2025.12.05
サプライチェーン強化に向けたセキュリティ対策評価制度(2/2)
目次
前回は経済産業省が2025年4月に公表した「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ」の概要として、本制度の趣旨・目的、期待される効果、★3~★5の各段階の考え方等について解説しました。
今回は本制度における評価スキームや実施に向けたスケジュール等ついて解説します。
●本制度のサプライヤー企業(取引先)への適用における考え方
サプライヤー企業への適用にあたっては、次の3つのサプライチェーンリスクに照らし、対象となる取引先を★4または★3の段階を適用する考え方がモデル分岐図として提示されています。
(1)発注者の重要な機密情報(※)が取引先IT基盤で取扱われるか
(2)取引先の事業中断により、自社業務に許容できない遅延が生じるか
(3)取引先環境から発注者の内部システムへのアクセスが可能か
※当該情報を漏洩した場合における、社会的信用低下や損害賠償等の訴訟リスクなどビジネスへの影響が大きいもの。
(1)~(3)のいずれかが「YES」であれば、対象となる取引先に★4の段階を適用することとしています。なお、★4では対策の強度が不足している場合には、適用要件をさらに上乗せすることも想定します。
また、(2)の判断においては、次のような観点の例が示されています。
・製品・サービス供給の中断による自社への影響範囲
・同業他社からの調達可否
・在庫確保の困難さ
(1)~(3)が全て「NO」であれば、対象となる取引先にひとまず★3の段階を適用しますが、次のような追加要素も加味し、★4の段階を適用するべきかを検討・調整することとしています。
・直近で当該取引先または同業他社等でインシデントが観測される等、リスク増大が懸念されるか
・再委託先に自社にとって重要な事業者が含まれるか
●本制度の再委託先への適用における考え方
再委託先への本制度の適用においては、元の発注者ではなく、直接の取引先(委託先)による判断で実施することとしています。
その際、直接の取引先(委託先)が★4の適用対象の場合、★4の要求事項に「重要な取引先におけるセキュリティ対策状況の把握」があるため、重要な機密情報が提供されている再委託先等にも相応の要件を適用することが期待されます。
●本制度における評価スキーム
本制度における★3、★4の評価スキームとして、次のように示されています。
★5については、「今後検討する(TBD:to be determined)」とのことです。
| ★ 3 | ★ 4 | ★ 5 | |
|---|---|---|---|
| 評価実施主体 |
適合性評価の対象となる組織自身 (自己評価) |
認定機関から認定を受けた評価機関 (第三者評価) |
TBD |
| 有効期間 | 1年 | 3年 | |
| 維持に必要な手続き |
有効期限を更新するため、要求事項の遵守状況について年次で自己評価 (専門家の助言プロセス有り) |
・有効期間内は、1年ごとに自己評価を実施(評価機関に提出) ・有効期限を更新する際(3年に1回)は第三者評価が必要 |
|
| 資格の取り消し | 取得組織において虚偽報告、情報隠蔽等の不正行為が確認された場合、 評価機関または認定機関から資格の一時停止または取消しを行う場合がある | ||
「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ」より
<★3(自己評価)における評価プロセス>
① 取得希望組織は、★3要求事項に基づき自己評価を記入(必要に応じ、社内外の資格者※の助言を得る)
② 社内外の資格者は、記入内容を評価、要求事項に対する合否を判断
③ 取得希望組織または社内外の資格者は、登録機関に評価結果を提出
④ 登録機関は、申請内容に問題が認められない場合には台帳に登録・公開
※資格者として、情報処理安全確保支援士、セキュリティプレゼンター(IPAのセキュリティ対策資料等を活用して中小企業等に対して情報セキュリティの普及啓発を行う人材)、ITコーディネータ等、必要な知見・知識を持つ者の活用を検討。社内に資格者がいない場合は、社外に評価を依頼することを想定。
<★4(第三者評価)における評価プロセス>
① 認定機関が、評価機関・技術検証事業者を認定
② 取得希望組織は、★4要求事項に基づき回答を準備
③ 取得希望組織は、評価機関または技術検証事業者に、検証・評価を依頼
④ 評価機関または技術検証事業者は、検証・評価を実施
⑤ 評価結果を取得希望組織に通知し、認定機関に提出
⑥ 認定機関は、「合格」とされた組織を台帳に登録し、公開
●本制度が効果的と想定される業界等
本制度が効果的と想定される業界として、次の3つを挙げており、優先的に制度活用を促進していくとしています。
(1)サプライチェーン発注者層
政府機関、重要インフラ事業者、主要製造業等、重要な機密情報を有し、高いセキュリティレベルが求められる業界
(2)多様な業界から業務を受ける中間層BPO(Business Process Outsourcing)事業者、製品・部品製造業等、重要な機密情報・重要な業務の委託を受け、様々な業界からセキュリティ要請を受けている業界・事業
(3)サプライチェーンを下支えするエンド層情報管理や事業継続において重要な役割を果たす業界・事業者であり、BtoBを行う中小企業全般
上記のうち(3)については、特に次のような事業者が対象となり、セキュリティ対策を進めるために、
★3、★4の活用が期待されています。
・比較的規模の大きな事業者(101人以上)
・インシデントを経験した事業者
・既に対策に取り組んでいる事業者(SECURITY ACTION※宣言者) 等
※中小企業自らが情報セキュリティ対策に取組むことを自己宣言する制度であり、安全・安心なIT社会を実現するために創設された。取組み目標に応じて「★一つ星」と「★★二つ星」がある。
●本制度の進め方及びスケジュール
次の図に示すように、2026年度の本制度開始を目指し、今後は実証事業による制度案の検討と並行して、制度運営基盤の整備や利用促進等を進めていく予定です。
「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ」より
(https://www.meti.go.jp/shingikai/mono_info_service/sangyo_cyber/wg_seido/wg_supply_chain/pdf/20250414_2.pdf)
おすすめ記事
2024.08.23
2024.09.16
2024.08.20
2025.10.17
2024.09.02
2025.02.06
