SCS評価制度とは何か

SCS評価制度は、これからの企業間取引における新たなスタンダードとなる重要な仕組みです。まずは、本制度がどういった目的で作られ、どのような課題を解決しようとしているのか、基本的な概念と背景について解説します。

　

サプライチェーン強化に向けたセキュリティ対策評価制度（SCS評価制度）とは

正式名称は「サプライチェーン強化に向けたセキュリティ対策評価制度」であり、実務の現場では一般的に「SCS評価制度」という略称で呼ばれています。この制度の大きな特徴は、発注者が受注者に対して適切な★（評価レベル）を提示することで、具体的なセキュリティ対策の実施を促す仕組みとなっている点です。

これまで、企業間のセキュリティレベルを確認する明確な基準が存在しなかったため、各社が独自の基準で対策状況を判断せざるを得ませんでした。しかし、SCS評価制度が導入されることで、企業間取引においてセキュリティ対策状況を客観的に評価するための「共通のものさし」として機能するように設計されています。

これにより、発注企業は取引先選定の際に明確な基準を設けることができ、受注企業は自社のセキュリティ水準を客観的に証明することが可能となります。

なぜ今この制度が必要なのか

本制度が整備されている理由は、サプライチェーンを起点にしたサイバー被害が広がっているという実態があります。例えば、ある中堅メーカーがランサムウェアに感染した結果、その企業とシステムがつながっていた大手自動車メーカーの工場の稼働が全面的に停止するといった事案が実際に発生しています。

こうした事態を防ぐためには、サプライチェーンを構成するすべての企業が、一定水準以上のセキュリティ対策を講じることが必要です。また、受注企業側の現場が抱える課題として、取引先ごとに異なるセキュリティ要求を受ける負担が限界に達しているという点も挙げられます。

具体的には、発注元A社からは独自のExcelチェックシートによる数百項目の回答を求められ、発注元B社からはまた別のWebシステムでの回答を要求されるといった状況です。実質的に同じような対策状況を問われているにもかかわらず、企業ごとにフォーマットや基準がバラバラであるため、その対応に膨大な工数が割かれています。

非効率な状況を打破し、社会全体の生産性を向上させるためにも、国が主導する統一基準の必要性がこれまで以上に高まり、制度の創設に至った背景があります。

【関連記事】

サプライチェーンマネジメントの仕組みについて解説しています。

制度開始時期と最新動向

SCS評価制度は、現在その詳細なルール作りが進められている最中です。ここでは、経済産業省が公表している資料をもとに、制度構築に向けたこれまでのプロセスと、今後のスケジュールを見ていきましょう。

2025年から2026年に何が決まったのか

SCS評価制度の検討は段階的に進められており、以下の時系列で進められてきました。

•2025年4月　: 経済産業省の検討会において、「サプライチェーン強化に向けたセキュリティ対策制度に向けた中間取りまとめ」が公表されました。

•2025年12月　: 中間取りまとめでの議論を踏まえ、「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針（案）」が公表され、制度の骨格が明確になりました。

2026年3月27日には、意見募集の結果を踏まえて修正された「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針」（SCS評価制度の構築方針）が公表されています。2026年度末頃の制度開始に向けて、取組が進められています。

【関連記事】

サイバー攻撃の脅威について解説しています。

　

制度開始はいつからか

SCS評価制度の開始時期は、評価レベルによって開始時期が異なります。制度のベースとなる★3および★4については、2026年度末頃（2027年春頃）からの開始が予定されています。

一方で、最も難易度が高い★5については、2026年度以降に具体的な内容を示していく予定となっており、まだ未確定の部分が多い状況にあるといえるでしょう。まずは★3と★4の枠組みを社会に定着させ、その後に最高峰の基準として★5を確立していくという段階的なアプローチがとられています。

★1～★5の違い

SCS評価制度では、企業の対策状況を「★の数」で可視化するのが大きな特徴です。ただし、単純に企業をランク付けするための「格付け」ではなく、あくまで自社の立ち位置を把握し、取引先に示すための客観的な指標といった意味合いがあります。

それぞれの★が持つ意味と、要求されるレベルについて詳しく見ていきましょう。

★1・★2はSECURITY ACTIONに相当する

新たに創設されるSCS評価制度の枠組みは★3からスタートしますが、その前段階となる★1および★2については、既に独立行政法人情報処理推進機構（IPA）が実施している「SECURITY ACTION」の一つ星・二つ星がそのまま位置付けられることになっています。

「SECURITY ACTION」は、中小企業が情報セキュリティ対策に取り組むことを自己宣言する制度です。★1（一つ星）は「情報セキュリティ5か条」に取り組むことを宣言するレベル、★2（二つ星）は「情報セキュリティ自社診断」を実施し、基本方針を定めて公開するレベルを指します。

これからセキュリティ対策を本格化させる企業は、まず既存の制度を利用して基礎を固めることが求められます。

★3は最低限の対策を示すレベル

SCS評価制度の核となる★3は、一般的なサイバー攻撃への対処を念頭に置き、すべての企業が満たすべき最低限のレベルとして設定されています。サプライチェーンとして、最低限の防御能力は持っていてほしいという水準でもあります。

★3の取得方法は、企業が自らチェックリストを用いて確認を行う「自己評価」がベースとなりますが、単なる自己申告にとどまらず、社内外の専門家による確認（専門家確認付き自己評価）を経る仕組みが想定されています。また、サイバーセキュリティの環境は日々変化するため、★3の有効期間は1年と定められており、毎年継続的な見直しと更新が求められる点も重要なポイントです。

★4は標準的にめざすべき対策レベル

★4は、もしサイバー攻撃を受けた場合に、製品やサービスの供給停止に直結したり、重大な情報漏えいを引き起こしたりする可能性が高い企業に対して求められる標準的なレベルとして位置付けられています。★3が「最低限」であるのに対し、★4はより強固な体制と実践的な防御能力が問われます。

評価方法も★3の自己評価とは異なり、評価機関等の第三者による客観的な評価と、ペネトレーションテスト等の技術検証が組み込まれることが想定されているのが特徴です。より厳密な審査を通過する必要があるため、★4の有効期間は3年と長めに設定される見込みです。

★5は将来の到達点として検討中

最上位レベルとなる★5については、詳細な要件や審査方法は未確定となっています。しかし方向性としては、世界的なベストプラクティスに基づく極めて高度なセキュリティ対策を実装し、サプライチェーンの安全性を牽引するトップランナーとしての到達点を想定していると説明されています。

重要インフラを担う企業等が、めざすべき最終ゴールとなるでしょう。

どんな企業が対象で、どちらをめざすべきか

SCS評価制度の全容が見えてきたところで、次に気になるのは「自社は対象になるのか」「どの星をめざせば良いのか」という点です。対象範囲の考え方と、発注者・受注者の関係性からめざすべきレベルの判断基準を解説します。

【関連記事】

中小企業の情報セキュリティ体制の状況について解説しています。

　

対象になるのはどんな企業か

SCS評価制度は、サプライチェーンにおいて受注者側を対象として想定して設計されている制度です。また、申請を行う主体（スコープ）については、以下のように柔軟な単位が認められることになっています。

発注者と受注者の役割はどう違うか

SCS評価制度を円滑に機能させるためには、発注者と受注者の双方が役割を理解する必要があります。発注者は、委託する業務の内容や取引先の重要性に応じて、相手に求める適切な★（評価レベル）を提示する役割を担います。

一方、受注者は、発注者から提示された段階に応じた対策を実施し、その結果を適切に説明して、必要な★の評価を取得・維持していくというのが基本的な役割分担です。

★3と★4はどう使い分けるのか

発注者が取引先に対して★3を求めるか、★4を求めるかの判断は、「事業継続リスク」と「情報管理リスク」という2つの軸で取引先を評価して決定されます。事業継続リスクとは、取引先が業務停止に陥った場合の影響度であり、情報管理リスクとは、機密情報が漏えいした場合の被害の大きさを指します。

これら2つの軸において、供給停止や重要情報へのアクセスの影響が極めて大きいと判断される中核的な取引先に対しては、★4の取得を求め得るという考え方が示されているのです。

求められる対策の中身

実際に★3や★4を取得するためには、具体的にどのような対策を実施しなければならないのでしょうか。評価基準のベースとなる考え方と、各レベルで求められる具体的な要求事項について解説します。

評価基準のベースは7つの分類

SCS評価制度の要求事項は、国際的なセキュリティフレームワークである「NIST CSF」をもとにした6つの機能に、日本独自の課題である「取引先管理」を加えた、合計7分類で構成されています。7つの分類をまとめると、次のとおりです。

★3で押さえるべき最低限の対策

すべての企業がめざすべき★3では、主に次のような基礎的な対策の実施が求められています。

★4で追加される対策

より高度な水準が求められる★4では、組織的な管理体制の強化や技術的に踏み込んだ対策が追加で求められます。

制度開始前に企業がやるべき準備

SCS評価制度が本格的に稼働する2026年度末になってから慌てて対応を始めても、組織的な体制整備には多くの時間がかかります。早い段階で、計画的に準備を進めていくことが競争力を維持するためのカギとなるでしょう。

制度開始前に、企業が取り組むべき準備を解説します。

まず着手したい準備の順番

準備を効率的に進めるためには、以下のステップに沿って段階的に取り組んでいくと良いでしょう。

中小企業が活用しやすい支援策

SCS評価制度の準備を自社単独で進めるのが困難な中小企業向けに、国も支援策を用意しています。具体的には、「お助け隊サービス新類型」「専門家リスト整備」「ガイドライン整備」等が挙げられます。

実施に向けた準備に取り組む中で、これらの支援策を上手に活用してみましょう。

よくある質問

最後に、SCS評価制度の導入にあたって、悩みやすい点を見ていきましょう。

★4を取るには、先に★3が必要か

必ずしも、★3を先に取得している必要はありません。上位段階は下位段階を包括するため、★3を先に取得していなくても、★4をめざせます。

ISMSやTICSがあれば十分か

ISMSは情報セキュリティマネジメントシステム（Information Security Management System）の略で、第三者が評価・認証する仕組みであり、TICSは技術情報制御システム（Technology Information Control System）の略で、企業が保有する技術情報を適切に管理するための体制を認証する制度です。いずれも、自社の情報管理体制を整備・可視化するうえで有効な取組といえるでしょう。

ただし、ISMSやTICSを取得していれば、それだけでSCS評価制度への対応が十分になるとは限りません。SCS評価制度は、サプライチェーン全体のセキュリティ強化を目的としており、取引先管理や事業継続の観点も含めて評価される点に特徴があります。そのため、既存の認証制度で整備してきた方針や運用を活かしつつ、SCS評価制度で新たに求められる要件との差分を確認し、必要な対応を進めることが大切です。

まとめ

サイバー攻撃に対する備えとして、SCS評価制度による★3・★4といった共通のものさしができることで、サプライチェーン全体のセキュリティ意識の向上につながっていきます。取引先からの信頼を維持し、ビジネスの機会損失を防ぐためにも、早い段階で自社の状況を把握しておきましょう。

対策要件とのギャップを埋める準備を計画的に進めていくことは、自社に対する信頼を高めていくことにつながるはずです。

【参考情報】

2026年4月2日付　独立行政法人情報処理推進機構　「SECURITY ACTION　セキュリティ対策自己宣言」
2025年12月付　経済産業省　「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針（案）」
2025年2月14日付　独立行政法人情報処理推進機構　「2024年度中小企業等実態調査結果速報版を公開」