多くの企業において検討の進捗状況が注視されている「セキュリティ対策評価制度」ですが、2025年12月26日に経済産業省、および内閣官房国会サイバー統括室が、「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(案)」を公表し、意見公募を開始しました。本年度中を目途として当該制度構築方針(案)を成案化するとともに、令和8年度(2026年度)末頃の制度開始を目指しています。その公表では注目すべきアップデートが2点示されており、本稿ではその概要を整理します。
目次
本制度の目的
アップデートの概要に先立ち、本制度の基本的な枠組みを整理します。本制度の趣旨は、「本制度に基づくマークの取得を通じて、ビジネス・ITサービスサプライチェーンにおける、取引先へのサイバー攻撃を起因とした情報セキュリティリスク/製品・サービスの提供途絶や取引ネットワークを通じた不正侵入等のリスクに対する適切なセキュリティ対策の実施を促し、サプライチェーン全体でのセキュリティ対策水準の向上を図る」と定義されています。
本制度は、セキュリティ対策のレベルに応じて企業を格付けするための制度ではなく、社会全体としてのサプライチェーンの安全性に関する管理コストの抑制と、判断基準の標準化を目的としています。その指標として、取引先のセキュリティ対策状況を成熟度レベル(3段階:レベル3~5)で可視化する仕組みの構築が目指されています。仮にある取引先がレベル4を取得していたとしても、その安全性が保証されるものではなく、当該取引先を信頼できるか否かの最終的な判断は、発注元自身が行うことが想定されています。
とりわけ、今回のアップデートでは、セキュリティ対策コストの負担が難しいことが想定される中小企業を念頭に置いた、「サポート態勢の充実」と「本制度の導入後、起こりうる懸念や対処方法」に関する検討が進んだと考えられます。
2つのアップデート事項
本発表では、以下の2点が主なアップデートとして示されています。
- 中小企業向け「サイバーセキュリティお助け隊サービス(新類型)」の創設予定
- 取引関係のある企業間においてセキュリティ対策の要請を行う際の法令関係の整理
まず、中小企業向け「サイバーセキュリティお助け隊サービス」(新類型)の創設については、いくつかの重要なポイントが示されています。具体的には、「国が認定した民間事業者」によるサービスの提供であること、レベル3、もしくは4の取得支援を目的とすること、「課題の可視化」および「対象サービスの選定と対応実施」を一定の価格要件(「ワンパッケージ」で「安価」)のもとで提供することが挙げられます。これらはあくまで、レベル3もしくは4を取得する企業を支援することを目的とするもので、セキュリティ対策レベルを評価・認定する「評価機関」とは別の立ち位置となります。今回のアップデートでは、これらを新しい形態のサービスとして「新類型」と称しています。
経産省:『「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(案)」(SCS評価制度の構築方針(案))』を基にKPMG作成
現時点では、以下の内容が新たな要素として想定されています。
STEP1:サービス提供にあたり、サプライチェーン強化に向けたセキュリティ対策評価制度の★3又は★4の取得時及び更新時に、中小企業のセキュリティ対策状況を評価する。
STEP2:同制度★3又は★4の要求事項のうち未達成の項目について、ITツールの導入や人的支援によって、その達成を支援する。
補足として、情報処理推進機構(以下、IPA)では2021年春より「サイバーセキュリティお助け隊」制度を開始しており、該当するサービスに「お助け隊マーク」を付与するなど、普及促進に取り組んでいます。2026年2月時点では、サービス提供事業者として44社の業者登録がありますが、今後は対象サービス範囲が拡大していくと考えられます。現時点では、お助け隊サービスとして提供されている主な内容は、以下の3種類に整理されます。
- 見守り:24時間の異常監視
- 駆付け:緊急時の駆け付け支援
- 保険:簡易的サイバー保険(損害保険会社が連携して提供)
現時点における具体的なサービス内容および登録事業者については、IPAの公開情報をご参照ください。
この「サイバーセキュリティお助け隊サービス(新類型)」は、令和8年春以降、試行的なサービス提供が予定されており、その結果を受けて、制度のさらなる改善が進むことが見込まれます。
もう1つのアップデートは、「取引関係のある企業間においてセキュリティ対策の要請を行う際の法令関係の整理」です。これは本制度設計において、既存の法律に抵触する論点があることを示唆するものです。例えば、発注元である大企業が、高いセキュリティレベルを取引先に要求した場合、要件を満たしていない中小企業は取引条件を満たせず排除される可能性があり、状況次第では独占禁止法・中小受託取引適正化法(通称、取適法。2026年1月より)等に抵触するおそれがあります。なお、経済産業省および公正取引委員会は、令和4年10月に「サプライチェーン全体のサイバーセキュリティ向上のための取引先とのパートナーシップの構築に向けて」を公表しています。さらにその補足として、発注者および取引先の双方を対象に、独占禁止法や取適法において「問題とならない」想定事例、およびその解説文書※を公開しています。
※サプライチェーン全体のサイバーセキュリティ向上のための取引先とのパートナーシップ構築促進に向けた想定事例及び解説(本体)(経済産業省)
ここでは詳細な事例解説は割愛しますが、以下の4つの観点で「問題とならない状況(想定事例)」を示しています。
(1)「セキュリティ対策実施の要請」をすること
(2)「要請にあたってのパートナーシップの構築」をすること
(3)「要請への対応と価格交渉の実施」をすること
(4)「要請を行っていない発注者側企業への対応」をすること
実際の運用フェーズで発生する個別具体的な問題事象への対応は、事例の蓄積を通じて、時間の経過とともに現実的な対応へと収れんしていくことが想定されます。
まとめ(想定される課題)
今後の課題として、本制度への参加企業が著しく少ない場合には、制度そのものが機能不全に陥るリスクがあると考えられます。どの程度の企業(とりわけ、発注者となる大手企業)が、取引先に対してどの水準を要求するかは重要な論点です。要件が過度に厳格な場合、取引先企業は評価結果(レベル3~4)を取得するまで取引から排除される可能性があります。また、レベル3については自己評価も認められているため、第三者評価が十分でない場合には、評価結果そのものの信頼性が損なわれるおそれがあります。本制度の信頼性をどのように確保するかが、今後を左右する重要なポイントとなります。制度設計および運用設計にあたっては、類似制度を先行して導入しているドイツの事例(TISAX)等がベンチマークになると考えられます。
また、安全な取引を維持・運営するためには、一定のコスト負担が求められます。コストの一部については、国の補助金等の政策的支援が想定されるものの、セキュリティの高度化に伴う仕入れ価格の上昇(最終的には消費者への価格転嫁)については、安全確保の対価として社会全体で一定程度受け入れていく必要があると考えられます。
