労務・人事ニュース

「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ」を公表しました（経産省）

2025年4月14日、経済産業省は、サプライチェーンにおけるセキュリティの脆弱性が企業活動全体のリスクとなり得る現状を踏まえ、すべての企業に共通して適用可能なセキュリティ評価制度の構築に向けた「中間取りまとめ」を公表しました。この制度は、企業間取引において不可欠となるサイバーセキュリティ対策の明確化と可視化を目的としており、2026年度の正式制度開始を視野に入れ、実証事業や制度運用基盤の整備を進める方針です。とりわけ、今後の制度導入が予定されている企業においては、システム管理部門だけでなく、人事部門や経営層も含めた全社的な対応が求められるようになるでしょう。

この評価制度は、取引先のセキュリティ対策の水準を外部からでも判断できるようにすることを主な目的としています。現在、受注企業は発注元企業ごとに異なるセキュリティ要求を受けることが一般的であり、それが過剰な対応や無駄なコストの要因となっていることが問題視されています。そこで、制度ではセキュリティ水準を段階的に整理し、企業の立ち位置や役割に応じた適切な対策のレベルを提示することで、標準化と効率化の両立を目指しています。

制度の根幹には、「★3 Basic」「★4 Standard」「★5 Advanced」という3段階の評価区分が設けられており、それぞれの段階に応じた対策項目と評価方法が定義されています。最も基本的な★3では、25項目にわたる自己評価が求められ、基礎的なシステム防御や社内体制の整備が中心となります。★4では、44項目におよぶ第三者評価が原則となり、組織ガバナンスの整備、取引先管理、システムの防御やインシデント対応など、包括的なセキュリティ対策が求められます。最上位の★5は、国際規格などをベースとしたリスクマネジメント型の対策を求める段階であり、システムに対しては現時点における最良の技術と体制が備わっていることが期待されます。

また、この制度は単独で導入されるのではなく、既存の評価制度との整合性と連携も視野に入れています。たとえば、中小企業向けに展開されている「SECURITY ACTION」や、自動車業界を中心に策定された「JAMA・JAPIAサイバーセキュリティガイドライン」、さらには国際的な「ISMS適合性評価制度」などとの整合性を保ち、相互補完的に活用できるよう設計されています。将来的には、英国の「Cyber Essentials」など海外の評価制度とも相互認証を検討するなど、グローバルなセキュリティ対策の一翼を担う制度としての発展も見込まれています。

このような制度設計が進む背景には、実際にサプライチェーンの中で発生しているサイバーインシデントの増加があります。攻撃者はしばしば防御の手薄な中小企業を標的にして、そこを足掛かりとして大手企業のネットワークに侵入するケースが多数報告されています。そのため、中小企業であってもセキュリティ対策を怠れば、取引停止や信用低下といった経済的損失に直結するリスクを抱えることになります。

企業の採用担当者にとっても、この制度は他人事ではありません。今後、社内におけるサイバーセキュリティの知見を有する人材の確保や育成が重要課題となるからです。★3の自己評価に対応できるだけのITリテラシーを持つ人材、★4に対応するための第三者評価を通過できる体制を構築できる人材、そして最終的にはリスクマネジメントを実践できる高度な人材の獲得は、企業にとっての競争力そのものとなります。これにより、今後の採用ではITスキルだけでなく、セキュリティ政策や法的規制への理解を兼ね備えた人材へのニーズがさらに高まると予想されます。

なお、今回の「中間取りまとめ」はあくまで制度設計に向けた基礎資料であり、実証事業を通じた検証や関係団体との調整を経て、制度の細部は今後さらに具体化されていきます。その中で、企業は受動的に制度を待つのではなく、自社にとってどの段階が必要なのかを見極め、早期に体制整備に取りかかることが重要です。特にサプライチェーンの中で中心的な立場を担う企業であれば、パートナー企業への適切な指導や支援体制の整備も、全体最適を図る上で求められることとなります。

これからの時代、セキュリティ対策は単なる「守り」ではなく、事業継続性や顧客信頼を確保するための「攻めの投資」となっていくでしょう。企業のブランド価値や採用力を高めるためにも、こうした制度への対応姿勢は重要な評価ポイントとなります。

⇒ 詳しくは経済産業省のWEBサイトへ