{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.text}}
サプライチェーン強化に向けたセキュリティ対策評価制度に対応したクイック・アセスメント・サービス
ビジネス環境が急速にデジタル化する中、サプライチェーンにおけるセキュリティ対策の重要性が増しています。こうした中PwC Japanグループでは、経済産業省が2026年度中の開始を目指す「サプライチェーン強化に向けたセキュリティ対策評価制度(以下、「サプライチェーン対策評価制度」)」について、企業の対応を支援するクイックアセスメントのサービスを提供します。
経済産業省「サプライチェーン対策評価制度」とは
この制度は、サプライチェーンにおける企業のセキュリティ対策のレベルを可視化し、段階的に向上させることを目的としています。企業規模や業種特性に応じて、★3~5までの段階的な対策レベルを設定し、各レベルで求められる具体的なセキュリティ対策を明確化します。これにより企業は、自社や取引先のセキュリティレベルを客観的に評価し、必要な対策を効率的に実施することが可能となるとしています。
対象となる組織
- 本制度の対象として想定されているのは、サプライチェーン企業(BtoB取引における受注者側)です。
- 評価取得の申請主体は、「自社IT基盤を中心とした、自社のセキュリティ対策の向上に責任を有する単位(基本的には、法人単位または企業グループ単位)」と想定されます。
評価対象となるシステム
- 評価の対象は、オンプレミス環境およびクラウド環境で運用される企業などのIT基盤です。具体的には以下のような機器等が含まれると想定されます。
- 端末(PC、モバイルデバイス、BYOD:Bring your own device)
- サーバー
- ネットワーク機器(ファイアウォール、ルーターなど)
- クラウドサービス(IT基盤として活用されるもの)
制度の各段階で求められる対策レベルの違い
- 段階として、★3(Basic)・★4(Standard)・★5の3つが想定されています。ただし、制度開始初年度の2026年度は★3・★4の2段階とし、★5の導入はその後に進められる想定です。
- それぞれの段階が目指す水準は、
★3(Basic):一般的なサイバー脅威に対処しうる水準
★4(Standard):初期侵入の防御に留まらず、内外への被害拡大防止・目的遂行のリスク低減によって取引先のデータやシステム保護に寄与する点や、サプライチェーンにおける自社の役割に適合した事業継続を推進しうる水準としています。 - ★5は、現時点では「より高度なサイバー攻撃への対応として、自組織のリスクを適切に把握・マネジメントした上で、システムに対する具体的な対策としては既存のガイドライン等も踏まえた上で現時点でのベストプラクティスに基づく対策を実行する」といった内容が想定されています。
取得に向けた評価プロセス
各段階について以下の評価プロセスが想定されています。
- ★3(Basic):自己評価を通して、一般的なサイバー脅威に対処し得る水準のセキュリティ対策を実施していることを示す。有効期間は1年、更新の際には年次で自己評価を実施。
- ★4(Standard):より高度なセキュリティ対策を実施していることを示す段階であり、認定機関から認定を受けた評価機関による第三者評価が必要。有効期間は3年、有効期間内は1年ごとに自己評価を実施し、評価機関に提出する仕組みとなる見込み(更新時には改めて第三者評価が必要)。
- ★5:★4と同様に第三者評価が必要
制度の活用が予想される業界
- 現時点では、法的な強制力のある制度になるとはされていません。ただし今後主要な業界内で普及していくことで、BtoB取引のセキュリティ対策におけるデファクトスダンダード(事実上の必須基準)となる可能性があります。
- 制度が効果的と想定される業界などについては、優先的に制度活用を促進していくとされています。具体的には、重要な機密情報を有し高いセキュリティレベルが求められる業界、サプライチェーン間の結び付きが強い業界(例:金融、自動車、半導体、主要製造業、政府機関)や、重要な機密情報・業務の委託を受け、さまざまな業界からセキュリティ要請を受けている業界(例:BPO事業者、部品製造業)などが想定されています。
本制度への対応により期待される効果
企業が本制度に対応することで、取引先との信頼関係向上やビジネス機会の拡大といったプラスの効果が期待されます。
- 取引先への自社セキュリティ対策の説明の明確化:取引先企業に対して、自社が実施しているセキュリティ対策レベルを明確に伝えやすくなります。特に複数の取引先から異なる対策やセキュリティチェックリストへの対応を求められている場合に、本制度の評価取得でそれらを集約して対応できる可能性があります。
- セキュリティ対策のレベルアップ:段階的なレベル設定と具体的な対策内容により、企業は自社のセキュリティレベルを向上させるためのロードマップを明確に描くことができます。
- ビジネス機会の拡大:セキュリティ対策への意識の高まりとともに、本制度への対応は新たなビジネスチャンスにつながる可能性があります。特に、高いレベルのセキュリティ対策を証明することは、顧客からの信頼獲得に大きく貢献します。
企業はどの段階を選べばいいのか?
- 制度が想定する使い方として、以下3つのサプライチェーンリスクに照らして、★4または★3の段階を割り当てる考え方が示されています。
- 発注者の重要な機密情報を自社IT基盤で取り扱うか、
- 自社の事業中断により、発注者業務に許容できない遅延が生じるか、
- 自社IT環境から発注者の内部システムへのアクセスが可能か
- 企業は、サプライチェーンにおける自社の重要性、業界の特性、想定されるリスクの種類などに応じて、取引先との協議を通じて適切な段階を選択することが必要になるでしょう。
サプライチェーンリスクに照らした割り当ての考え方
評価取得に向けた対応の流れ
- 想定される取得レベルの確認:サプライチェーンにおける自社の位置付けや取引先との協議によって★3、★4いずれの段階を目指すべきかが決まってくると考えられます。それに先立ち、「サプライチェーンリスクに応じた割り当ての考え方」や現状取引先から依頼されているセキュリティチェックシートの内容などを参考に、自社が主たる取引先からどの段階を期待されるかを想定しておくことが考えられます。
- セキュリティ対策レベルの確認:想定する取得レベル(★3または★4)に対する現状のセキュリティ対策レベルを把握します。
- ギャップの分析と必要な対策の実施:★3、★4それぞれの取得に必要なセキュリティ対策の内容案や評価基準案が公開されています(2025年8月現在)。これらと自社の対策内容を比較し、不足している対策があれば実施します。
ここまでが、取得の準備段階として必要となる対応です。
以下は制度開始後の対応となります。
- 自己評価の実施(★3、★4):毎年、要求事項の遵守状況について自己評価を実施することが必要となります。自己評価の手順などは、今後制度側からガイダンスが公開されるものと想定されます。
- 第三者評価の実施(★4):★4を取得・更新するためには、評価機関による第三者評価を受けることが必要になります。ただし現時点では、評価機関として想定される者や求める基準などは明らかになっていません。
- 登録・更新手続き:各段階の登録手順に沿って、登録・更新手続きが必要になると想定されます。
今後の展開
経済産業省では2026年度の制度開始を目指し、実証事業による制度案の検討、制度運営基盤の整備、利用促進策の具体化などの取り組みを進めていくと考えられます。
2025年度下期(10~3月)の予定
- 実証事業の実施:制度案の検証と改善を図るため、実証事業を実施
- 制度構築方針(案)の公表:実証事業を踏まえた制度構築方針(案)の作成、パブリックコメントを実施し広く意見を募集
- ★3、4の基準・評価スキームの確定:実証事業を踏まえ★3、4の基準や評価スキームの詳細を確定
- 制度の導入促進:サイバーセキュリティお助け隊サービスとの連動、下請法等に係る課題の整理、関連ガイドラインへの記載などを実施
2026年度以降の予定
- 制度構築方針の確定:パブリックコメントを反映させた最終的な制度構築方針を公表
- 制度運用開始・取得企業の公表:2026年度中の制度運用開始を予定
経済産業省のウェブサイトでは、本制度に関する最新情報や議論の経緯などが公開されています。
「サプライチェーン対策評価制度」に対応したクイックアセスメント
「サプライチェーン対策評価制度」の開始に先立ち、PwC Japanグループでは、制度対応に向けたクイック・アセスメント・サービスを、自社の対応状況を把握したい企業の皆さまに提供します。また制度の具体化や開始に合わせて、段階的にサービスを発展・拡充していく予定です。
サービス概要
制度の開始に先立ち企業が実施しておくべき現状のセキュリティ対策レベルの確認やギャップ分析について、クイック評価サービスを提供します。現時点で判明している★3および★4の評価基準が対象となります。
- ★3、4の評価基準に対する、現状の統制レベルとのギャップ分析
- システム実装レベルでの対策が求められる事項については、設定値の確認を含みます。
- 社内規程・文書・プロセス・体制の整備などが求められる事項については、現在の規定の有無・内容との分析を行います。
- ギャップに対する一般的な改善案の提示
クイックアセスメントを利用することで、各要求事項・評価基準に対する自社の対策レベルの確認と、制度開始に向けた計画的な追加対策の実施が可能となります。
今後のサービス展開
本制度への早期対応を支援するクイックアセスメントを皮切りに、制度の運用開始に合わせて、本格的な評価対応支援や継続的な保守までニーズに合わせた段階的なサービス提供を行っていく予定です。
なお、クイックアセスメントをご利用いただいた企業においては、後続の対応支援サービスを併用することで追加対応が必要な要件が可視化されます。このため、ピンポイントで対応することによるコスト削減効果が期待できます。
- サプライチェーン評価対応支援(初年度)
- 基準のうち技術要件を対象とした証跡取得設定
- 統制構築支援(規定類テンプレート提供など)
- 2年目以降
- 保守サポートプランの提供(システム設定変更、規定改定対応など事業環境の変化に応じた保守サポートメニュー提供)
本制度への対応は、サプライチェーン全体のセキュリティ強化だけでなく、企業のビジネス競争力向上にも直結します。私たちは、顧客ニーズに合わせた最適なソリューションを提供し、円滑な制度対応をサポートします。サービスの詳細や個別のご相談については、担当までお気軽にお問い合わせください。
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.text}}
{{contentList.loadingText}}
