｢★3｣が最低限の基礎水準､2026年度スタート"サプライチェーン強化に向けたセキュリティ対策評価制度"今から中小企業がやっておくべきこと

★3をクリアできれば、ランサムウェア攻撃を回避できる可能性が高まる（画像：経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度」中間取りまとめ）

★4は標準的に目指す水準で、第三者評価が基本になります。対策の実装だけでなく、委託先管理や監視・検知、復旧の手順、経営層の関与まで含めた運用の実効性が問われ、要求事項は「おおむね44項目程度」という粒度で検討が進んでいます。

★5は最上位で、国際的なベストプラクティスも踏まえたリスクベースの管理と継続的改善を求める方向性が示されていますが、開始時期やスキームは引き続き議論することになっています。設計思想は見えているのですが、運用を詰めるのはこれから、といった段階です。

★4は、第三者の評価が必要です。コストはかかりますが、標準的に目指す水準とされている（画像：経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度」中間取りまとめ）

第三者評価が取引を変える、一方的な要求には注意

★4以上の第三者評価が本格稼働すると、取引の景色が変わるかもしれません。

発注側は「この取引は★3で十分か」「機密情報を預けるなら★4を求めるか」といった形で、要求水準を星で提示しやすくなります。受注側は、認証マークが自社の体制を説明する手間の短縮につながり、調達監査や入札書類でも使える可能性が高まります。

「今までは各企業が独自のチェックシートを作成し、取引先に投げて回答をもらうという非効率な状態でした。受け取る側からすれば、多種多様なフォーマットの質問票が送られてきて、すべてに対応するのは限界があります。今回の制度によってデファクトスタンダードができれば、1つの基準に対応するだけで多くの取引先に説明が可能になります。これは実務担当者の工数を劇的に下げることにつながりますし、必須の取り組みになるでしょう」（村田氏）

一方で、制度が広がるほど、下請法や価格転嫁、独占禁止法との関係が現場の論点になります。経産省は、この制度を国として格付けをしたり、強要するものではない、と説明しています。とはいえ、実質的に発注側がサプライヤーに要求することも目に見えています。しかし、取引先に対策を求めるだけで費用負担は相手任せ、となると摩擦が起きます。