サプライチェーンセキュリティ評価制度とは?経産省新基準と中小企業の価格転嫁交渉【2026年対応版】
2025.12.28UP!
- blog
- サイバーセキュリティお助け隊
- サプライチェーンセキュリティ評価制度
- リスクマネジメント
- 下請法
- 企業法務
- 価格転嫁
- 経済産業省
2025年末、経済産業省より「サプライチェーン強化に向けたセキュリティ対策評価制度」の方針案が示されました。本記事では、この新制度がなぜ必要なのか、中小企業や大企業はどう対応すべきかを分かりやすく解説します。
「独自の調査票対応に疲弊している」「対策コストが価格転嫁できない」といった課題を解決し、日本全体の産業競争力を高めるための重要な転換点となります。
この記事の要約
- 制度の目的: 独自ルールの乱立を防ぎ、統一基準(★マーク)で対策を可視化する。
- 対象範囲: 主にIT基盤(PC、サーバー、クラウド等)。
- 最大のポイント: セキュリティ対策費用は「価格転嫁」の正当な理由として認められる。
なぜ今、サプライチェーンセキュリティ評価制度が必要なのか?
政府は、経済産業省および国家サイバー統括室という「日本の産業全体の護り手」としての立場から、現代のサプライチェーンが抱える構造的な脆弱性に強い危機感を抱いています。制度構築方針(案)に基づき、その背景を解説します。
現状の3つの課題
これまでの商慣習では、以下の問題が解決できずにいました。
- ① 攻撃の高度化と中小企業の限界
防御の手薄な中小企業(サプライチェーンの弱点)を踏み台にして大企業へ侵入する事例が頻発しています。しかし、リソース不足により自社のみでの対策が困難です。 - ② 「独自ルール」による疲弊
発注側企業ごとに異なる「セキュリティ調査票」への対応が、受注側にとって過度な負担となっています。 - ③ 対策とコストの不透明性
セキュリティ対策は「見えない努力」になりがちです。「対策しても正当に評価されず、コストを価格転嫁できない」というジレンマがあります。
本書(本方針案)は、これらの「相互不信」と「非効率」を解消し、日本全体の産業競争力とサイバーレジリエンス(回復力)を底上げするための「共通言語(評価制度)」を提示するものです。
「セキュリティ対策を『可視化』し、サプライチェーン全体で『共通の物差し』を持つことで、安全と公正な取引の両立を実現する」
コメント:
「現場では“セキュリティ対策そのもの”より、“説明対応”に疲弊しているのが実情です。」
サプライチェーンに関わる中小企業の多くは、年に何度も発注元ごとに異なるセキュリティ調査票への対応を求められています。\
その内容は本質的なリスク評価というより、「どの様式に、どの言葉で答えるか」という事務的・形式的負担に偏りがちです。
結果として、限られた人員が“チェックボックスを埋める作業”に追われ、本来注力すべき実効的な対策や改善活動に時間を割けないという本末転倒な状況が生じています。
本方針案が提示するような共通の評価軸・共通言語が整備されれば、
* 発注側は過剰な個別確認から解放され
* 受注側は対策状況を一度の整備で説明でき
* 双方が「安全水準」と「コスト」の関係を合理的に議論できる
という、健全な取引環境への転換が期待できます。
特に重要なのは、セキュリティ対策を“努力目標”ではなく、“取引上評価される価値”として可視化する点です。
これにより、対策投資が価格や契約条件に反映され、中小企業が持続的にセキュリティ水準を高めていくインセンティブ構造が初めて成立すると考えます。
政府の思考フレームワーク:セキュリティは「投資」へ
物事の捉え方
政府は、サイバーセキュリティを個社の問題ではなく「エコシステム(生態系)全体の問題」として捉えています。
- 「鎖(チェーン)」のメタファー: サプライチェーンを一本の鎖に見立て、弱い輪(対策不足の企業)があればそこから全体が切れると考えます。強者(大企業)による支援は、慈善事業ではなく自己防衛です。
- 「可視化」へのこだわり: 目に見えない対策を「★(星)」の数で表現し、専門知識がない経営者同士でも交渉可能にします。
- 「パートナーシップ」重視: 「下請けいじめ」的な押し付けを避け、公正取引委員会や【下請法】との整合性を強く意識しています。
判断基準・価値観(Good / Bad)
✅ 重視すること(Good)
- 標準化・統一化: 共通基準で社会コストを下げる。
- 透明性: 台帳等で評価結果を確認可能にする。
- 経営者の関与: 経営層がリスクと責任を認識する。
- 公正な対価: 対策費用を正当に価格転嫁する。
❌ 回避すること(Bad)
- 過剰な負担: リスクに見合わない対策を強いる。
- 一方的な押し付け: 「費用は出さないが対策しろ」という態度。
- 形式的な対応: 実態を伴わないチェックリスト回答。
新制度の核心:3段階の評価(★マーク)と認定基準
企業規模や扱う情報の重要度に応じて、目指すべきゴールを「段階(★)」で示します。
各レベルの概要
- ★1・★2(SECURITY ACTION): 取り組みの第一歩(IPAの既存制度)。
- ★3(基礎的対策): 「専門家確認付き自己評価」
一般的なサイバー攻撃(既知の脆弱性悪用等)を防ぐレベル。全てのサプライチェーン企業が最低限実装すべき水準です。 - ★4(標準的対策): 「第三者評価 + 技術検証」
標的型攻撃やサプライチェーン停止リスクに対応。システム防御、検知、インシデント対応を含みます。認定された評価機関による審査が必要です。 - ★5(高度な対策): 国際標準に基づく高度なリスクマネジメント(令和8年度以降に具体化予定)。
評価スキームと運用体制:信頼とコストのバランス
「自己宣言」だけでは信頼性が低く、「完全な第三者認証」ではコストが高すぎます。その間の「現実解」が採用されています。
★3のスキーム:専門家確認付き自己評価
企業が自己評価を行い、それを「セキュリティ専門家(情報処理安全確保支援士など)」が確認・助言して署名するプロセスを採用。コストを抑えつつ、一定の信頼性を担保します。
導入促進のための支援策
制度の普及に向け、「補助金」と「法的なお墨付き」がセットで提供されます。
- サイバーセキュリティお助け隊サービス: 安価にツール導入と★取得ができるパッケージを用意。
- 価格転嫁の正当化: 公正取引委員会と連携し、「セキュリティ対策費用は価格転嫁の正当な理由になる」と明文化。
受注側・発注側別:具体的な対応アクション
政府が提言する、立場別の明確なアクションプランです。
1. 受注側(中小・中堅企業)のアドバイス
- ① 「まずは★3を目指せ」: 一般的な攻撃を防ぐために、★3の基準をクリアしましょう。
- ② 「専門家を頼れ」: 「サイバーセキュリティお助け隊サービス」や「情報処理安全確保支援士」を活用してください。
- ③ 「堂々と価格交渉せよ」: セキュリティ対策費用(人件費、ツール代)は「間接経費」として原価に算入し、発注側に負担を求める根拠を持って交渉しましょう。
- ④ 「要請がない取引先とも交渉せよ」: ある取引先のために行った対策費用は、他の取引先とも按分して交渉可能です。
2. 発注側(大企業)のアドバイス
- ① 「独自調査票を捨てよ」: 自社の調査票ではなく、制度の「★」取得状況を確認・要請してください。
- ② 「リスクベースで要請せよ」: 全ての取引先に最高レベルを求めず、重要度に応じて★3と★4を使い分けましょう。
- ③ 「金を出せ」: 対策を要請するなら、それに伴うコスト増を受け入れる準備が必要です。価格交渉には誠実に応じる義務があります。
用語解説:重要キーワード
- サプライチェーン強化に向けたセキュリティ対策評価制度
- 本制度の正式名称。★1から★5までの段階で企業の対策状況を評価・可視化する仕組み。
- 専門家確認付き自己評価
- ★3の取得スキーム。専門家が企業の自己評価を確認・助言し、署名することで成立する。
- IT基盤
- 本制度の主な評価対象。PC、サーバー、クラウドサービス、ネットワーク機器など。
- 価格協議
- セキュリティ対策費を取引価格に反映させるための話し合い。サプライチェーン維持のための必須プロセス。