経済産業省「サプライチェーン強化に向けたセキュリティ格付け制度」とは?
近年、サプライチェーンを経由したサイバー攻撃が目立ち、企業取引においてはセキュリティ対策の可視化が重要になっています。しかし、発注企業にとっては取引先ごとに異なる要求に対応することが負担になり、受注企業も対策状況の説明に追われるという課題があります。そこで経済産業省は、こうした課題を解消するために、企業ごとのセキュリティ対策の水準を明確・可視化する統一的な評価制度の構築を進めています。
制度の構成:評価段階(★3〜★5)
経済産業省は、サプライチェーンにおける企業の役割やリスクに応じた3段階の評価制度を提案しています。
- ★3 Basic(自己評価・25項目)
全てのサプライチェーン事業者が最低限実施すべき、組織的な基礎体制とシステム防御策を確立するための自己評価制度。 - ★4 Standard(第三者評価・44項目)
ガバナンス、取引先管理、インシデント対応などを含むより包括的な対策を対象とする評価制度。 - ★5 Advanced(三者評価・詳細未定)
国際標準に基づいたリスクベースの改善プロセスと高度な技術的対応を求められる、到達点としての評価段階。
上位の評価段階は下位段階の内容を包括する設計であり、★3を取得しなくても★4以上の取得は可能です。
今後のスケジュールと実用性
制度に関する中間取りまとめが2025年4月14日に発表され、2026年度下期からの段階的な運用開始が見込まれています。スタート時には実証事業が実施される予定です。
この制度の導入により:
- 発注企業は対策状況の把握が容易になり、リスク管理が効率化されます。
- 受注企業は、自社のセキュリティ対策を客観的に示す手段を得ることで、取引の信頼性を高めることが期待されます。
制度が目指す社会的効果
政府調達や重要インフラ分野での活用が見込まれ、制度が普及すれば「サプライチェーン全体のセキュリティ底上げ」や「国全体のサイバーレジリエンスの強化」につながる可能性があります。
まとめ
| 項目 | 内容 |
|---|---|
| 制度名称 | サプライチェーン強化に向けたセキュリティ対策評価制度(格付け制度) |
| 目的 | 企業間でのセキュリティ基準の統一化と可視化による信頼構築 |
| 評価段階 | ★3(自己評価)→ ★4(第三者評価)→ ★5(高度評価) |
| スケジュール | 中間取りまとめ:2025年4月/運用開始:2026年度下期予定 |
| 効果 | 発注側・受注側双方の負荷軽減、サプライチェーン全体のリスク低減 |
制度開始以降、取引先から取得を求められる可能性もあるため、企業は早めの準備(自己評価・対策のロードマップ策定)に取り組むことが望まれます。
