及び 資料2のとおりです。

3．「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針」の内容

今般、提出された意見を踏まえ、サブワーキンググループにおいて更なる検討を行い、「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針」（SCS評価制度の構築方針）を取りまとめましたので、公表します。本方針の主な内容は以下のとおりです。

（1）制度の目的・位置付け及び趣旨

サプライチェーンを構成する企業のセキュリティ対策状況を共通の基準で評価・可視化することで、委託元企業・委託先企業双方の負担を軽減しつつ、サプライチェーン全体のセキュリティ水準の底上げを図る仕組みとして本制度を位置付けます。
具体的には、2社間の取引契約等において、委託元が、委託先に適切な段階（★）を提示し、示された対策を促すとともに実施状況を確認することを想定しています。

（2）制度の対象範囲

本制度は、サプライチェーンを構成する企業等のIT基盤（クラウド環境で運用するものも含む。）を対象としています。なお、一般的にIT基盤に該当しないと考えられる製造環境等の制御（OT）システムや委託元等に提供する製品等については、サプライチェーン全体での共通化が難しいことから直接の対象とはせず、他の制度・ガイドライン等に基づき対策を行うことを想定しています。

（3）本制度において設けるセキュリティ対策の段階

セキュリティ対策の段階を★3・★4（★5については今後検討）に区分し、★3の要求事項・評価基準を基礎として、★4ではより段階的に広い範囲や対策を含む要求事項・評価基準に基づき、自己評価（専門家の確認を経たもの）や第三者評価機関による評価を行います。

（4）中小企業向け支援策

経済産業省及び独立行政法人情報処理推進機構（IPA）では、中小企業による本制度の★3・★4取得に向けた支援策として以下の取組を進めています。

• 中小企業がSCS評価制度の★3及び★4を安価かつ簡便に取得できるよう、新たな支援策として「サイバーセキュリティお助け隊サービス」（新類型）を創設します。

 

• 2026年春頃から、「サイバーセキュリティお助け隊サービス」（新類型）の制度設計を行うための実証事業を開始する予定です。この実証事業では、サービス提供事業者と連携して、実際に中小企業に対してSCS評価制度★3又は★4取得のためのサービスを試行的に提供します。その活用状況や結果を踏まえて、中小企業にとって導入しやすいサービスであること等を担保するための品質要件や価格要件などについて検討を行います。

詳細はこちらを参照ください。

• 中小企業が自らSCS評価制度★3・★4の対策を実施できるよう、「中小企業の情報セキュリティ対策ガイドライン」を改訂し、本日公開しました。具体的には、ガイドラインの「第2部 実践編」STEP3において、SCS評価制度で求められる要求事項を踏まえ、対策を実施するにあたっての考え方を整理しました。また、付録として掲載されている規程類のサンプルやひな型についても、SCS評価制度に対応する形で拡充しました。改訂後の本ガイドラインは、本日付けでIPAホームページに公開されています。

詳細はこちらを参照ください。

• IPAでは、情報処理安全確保支援士（登録セキスペ）のうち、中小企業向けのセキュリティ対策支援が可能な専門家を「中小企業向けサイバーセキュリティ対策支援者リスト」として公開しています。中小企業がSCS評価制度の★3を取得する際、セキュリティ専門家として同リストに掲載されている登録セキスペに適合可否の確認及び助言を依頼できるよう、同リストの指導テーマ（中小企業が指定できる支援テーマ）に「セキュリティアセスメント」を追加するとともに、登録セキスペが適切に指導を行えるよう、指導要領の作成やスキル習得のためのケース演習等の指導の実践に向けた施策を実施しました。今後、中小企業によるSCS評価制度の★3取得に際して「専門家確認」に係る支援が可能な登録セキスペが掲載されたリストを、IPAホームページに公開する予定です。
  また、経済産業省及び公正取引委員会では、2022年10月に公表した「サプライチェーン全体のサイバーセキュリティ向上のための取引先とのパートナーシップの構築に向けて」を補足することを目的に、私的独占の禁止及び公正取引の確保に関する法律（独占禁止法）や中小受託取引適正化法（取適法）との関係を整理し、「問題とならない」ケースを想定した事例と、想定事例の内容を補足するための解説文書を作成し、2025年12月26日に公表しました。今後、経済産業省では、企業間取引におけるパートナーシップ構築の促進に向けて、中小企業に向けた普及・啓発を進めてまいります。
  
  詳細はこちらを参照ください。

4．制度開始の時期

• ★3及び★4：2026年度末頃の制度開始（申請受付の開始）を目指します。
• ★5：2026年度以降、要求事項・評価基準や評価スキームの具体化の検討を進めます。

（※ 上記は制度運営基盤の整備状況等により変更となる可能性があります。）

5．FAQ

本制度について、よくある質問を取りまとめました。資料3をご確認ください。

関連資料

• サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針概要（PDF形式：637KB）
• サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針（PDF形式：2,831KB）
• 別添★3・★4要求事項及び評価基準（Excel形式：51KB）
• （参考）★3・★4要求事項及び評価基準参照文献（Excel形式：75KB）
• 資料1 「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針（案）」及び「★3・★4要求事項・評価基準（案）」に対するパブリックコメントへの対応について（PDF形式：1,014KB）
• 資料2 サプライチェーン強化に向けたセキュリティ対策評価制度に関するパブリックコメントに対する考え方（PDF形式：1,308KB）
• 資料3 SCS評価制度に関するよくあるお問合せ（FAQ）（PDF形式：1,035KB）

関連リンク

• ワーキンググループ1（サプライチェーン強化に向けたセキュリティ対策評価制度に関するサブワーキンググループ）
• サプライチェーン全体のサイバーセキュリティ向上のための取引先とのパートナーシップの構築に向けて
• サプライチェーン強化に向けたセキュリティ対策評価制度（SCS評価制度）を活用する中小企業向け支援策について
• サイバーセキュリティお助け隊サービス（新類型）

担当

商務情報政策局 サイバーセキュリティ課長 武尾
担当者：大久保、緑川、長島
電話：03-3501-1511（内線 3964）
メール：bzl-cyber-madoguchi★meti.go.jp
※［★］を［@］に置き換えてください。
※ 原則、メールでお問合せください。