近年、取引先や委託先を起点とするサイバー攻撃が、個社の情報漏えいにとどまらず、業務停止や取引先への波及といったかたちでサプライチェーン全体に影響を及ぼす事例が増えています。こうした背景のもと、経済産業省と内閣官房国家サイバー統括室は、企業のセキュリティ対策状況を共通の物差しで評価・可視化する仕組みとして、「サプライチェーン強化に向けたセキュリティ対策評価制度」、通称SCS評価制度の整備を進めています。
本稿では、2026年4月時点で確認できる公式情報と公開Web情報をもとに、SCS評価制度の最新状況を整理します。特に重視したのは、すでに公表されている内容と、今後の制度具体化の中で決まる内容を混同しないことです。
2026年4月時点でまず確認できるのは、SCS評価制度について、経済産業省が2026年3月27日に「制度構築方針」を公表しているという事実です。これは、2025年12月公表の案に対するパブリックコメント結果を踏まえた正式な公表資料です。
そのため、制度について何も決まっていない段階ではありません。少なくとも、制度の目的、対象範囲、★3・★4の考え方、評価スキームの基本設計、今後の進め方については、現時点で公式資料から確認できます。
一方で、評価ガイド、申請様式、評価実務の細部、運営規程、受付実務などは今後具体化される部分が残っています。 経済産業省自身も、評価ガイド等は2026年秋頃を目途に公表予定としています。
したがって、現時点の理解としては、「制度の大枠は正式公表済みだが、運用詳細は今後具体化される」と捉えるのが最も正確です。
SCS評価制度は、企業のセキュリティ対策を格付けして競わせる制度として構想されているわけではありません。経済産業省は、これをサプライチェーンを構成する企業のセキュリティ対策状況を共通基準で評価・可視化し、委託元企業・委託先企業双方の負担を軽減しながら、サプライチェーン全体のセキュリティ水準の底上げを図る仕組みと位置づけています。
制度趣旨の背景には、発注側・受注側の双方にある課題があります。
発注側にとっては、取引先の対策状況が見えにくく、個社ごとに作るチェックシートの妥当性にも限界があります。
受注側にとっては、複数の取引先から異なるセキュリティ要求を受け、説明や回答に多大な負荷がかかりやすいという問題があります。
この制度は、こうした状況に対して、企業間取引におけるセキュリティ対策の共通言語を整備することを狙ったものと理解すると分かりやすいです。公式資料でも、2社間取引において、発注者が受注者に対して適切な★段階を提示し、その対策実施状況を確認する運用が想定されています。
制度の対象は、サプライチェーンを構成する企業等のIT基盤です。クラウド環境で運用するものも含まれます。
一方で、製造環境等の制御(OT)システムや、発注元等に提供する製品そのものについては、SCS評価制度の直接の対象外とされています。制度構築方針では、これらはサプライチェーン全体で共通化しにくく、他の制度やガイドライン等に基づく対応を想定すると整理されています。
この点は実務上重要です。SCS評価制度は、企業のあらゆるセキュリティ領域を一括で評価する制度ではなく、企業のIT基盤と、それを支える組織的対策を中心とする制度です。
そのため、OTや製品セキュリティの管理を重視する業界でも、SCSだけで全てをカバーするわけではありません。業界によっては、別途、業界別の要件体系で扱われる領域があると理解しておくべきです。
制度構築方針では、セキュリティ対策の段階として★3・★4・★5が示されています。ただし、2026年4月時点で具体的な要求事項・評価基準が公表されているのは、★3と★4です。★5は今後の検討事項とされています。
★3は、一般的なサイバー脅威に対処しうることを念頭に置いた、基礎的な組織的対策とシステム防御策を中心とする段階です。
★4は、★3を土台としつつ、被害拡大防止、検知、取引先管理、復旧準備等まで含めた包括的・標準的な対策を求める段階として整理されています。
★5については、2026年度以降に、要求事項・評価基準や評価スキームの具体化を進めるとされています。したがって、現時点で★5の内容や取得要件を断定的に説明することは適切ではありません。
公式資料で示されている評価スキームの基本設計は、次のとおりです。
★3では、取得希望組織が自己評価を行い、その内容についてセキュリティ専門家の確認・助言を受ける方式が想定されています。
★4では、評価機関による第三者評価が想定されています。文書確認に加え、取得希望組織へのヒアリング、規程類の確認、必要に応じた技術検証などを含む枠組みが示されています。
現時点の公表資料では、★3は1年、★4は3年の有効期間が想定されています。
ただし、この点も制度の運営規程や申請実務の最終整理を経て、実務運用の細部が明らかになる性質の情報です。したがって、実務対応上は、公表資料上の設計として理解しつつ、今後の正式な運用案内を確認する姿勢が妥当です。
今回添付いただいたExcelにある★3・★4要求事項・評価基準は、2026年3月27日に経済産業省が公表した資料と整合する内容です。
したがって、これは現時点の公式公表版の要求事項・評価基準として参照できる資料と位置づけてよいでしょう。
もっとも、ここで留意すべきなのは、制度の運用詳細や評価方法のガイド類は今後整備されるという点です。つまり、要求事項・評価基準自体は公表済みである一方、それをどのように評価し、どの証跡をどう確認するかという実務細部は、今後のガイド等で補われることになります。
現状の制度の大分類は、以下の7領域に整理されています。
この構成は、機能別に整理された評価体系として理解しやすく、実務上は、★3を基礎対策、★4をより包括的な標準対策として読むと全体像をつかみやすいです。
制度本体の申請受付はまだ始まっていませんが、中小企業向けの支援策はすでに具体化が進んでいます。
IPAは2026年3月27日、「中小企業の情報セキュリティ対策ガイドライン」第4.0版を公開しました。これは、SCS評価制度の基本的な考え方を取り込んだ内容です。
中小企業にとっては、SCS評価制度への準備を進めるうえでの実践的な入口資料と考えてよいでしょう。
経済産業省は、★3・★4取得支援を目的とした「サイバーセキュリティお助け隊サービス(新類型)」の創設を進めています。
ただし、これも現時点では制度創設に向けた実証事業の段階です。公表資料では、実証期間として令和8年8月頃から令和9年9月頃までの約1年間が予定されています。
したがって、「中小企業向け支援サービスが制度としてすでに完成し、本格提供されている」と理解するのではなく、制度本体の開始に向けた支援策の整備が進んでいる段階と捉えるのが適切です。
今後について、公式資料から読み取れるのは、以下のような流れです。
ただし、ここで重要なのは、経済産業省が制度運営基盤の整備状況等により変更となる可能性があると明記していることです。
そのため、2026年度末頃というのは、現時点では目標時期であって、確定済みの施行日ではありません。
このため、今後の情報収集では、少なくとも次の公表を確認していく必要があります。
実務の観点からは、今の段階で最も重要なのは、「まだ開始前だから様子見」で止まらないことです。
制度運用は開始前でも、要求事項・評価基準の公表版はすでに参照可能であり、企業が自己点検や準備を始める材料としては十分に有用です。
特に先に整えておくべき領域は、以下のような基本項目です。
発注企業の立場では、制度開始後に取引先へ何を求めるかを慌てて考えるのではなく、自社の取引先群を、どのリスク観点で★3相当・★4相当に整理するかを今のうちに検討しておくべきです。
一方、受注企業、とくに中小企業の立場では、まずIPAのガイドライン4.0を使って現状把握を進め、将来の専門家確認や第三者評価に備えて証跡整備を始めるのが現実的です。
なお、関連制度との関係でいえば、ISMS適合性評価制度などはSCSと無関係ではありませんが、SCSそのものではありません。 SCSは、サプライチェーン取引における対策状況の可視化を重視した制度であり、ISMSの代替制度と理解するべきではない点にも注意が必要です。
2026年4月時点でのSCS評価制度について、最も正確な整理は次のとおりです。
制度構築方針と★3・★4の要求事項・評価基準は公表済みですが、申請受付はまだ開始前です。
言い換えると、制度の基本設計は公表済みである一方、制度運用の詳細は今後具体化される段階にあります。
このため、現時点で企業が取るべき姿勢は二つです。
一つは、制度が始まってから準備するのではなく、公表済み基準を使って先行的に自己点検を進めることです。
もう一つは、制度開始時期や評価実務の詳細については、今後のIPA・経済産業省の公式公表を継続的に確認し、未確定事項を確定事項のように扱わないことです。
過度に煽る必要はありませんが、逆に静観しすぎるのも危険です。実際には、制度開始時にスムーズに対応できる企業と、そこから準備を始める企業の差は大きくなる可能性があります。今はまさに、その差が生まれ始める時期だといえるでしょう。
