サプライチェーンセキュリティ評価制度とは?
取引先や委託先を含めたサイバーセキュリティ対策の重要性が高まるなか、「サプライチェーンセキュリティ評価制度」という言葉を目にする機会が増えています。
正式には「サプライチェーン強化に向けたセキュリティ対策評価制度」と呼ばれ、略称として「SCS評価制度」が使われています。これは、サプライチェーンを構成する企業のセキュリティ対策状況を、共通の基準で評価・可視化するための制度です。
内部統制に初めて関わる人は、この制度を単なるセキュリティ認証ではなく、取引先リスクを管理するための仕組みとして理解すると分かりやすいでしょう。
制度の基本的な仕組み
サプライチェーンセキュリティ評価制度は、委託元企業と委託先企業の間で、必要なセキュリティ対策の水準を分かりやすく共有するための制度です。
近年は、自社だけが対策をしていても、取引先や委託先のセキュリティ対策が不十分であれば、そこを起点に情報漏えい、業務停止、不正侵入などが発生する可能性があります。
たとえば、外部のシステム会社、クラウドサービス事業者、コールセンター、物流会社、製造委託先などが攻撃を受けた場合、自社の顧客情報や業務にも影響が及ぶことがあります。
そこでSCS評価制度では、2社間の取引契約などにおいて、委託元が委託先に必要な段階(★)を提示し、委託先の対策実施を促すことが想定されています。
なぜ制度が必要とされているのか
SCS評価制度が必要とされる背景には、委託先や取引先を起点としたサイバー攻撃の増加があります。
委託元企業にとって、取引先のセキュリティ対策状況を正確に把握することは簡単ではありません。独自のチェックシートを使っても、回答内容が実態に合っているか判断するには専門知識が必要です。
一方、委託先企業にとっても、複数の取引先から異なるチェックシートへの回答を求められることは大きな負担になります。質問の表現や要求水準が異なるため、同じような内容を何度も確認しなければならないからです。
SCS評価制度は、こうした負担を軽減し、委託元・委託先の双方が共通基準でセキュリティ対策を確認できるようにすることを目的としています。
内部統制担当者が押さえるべきポイント
SCS評価制度は、情報システム部門だけが関わる制度ではありません。内部統制の観点では、委託先管理、契約管理、リスク評価、証跡管理と深く関係します。
特に重要なのは、「どの取引先に、どの程度のセキュリティ水準を求めるのか」を整理することです。すべての取引先に同じ水準を求めるのではなく、委託業務の重要度や取り扱う情報に応じて確認内容を変える必要があります。
関係する主な部門
| 部門 | 主な役割 |
|---|---|
| 情報システム部門 | 技術的な対策、アクセス管理、インシデント対応体制を確認する |
| 購買・調達部門 | 取引先や委託先の選定、契約前の確認、継続管理を行う |
| 法務部門 | 契約書のセキュリティ条項、事故時の報告義務、秘密保持を確認する |
| 内部統制・内部監査部門 | 委託先管理のルール、証跡、運用状況を確認する |
内部統制担当者は、制度そのものを理解するだけでなく、社内の管理プロセスにどう組み込むかを考えることが大切です。
★3・★4・★5の違い
SCS評価制度では、セキュリティ対策の段階として★3、★4、★5が設定されています。現時点では、★3と★4を中心に制度構築が進められており、★5は今後さらに具体化される予定です。
| 段階 | 概要 |
|---|---|
| ★3 | 一般的なサイバー脅威に対応するための基本的な対策水準。専門家確認付き自己評価が想定されています。 |
| ★4 | 初期侵入の防御だけでなく、被害拡大防止やサプライチェーン上の役割に応じた対策を含む水準。第三者評価と技術検証が想定されています。 |
| ★5 | より高度なサイバー攻撃への対応を想定した段階。要求事項や評価スキームは今後具体化される予定です。 |
なお、★4を取得するために、必ず事前に★3を取得しなければならないという関係ではありません。自社の役割、取引先からの要請、取り扱う情報の重要度などに応じて、必要な段階を検討します。
SCS評価制度は義務なのか
SCS評価制度について、初学者が特に気になるのが「取得は義務なのか」という点です。
結論として、SCS評価制度は任意の制度です。法律で一律に取得が義務づけられているものではありません。
ただし、任意制度だからといって、自社に関係がないとは限りません。取引先との契約や委託条件の中で、一定のセキュリティ水準を求められる可能性があります。
また、★を取得していないからといって、直ちに取引停止になるとは限りません。どのように契約上扱うかは、委託元と委託先の間で合意されるべきものとされています。
内部統制の観点では、「義務かどうか」だけで判断するのではなく、自社の取引先管理上、どの委託先にどの水準を求めるべきかを検討することが重要です。
制度開始時期と今後の予定
経済産業省のFAQでは、★3および★4について、2026年度末頃の制度開始、つまり申請受付開始を目指すとされています。
一方、制度の詳細な提出様式、評価方法、評価機関などは、今後具体化される予定です。★5についても、2026年度以降に要求事項や評価スキームの検討が進められる見込みです。
制度情報は更新される可能性があるため、社内対応を進める際は、METIやIPAの公式情報を確認することが大切です。
今から準備しておきたいこと
制度の詳細がすべて公表される前でも、内部統制担当者が準備できることはあります。まずは申請手続きではなく、社内の管理状況を整理することから始めましょう。
確認しておきたい主な項目
- 取引先・委託先の一覧を整理する
- 各委託先が扱う情報の種類を確認する
- 委託業務が停止した場合の影響を整理する
- 既存のセキュリティチェックシートを見直す
- 契約書にセキュリティ条項や事故時の報告義務があるか確認する
- 情報セキュリティ規程、アクセス管理、教育記録などの証跡を整理する
特に重要なのは、ルールを作ることだけではありません。実際に対策を行っていることを説明できる証跡を残すことです。
たとえば、従業員教育の実施記録、アクセス権限の棚卸し記録、バックアップの実施記録、インシデント対応手順、委託先チェックシート、契約書などが証跡になります。
評価や監査の場面では、「実施している」と言えるだけでなく、「記録で示せる」状態にしておくことが重要です。
まとめ
サプライチェーンセキュリティ評価制度は、取引先や委託先を含めたセキュリティ対策状況を、共通基準で評価・可視化するための制度です。
情報システム部門だけでなく、購買・調達、法務、内部統制、内部監査、経営層にも関係します。
内部統制に初めて関わる人は、制度の細かな技術要件から入るのではなく、まず「誰が、何を、どの証跡で確認するのか」を整理するとよいでしょう。
SCS評価制度への対応は、単なる制度対応ではなく、サプライチェーン全体のリスク管理を見直す機会になります。制度開始に向けた最新情報を確認しながら、取引先一覧、委託業務のリスク、契約書、証跡管理の整備を早めに進めておきましょう。
しています!
上智大学経済学部卒業。大原簿記学校講師、青山監査法人(当時)勤務を経て、1998年KPMGニューヨーク事務所に入社。
2002年以降は、KPMG東京事務所(現あずさ監査法人)にて外資系企業の法定監査、デューデリジェンス、SOX法対応支援業務を担当する。
現在は、経営コンサルタントとして、内部統制構築支援やIFRSコンバージョン支援に携わるとともに、各種実務セミナー講師としても活躍中。
著書『フローチャート式ですぐに使える内部統制の入門と実践』他。
コントロールソリューションズでは、内部統制に関わるセミナーを随時開催しています。佐々野氏のセミナーは分かりやすいと好評のため、「すぐに相談までは進めない」という方はセミナーでお話を聞いてみてはいかがでしょうか?
相次ぐ企業の不祥事を受け、内部統制における不正リスク対応が重要視されています。本セミナーでは、不正の発生背景や直近の事例を分析し、未然防止や早期発見に必要な社内の仕組み・チェックポイントを実務場面に即して解説します。さらに、内部監査や不正調査を実施する際の留意点についても、講師が分かりやすく指導します。
急速に普及する生成AIは、内部監査・内部統制にリスク検知や新視点をもたらす一方、情報漏洩等の懸念も伴います。本セミナーでは、AIの基礎から実務での活用シナリオ、即戦力のプロンプト例までを詳しく解説。リスクを適切に管理しながら成果を最大化する「AIとの付き合い方」を、実務視点で実践的に学べる内容です。
内部監査の高度化に伴う課題を解決する、新任担当者や手法を見直したい方向けの実践講座です。2024年改訂のグローバル基準を踏まえ、監査計画から実施、報告までの一連の手順を体系的に解説。特に悩みの多い「監査調書」や「経営陣に伝わる監査報告書」の具体的な作成ポイントを、実務ですぐに使える形で習得できます。
内部監査・内部統制における生成AIの実践的な活用法とリスク管理を学ぶセミナーです。業務効率化やリスク早期発見などAIの恩恵を解説する一方、情報漏洩や誤情報等の課題への対策も網羅。基礎知識から具体的な活用シナリオ、現場で即使えるプロンプト例まで、安全で効果的なAI活用術を実務目線で体系的に習得できます。
全社的リスクマネジメント(ERM)の実効性向上と体制高度化を目指すセミナーです。ERMに初めて取り組む方向けの基礎解説から、形骸化を防ぎPDCAを定着させたい実務者向けの運用ノウハウまで幅広く網羅。さらに危機管理マニュアルやBCP策定といった危機対応の基本も交え、真に機能するリスク管理体制づくりを支援します。
粉飾や横領などの不祥事が絶えず、内部統制における不正リスク対応の重要性が高まっています。本セミナーでは、不正発生の背景や最新事例を紐解き、未然防止と早期発見に必要な社内の仕組みを解説。具体的な業務に当てはめたチェックポイントから内部監査・不正調査の留意点まで、不正対策の実務を体系的に学べる講座です。
新任担当者やJ-SOX対応を始める方に向けた2日間の実践講座です。制度の基本から全社・業務別統制の整備・評価手順まで実務に即して解説し、すぐ使えるテンプレートも紹介します。新リース会計基準や非財務情報開示、生成AIの活用による効率化など最新の実務課題も網羅しており、豊富な事例を通じて体系的に学べます。
新任担当者やこれからJ-SOX対応を始める方に向けた2日間の実践講座です。制度の基本から整備・評価の具体的手順までを解説し、実務で使えるテンプレートも提供します。厳格化するリスク対応や新リース会計、非財務情報開示、生成AIを活用した業務効率化など最新課題も網羅。豊富な事例を通じて体系的に学べます。
内部統制制度の導入から約20年。今や当たり前の存在となり、その本質や意義を考える機会が減っていませんか?本セミナーは、全てのビジネスパーソンに向けて内部統制の基本に立ち返る入門講座です。「なぜ必要なのか」「目的や要素は何か」といった基礎知識から制度の全体像までをやさしく解説し、本質的な理解を深めます。
内部統制制度の導入から約20年が経過し、その本来の意義を考える機会が減っていませんか?本セミナーは、全てのビジネスパーソンを対象に内部統制の基本に立ち返り、「なぜ必要なのか」「目的や要素とは何か」「制度の全体像」をやさしく解説します。基礎知識を本質からしっかりと身につけたい方に向けた入門講座です。
生成AIを内部監査・内部統制業務へ安全かつ効果的に導入するための実践講座です。AIの基本や各種ツールの違い、業務効率化やリスク発見などの活用シナリオに加え、情報漏洩やハルシネーション等のリスク管理手法を網羅。さらに、監査計画やチェックリスト作成に即使える具体的なプロンプト技術まで実践的に解説します。
内部監査・内部統制業務における生成AIの活用とリスク管理を網羅した実践講座です。AIの基本から、監査計画やチェックリスト作成などの具体例、情報漏洩やハルシネーション対策まで、現場での「使いどころ」と「注意点」を徹底解説。さらに、実務でそのまま使える即効プロンプトの記述テクニックも体系的に学べます。
内部監査部門の立ち上げや新任担当者、実務を見直したい方に向けた基礎講座です。上場準備や不祥事防止など高まる期待に対し、限られた人員で効果的な監査を行うための基本知識と必須手順を、具体的な書式や事例を用いて総ざらいします。さらに、2024年に改訂されたグローバル内部監査基準のポイントも解説します。
内部統制制度の導入から約20年。日常業務で当たり前となった今だからこそ、その本質を再確認しませんか?本セミナーは全てのビジネスパーソンを対象に、内部統制の基本に立ち返り、「なぜ必要なのか」「目的や要素は何か」をやさしく紐解く入門講座です。制度の全体像から基礎知識をしっかりと学び直したい方にお勧めです。
内部監査・内部統制に特化した、生成AIの「使いどころ」と「注意点」を学ぶ実践講座です。監査計画やチェックリスト作成などの具体例を交え、業務効率化とリスク発見のノウハウを解説します。情報漏洩対策といったリスク管理の基本から、現場ですぐに使えるプロンプトの記述テクニックまで、実務直結の知識を網羅しています。
内部監査・内部統制業務における生成AIの実践的な活用法とリスク対策を網羅したセミナーです。監査計画やチェックリスト作成、議事録要約など、業務効率化とリスク発見に直結する活用シナリオを提示。情報漏洩やハルシネーションへの備えを学びつつ、現場で即実践できるプロンプトの記述テクニックまで習得できます。