セキュリティ対策評価制度とは？2026年スタート予定の新しい仕組みを解説

企業に対するサイバー攻撃が巧妙化し、サプライチェーン攻撃による被害の増加も問題視されています。こうしたセキュリティ上の課題に対処し、取引先からの信頼獲得やリスクに強い企業づくりを実現するため、経済産業省は、「サプライチェーン強化に向けたセキュリティ対策評価制度」の構築を進めています。
そこで今回は、この新しい評価制度について、制度構築の背景や、現段階で検討が進んでいる制度の内容、そして企業が制度の運用開始に向けて今、やっておくべきことを解説します。

セキュリティ対策評価制度とは？

セキュリティ対策評価制度とは、取引先間がお互いのセキュリティ対策の状況を客観的に評価し合える制度のこと。サプライチェーン全体のセキュリティ強化を目的とした、企業のセキュリティ対策の成熟度を可視化する仕組みです。

2024年、経済産業省の産業サイバーセキュリティ研究会で、この制度の構想が提案。「サプライチェーン強化に向けたセキュリティ対策評価制度に関するサブワーキンググループ」が設置され、現在、2026年度中の運用開始を目指し、実証事業や制度運営基盤の整備、利用促進の施策などの検討が進んでいます。

セキュリティ対策評価制度構築の背景と目的

セキュリティ対策評価制度構築の背景には、サプライチェーン経由の企業の情報漏えいや事業継続に関わるインシデントの多発です。情報処理推進機構（IPA）が発表した「情報セキュリティ10大脅威 2025」でも、「サプライチェーンや委託先を狙った攻撃」は、2024年に発生した情報セキュリティの驚異のうち、2番目の社会的に大きかった事案として挙げられており、企業の実務担当者の危機感が高いテーマであることがうかがえます。

情報セキュリティ10大脅威 2025 | IPA 独立行政法人 情報処理推進機構

企業がサイバー攻撃から身を守るためには、自社だけではなく、サプライチェーンを構築する多数の取引先のセキュリティ対策についても確認する必要性が高まっています。一方で、大手企業や政府機関等のサプライチェーンに含まれる中小企業にとっては、取引先から、セキュリティ対策状況の提示や、セキュリティ強化を要請された際に、回答や対処が難しいという課題もあります。

そうしたサイバー攻撃の脅威や課題に対処するため、企業間で互いのセキュリティ対策状況を客観的な指標で確認できる仕組みを作るため、セキュリティ対策評価制度の構築はスタートしました。企業間でのセキュリティ対策状況の共有や、適切なセキュリティ対策の実施を促すことで、サプライチェーン全体のセキュリティ対策水準を向上することを目指しています。

セキュリティ対策評価制度を活用すべき会社は？

では、セキュリティ対策評価制度の活用が効果的なのは、どのような会社なのでしょうか。経済産業省のワーキンググループは、2025年4月に発表した中間とりまとめで、以下の業界において、次のようなニーズが高いという理由から、優先的に制度活用を推進していくと発表しています。

サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ｜経済産業省

①サプライチェーン発注側…政府機関、インフラ事業者、大手製造業等

• 重要な機密情報を有し、高いセキュリティレベルが求められる業界

• セキュリティ要求への対応が困難な取引先が含まれる業界

• サプライチェーン間の結びつきが強い業界、サプライチェーンが複雑な業界

②多様な業界から業務を受ける中間層…BPO事業者、製品・部品製造業等

• 機密情報を扱う業務や重要な業務の委託を受け、様々な業界からセキュリティ要請を受けている業界・事業者

③サプライチェーンを下支えするエンド層…B to Bビジネスに従事する中小企業全般

• 情報管理や事業継続において重要な役割を果たす業界・事業者

セキュリティ対策評価制度の内容

セキュリティ対策評価制度は、具体的にどのように企業のセキュリティ対策状況をチェックするのでしょうか。

中間とりまとめによると、セキュリティ対策評価制度は、サプライチェーンにおける重要性や影響度に応じて、企業のセキュリティ対策のレベルを★3、★4、★5の3段階で評価します。★3～★5に関して、対処すべき脅威の水準や、必要な対策は以下の表のとおりです。

出典：サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ｜経済産業省 

なお、評価項目は、(1)ビジネス観点（データ保護・事業継続における重要度）と、（2）システム観点（接続の有無）に分類される予定です。また、具体的な制度の活用法としては、2社間の取引契約などにおいて、発注企業が、受注側に適切な段階（★1～5）を提示し、実施状況の確認や、必要な対策を促すことを想定しています。

セキュリティ対策評価制度を活用するメリット

では、企業にとって、セキュリティ対策評価制度を活用することでどのようなメリットを得られるのでしょうか。

取引先からの信頼獲得

セキュリティ対策評価制度の認定結果を取引先に提示することで、自社のセキュリティ対策状況を明確に取引先に伝えることができます。制度の活用によってセキュリティ面における信頼を獲得でき、継続的な受注による売り上げアップや、新規顧客の開拓にもつながるのがメリットです。

取引先の取り組み状況がわかり、必要な対策を求められる

自社のセキュリティ対策状況を提示するだけでなく、取引先のセキュリティ対策について把握できることもメリットです。取引先の対策状況に関して細かい調査の要求や条件の提示をすることなく、制度を通じて取引先の状況をスムーズに確認でき、不足する対策を依頼することが可能です。

自社に足りないセキュリティ対策がわかる

セキュリティ対策評価制度を活用することで、自社のセキュリティ状況を客観的な指標で確認できます。専門家による正確な評価を受けることで、セキュリティの脅威に備える上で足りない対策や、優先して行うべき取り組みを知ることができ、効果的に自社のセキュリティを強化できます。

コストを抑えつつ必要な対策ができる

セキュリティ対策強化に関するコストの面でも、制度の活用は有効です。国際的な制度や分析もふまえた基準に即して評価を受けて、自社に足りない部分を補うことで、対策の重複や非効率を防げます。また、統一された評価制度を活用することで、取引先が設けた基準に対応するためのセキュリティコストも削減できます。

セキュリティ対策評価制度が始まる前にやるべきこと

セキュリティ対策評価制度の活用や認定の取得をスムーズに進めるために、今、企業として何をしておけば良いのでしょうか。サービスや製品を受注する側にとって必要な準備は、以下の通りです。

自社が目指すべき★のレベルを明確化

まずは、セキュリティ対策評価制度について理解を深め、制度開始によって顧客との取引や社内業務にどのような影響が生じるのかについて、検討・確認しましょう。また、発表されている「セキュリティ対策評価制度に関する中間とりまとめ」等を参考に、自社が目指すべき評価レベルを明確にしておくことも大切です。新制度が定める★3～★5の内容を確認して、自社が目指すレベルを定めましょう。

自社のセキュリティ対策運用状況を整理

次に、自社のセキュリティ対策の状況や、運用体制を整理します。目指すべき認定レベルをベースに、自社の対策の成熟度や、足りない取り組みをチェックしましょう。制度開始の前に、不足する対策の対応計画を立案したり、可能な範囲で対策の改善をしておくことで、スムーズに認定を受けることができます。

セキュリティ強化にかかる費用を確認する

認定を目指すレベルによっては、セキュリティ強化のために、機器の見直しや新しいツールの導入が必要になるケースもあります。セキュリティ対策評価制度の下で高い評価を受けられず、取引の機会を損失することのないよう、早めに機器の選定や予算の確保をしておくことが大切です。

セキュリティ対策評価制度に関する社内教育

セキュリティ対策評価制度への対応や活用には、情報を扱う業務やサービスの受発注に関係する従業員の制度に対する理解が不可欠です。セキュリティ対策評価制度の内容や、自社が目指すセキュリティ水準について研修等を行い、教育を進めましょう。また、制度運用に向けて、目指す認定レベルに対応する社内の新しいセキュリティルールや、導入するツールに関しても社内に情報を周知することが重要です。

制度について最新情報をチェックして内容を把握

2025年4月時点の中間取りまとめでは、今後、実証事業などを経て、評価基準やスキームが決定される見込みです。今後、評価する内容や評価基準が変更される可能性もあるため、経済産業省からの発表をチェックして、最新状況を把握しながら、必要な対策を進めましょう。

信頼される企業になるために新評価制度への準備を進めよう

セキュリティ対策評価制度は、サプライチェーン全体のセキュリティ強化に有効なだけでなく、自社のセキュリティの課題に対処するきっかけにもなります。セキュリティ強化対策は時間やコストを要することもありますが、制度スタート前に対応を進めることが、認定制度の有効活用やビジネスの拡大にもつながります。信頼される企業になるために、早めの準備を進めてみてはいかがでしょうか。