2026年度始動予定「経産省　SCS（Supply Chain Security）評価制度」
157の評価基準による「証拠による検証」への具体化と対応方法

経済産業省が2025年12月に公表した「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針（案）」（SCS評価制度の構築方針（案））により、2026年度から開始される新制度の全貌がより鮮明になりました。2025年4月の中間報告から一歩進み、提供されたExcel資料は157の詳細な評価基準へと進化しています。
※経済産業省：
「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針（案）」（SCS評価制度の構築方針（案））を公表しました

本稿では、評価基準がなぜこれほどまでに細分化されたのか、そしてISMS等の既存の取り組みを持つ企業はどう動くべきか、立場別の戦略を解説します。

1.要求項目は据え置きだが評価項目に細分化

まず、多くの担当者が懸念する「項目の大幅な増加」についてですが、基本的な要求事項（メインの設問数）自体は4月の中間報告から変わっていません。
▼ホワイトペーパー：経済産業省サプライチェーンセキュリティ評価制度において企業に求められる対応

• ☆3つ（Basic）：25要求項目
• ☆4つ（Standard）：44要求項目（全項目）

この項目が157に詳細化した理由は、各要求事項が実際の監査に耐えうるよう、「評価基準」としてもう一段、具体化されたためです。 例えば、一つのルール策定の設問に対し、「策定しているか」「年1回点検しているか」「周知しているか」といった具合に、1-1-1-1、1-1-1-2...とサブ項目化されています。 これにより、特に第三者が評価する☆4つについて「証拠（エビデンス）による検証」を求めるようになり、実務的なチェックリストに具体化されました。

• ☆3つ（Basic）：83要求項目
• ☆4つ（Standard）：157要求項目（全項目）

2.ISMS・業界ガイドラインとの「気になる関係」

すでにISMS（ISO/IEC 27001）認証を取得している、あるいは自動車業界のガイドラインを導入している企業にとって、最大の関心事は「二重対応になるのか」という点でしょう。

自動認定はないが、エビデンスの流用は可能

結論から言えば、ISMSを取得していれば自動的に☆4が付与されるといった「自動的な読み替え」は現時点では行われません。

しかし、新制度の評価基準には、「ISO/IEC 27001:2022」や「自動車GL」のどの項目に対応しているかが項目番号レベルで明記されています。

• ISMS取得企業：すでに運用している「規程」や「ログ」をそのまま本制度のエビデンスとして流用できます。
• 整合性の高さ：新制度の基準は、国際規格や国内の主要ガイドラインをベースに策定されているため、既存の取り組みを無駄にせず、差分（ギャップ）を埋めるだけで効率的に格付取得が可能です。

3.立場・状況別：新制度への向き合い方

サプライチェーンにおける自社の立ち位置によって、新制度への向き合い方は異なります。

パターンA：サプライチェーンを束ねる「主導企業（発注者）」

【状況】大手メーカーや重要インフラ企業など、数多くの委託先を抱える立場。

●取り組みのポイント:

• 取引基準の策定：自社のサプライチェーンリスクを再評価し、取引先に求める格付（★3または★4）を明確に定義します。
• 管理コストの削減：個別の調査票（エクセル等）による管理から、制度の「格付結果」を参照する方式へ移行し、管理工数の劇的な削減を図ります。
• 伴走支援：重要な取引先が格付を取得できるよう、監査対応のガイドライン提示などの支援体制を整えます。

パターンB：ISMSや自工会・部工会ガイドライン「導入済み企業」

【状況】すでにISO 27001（ISMS）認証を取得している、あるいは自動車業界等でガイドライン準拠を進めている企業。

●取り組みのポイント:

• マッピングによる効率化：新制度の評価基準はNIST CSF 2.0やISO 27001、既存の業界ガイドラインと整合するよう策定されています。
• 「証拠（エビデンス）」の再整理：既存の運用で作成している文書やログが、新制度の44項目（★4の場合）の「証拠」としてそのまま使えるか、ギャップ分析を行います。
• 差分への集中投資：特に「攻撃の検知」や「復旧訓練」など、既存のISMSでは文書化のみで済みがちだった箇所の実効性を高めます。

パターンC：SECURITY ACTION（一つ星・二つ星）「宣言済み企業」

【状況】IPAの制度で自己宣言はしているが、第三者評価の経験はない中小企業。

●取り組みのポイント:

• ★3（Basic）へのステップアップ：「宣言」のみだった状態から、客観的な基準に基づく「自己評価」へと質を高めます 。
• IT資産の棚卸し：まずは自社が利用しているPC、サーバー、クラウドサービス（SaaS等）を正確に把握することから始めます。

パターンD：これから対応に着手する「中堅・中小企業」

●取り組みのポイント:

• まずは「健康診断」として☆3（25項目）の自己評価から着手します。
• 12月版で細分化された「評価基準」は、そのまま「自社が何をすべきか」のToDoリストになります。 これを道標に、基礎的なシステム防御を固めることが、将来のビジネスチャンスにつながります。

4.難易度の高い「3つの要件」をどう乗り越えるか

最新案でも、特に「取引先管理」「CSIRT体制」「脆弱性管理」の3点は、多くの企業にとって対応負荷が高いと予想されます。

これらの高難度項目こそ、専門家の支援（GSXのワンストップサービス等）を活用し、効率的に「格付」という形にする価値があります。

結論：新制度を「競争優位」の武器にする

2026年度、セキュリティ格付は企業間取引における「パスポート」となります。 今回細分化された159行のチェックリストは、見方を変えれば、「これさえ満たせば、どんな取引先からも信頼される」という明確なゴールラインです。

コストを「投資」へ、対策を「競争力」へと変えるために。まずは最新の評価基準に基づいた「現状の可視化」から始めてみませんか。

貴社の現状に合わせた「差分分析」を「リスク可視化支援」にて、お手伝いします

• ISMSのどの文書が、新制度のどの項目に該当するか知りたい。
• 157項目の中で、自社が落とし穴になりそうな項目を特定したい。
• ☆3と☆4、どちらを目指すべきか顧客要求から判断したい。

具体的なご相談や、マッピングシートの活用方法については、いつでもお問い合わせください。

リスク可視化支援

リスク可視化支援は、セキュリティ状況を調査・評価したうえで、影響の大きいリスクやその対策方法、対応優先順位を明らかにするリスクアセスメントサービスです。技術的なセキュリティ対策だけでなく、組織体制やルールなどの運用面・物理面でのリスク、外部および内部の脅威を可視化し改善策を提案します。

https://www.gsx.co.jp/services/findrisk/riskvisualization.html

CSIRT構築運用支援サービス

CSIRT構築運用支援サービスとは、サイバー攻撃を早期に検知し、迅速かつ適切に対応する組織「CSIRT」の構築及び運用を支援するサービスです。

https://www.gsx.co.jp/services/cybersecurityorganization/csirt.html

インシデント対応訓練サービス

机上でのシミュレーション演習を通じ、サイバーセキュリティリスクへの組織的な情報事故対応能力と不測の事態への応用力向上を支援します。豊富なリスクシナリオを活用し、リアルな演習を通じて危機意識を高めます。

https://www.gsx.co.jp/services/cybersecurityorganization/incident.html