【解説】サプライチェーンのセキュリティ強化目指す「ＳＣＳ制度」

2026年3月25日

年度内開始に向け、経産省が構築方針案を公表

有識者「今後すべての業種で必要に」

昨今、大手企業がサイバー攻撃による被害を受ける事例が相次いでいる。企業単体にとどまらず取引先を含めたサプライチェーン全体での対策の重要性が改めて浮き彫りとなるなか、経済産業省はサプライチェーン全体のセキュリティ強化を目的とする「セキュリティ対策評価制度（ＳＣＳ制度）」の制度構築方針案を公表。今年度末の制度開始に向けて取り組みを進めている。有識者が「今後すべての業種で必要となってくる」と話す同制度について調べた。（編集部・本間）

アサヒやアスクル、サイバー攻撃で被害

　昨年、アサヒグループホールディングスやアスクルはサイバー攻撃によって甚大な被害を受けた。アサヒグループＨＧでは約２か月間受注・出荷などの業務システムが停止。約１１万件の個人情報漏洩が確認され、報道では９０億円ほどの直接損失が生じるとの見方もある。アスクルは１０月に発生したシステム障害から４カ月後の今年２月に全物流センターで新物流システムによる出荷再開が完了、システム障害対応費用５２億円を特別損失として計上している。

セキュリティ対策状況を星の数で可視化

　このようなサイバー攻撃事案が頻発する昨今であるが、経済産業省では「サプライチェーン全体でのサイバーセキュリティ対策の強化が求められているなか、取引先のセキュリティ対策状況を外部から判断することが難しいといった発注元企業側の課題や複数の取引先からさまざまな対策を要求されるといった委託先企業側の課題が生じておりこうした課題に対応する」ため、新たな制度である「セキュリティ対策評価制度」の構築に取り組んでいる。

　満たすべき各企業のセキュリティ対策を提示しつつその対策状況を可視化する仕組みで、具体的には基準に適合する対策ができていることを星の数でチェック・認定し、発注者側企業が取引先企業に対して必要な星数を設定し要請する形だ。

　星３～５の段階ごとに求められる内容は異なるが、１２月に公表された最新情報では評価対象のＩＴ基盤の範囲の明確化や技術検証の内容といった詳細が明らかとなっている。

　同制度は健康産業界においても無関係ではなく、サイバーセキュリティに関するプロダクト開発・サービス事業を手掛けるエムオーテックス社の原田洋司氏は「ＩＴシステムを使用している企業であれば、通信販売企業から原料サプライヤー、受託製造企業など健康産業界の企業のみなさんにとって必要となる制度」と話す。また、特に星の要請がされやすいのは「ＩＴシステムが止まると『原料や商品が製造できない』といったことはもちろん『受注システムが停止してしまう』といった問題が想定される場合」だと言う。

　一方、中小企業にとってのハードルの高さやさまざまな障壁も懸念されるが、経産省では「対策を求められたが費用負担が重い」「価格交渉を切り出しにくい」といった予想される不安に対して独占禁止法・取適法（旧下請法）の観点から問題にならない考え方を国が整理し、対策費用を正当に価格交渉できるとしている。

　原田氏は「セキュリティ対策は取引先との信頼関係を気づくための戦略的な投資」だとして、「来年度には国の予算で評価制度の星獲得に向けた支援を受けることができる『サイバーセキュリティお助け隊サービスの実証事業』を経産省が開始予定。ぜひ活用してほしい」と話した。