2027年3月スタート予定：全中小企業が検討すべき「SCS評価制度」とは?

経済産業省は、サプライチェーン全体の防御力を高める新制度「SCS(Supply Chain Security)評価制度」の構築方針案を公表しました。
運用開始は2027年3月ごろの見込みです。
これまで「努力目標」だったサイバーセキュリティ対策が、今後は「取引を続けるための必須条件」へと変わります。

なぜ全ての中小企業が準備する必要があるのか

この制度は大企業だけの話ではありません。国内のサプライチェーンに組み込まれている中小企業も対象で、次のような実務的な影響が想定されます。

• 取引排除のリスク：親会社や元請けから「★3以上の認証」を取得していることを契約条件とされる可能性が高い。

• 価格交渉の根拠：セキュリティ対策にかかる費用を価格に反映（価格転嫁）するための正当な理由として評価が使われる。

• 社会的責任の可視化：自社が踏み台になり取引先に損害を与えた場合、評価を取得していないことが経営上の過失と見なされるリスクがある。

評価レベル（イメージ）

制度では企業の対策状況を5段階で評価する見込みです。目指すべきレベルを早めに想定しておきましょう。以下は参考イメージです。

• ★3（基礎） — 全企業の最低ライン
  ID・パスワード管理、ウイルス対策ソフト導入、定期バックアップなど、基礎的な対策を整えている状態。

• ★4（標準） — 信頼される取引先の基準
  ネットワーク監視、インシデント対応手順の整備など、継続的に運用される組織的対策。

• ★5（高度） — 重要インフラ・重要拠点向け
  ゼロトラストを前提とした高度な技術対策や、サプライチェーン全体を見渡す防御体制。

（注：上記は参考イメージです。正式な基準は制度公表時に改めて共有いたします。）

まとめ

「うちは小さいから狙われない」は通用しなくなってきております。攻撃者はランダムに手薄な中小企業を狙い、経由して大企業へ侵入します。制度開始後は、セキュリティはIT担当だけの問題ではなく、経営の最優先課題になります。

セキュリティに関して、ご相談等ございましたら、フクールへお気軽にお問い合わせください。