「サプライチェーン強化に向けたセキュリティ対策評価制度（以下、本評価制度）」とは、“企業のセキュリティ対策の状況を可視化するための評価制度”である。経済産業省および内閣官房国家サイバー統括室が準備を進めており、制度運用開始は2026年度末頃の予定だ。

本評価制度では、企業のセキュリティ対策レベルを★1～★5の5段階で分けている。このうち、★1および★2は、独立行政法人情報処理推進機構（以下、IPA）が既に推進している「SECURITY ACTION」という制度が流用される方針だ。つまり、新設される評価基準は「★3～★5」ということになる。内容（案）は以下のとおり。

全てのサプライチェーン企業が最低限実施すべき「★3」、標準的に目指すべき「★4」、到達点として目指すべき「★5」という区分けとなっている。

経済産業省によると、本評価制度は「2社間の取引契約等において、発注元企業が、委託先企業側に適切な段階★を提示し、示された対策を促すとともに実施状況を確認することを想定」しているとのこと。つまり、「発注者が依頼先企業に対して適切な★を求め、その★の水準を満たした場合にのみ、発注が行われる」というケースも十分に考えられるだろう。今後、★3以上を取引条件に据える企業も出てくることが予測されるため、本評価制度の★を満たしているかどうかは、そのまま取引機会の増減にも直結し得る。

また、本評価制度への対応は、自社のセキュリティレベルの向上にも寄与する。対応を進めることで、情報漏えいによる顧客との信頼関係を損なう可能性や業務停止による売り上げ機会の逸失を防ぐことも期待できるだろう。

では、2026年度末頃の開始が見込まれている本評価制度に対して、中小企業はどのような対応を取るべきなのか。また、ベンダーはクライアントにどのような対応を推奨すべきか、二つのステップを解説する。

ステップ①：「★1」「★2」の基準をクリアしているか確認する

まずは、デジタル化に取り組む中小企業であれば必ず実施するべき「★1」「★2」の基準をクリアしていることを確認しよう。「★1」は5項目のセキュリティ対策を、「★2」は（「★1」の5項目を含む）25項目の対策を実施した上で、IPAのホームページ上で自己宣言を行う。

「★1」の取得には、IPAが公開している中小企業の情報セキュリティ対策ガイドライン「情報セキュリティ5か条」に取り組むことが条件。

また「★2」を取得するためには、同じくIPAが公開する「5分でできる！情報セキュリティ自社診断」の実施および「情報セキュリティ基本方針」の策定&外部公開を行うことが必要だ。IPAが公開している「SECURITY ACTIONとは？」で詳細が説明されている。

多くの中小企業にとって、「★1」も「★2」も、決して高いハードルではないだろう。だからこそ、基本的なセキュリティ対策として「★1」および「★2」で掲げる取り組みを確実に実施し、自社のセキュリティレベルの底上げに取り組みたい。

ステップ②：「★3」の取得を目指す

「★1」および「★2」を実施した後は、全てのサプライチェーン企業が最低限実施すべき「★3」の取得を目指したい。「★3」では評価基準として、以下7つの分野において、達成すべき対策が提示される予定だ。

上記「★3」で求められる対策のうち、優先順位をつけて対応を進めるとよいだろう。なお、経済産業省およびIPAでは「★3」および「★4」の安価かつ簡便な取得のための支援策として、2026年春頃から「サイバーセキュリティお助け隊サービス」（新類型）を創設する予定である。同サービスも上手に活用したいところ。

先述したとおり、本評価制度の対応は中小企業の取引機会ひいては売り上げにも影響しかねない。ベンダーとして本評価制度を正しく理解し、「サイバーセキュリティお助け隊サービス」（新類型）の情報提供も含めて、適切な伴走支援を行いたい。