経産省、サプライチェーンのセキュリティー評価制度構築方針を公表　2026年度末の制度開始目指す

経済産業省と内閣官房国家サイバー統括室は、サプライチェーン（供給網）全体でのセキュリティー対策を強化するため、対策状況を評価する制度の方針を公表した。2社間の取引契約などで、発注側が受注側に適切なセキュリティー対策の段階を提示し、実施状況を確認することを想定する。2026年度末ごろの制度開始を目指す。具体例をまとめた評価ガイドを秋頃に公表する。

供給網を構成する企業のIT基盤（クラウド環境での運用も含む）を対象に、セキュリティー対策の段階を★3と★4（★5は今後検討）の3段階に分けて評価する。★3では一般的なサイバー攻撃を想定し、基礎的な対策やシステム防御策を求める。★4では供給停止など大きな影響をもたらす攻撃を想定し、取引先管理など包括的な対策を求める。★3は専門家の確認を経た自己評価、★4は第三者機関による評価を行う。

構築する評価制度

供給網に影響を与えるサイバー攻撃が発生する中、取引先のセキュリティー対策を外部から判断することが難しいことや、複数の取引先からさまざまな対策を要求されるといった問題があり、政府は対策状況を評価する仕組みを検討してきた。25年12月に制度構築の方針案を公表し、26年1月24日まで行った意見募集の結果を踏まえ、「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針」を公表した。

中小企業の★3、★4取得を支援するため、「サイバーセキュリティお助け隊サービス」（新類型）も創設する。春頃から、制度設計を行うための実証事業を始める。併せて中小企業が自ら★3、★4の対策を実施できるよう、「中小企業の情報セキュリティ対策ガイドライン」を改訂し、公開した。

日刊自動車新聞3月31日掲載