この記事は、調達・購買・情シス・法務担当者がIT委託先・AIベンダーのセキュリティリスクを定量的に評価するうえで役立てていただくことを想定しています。自社のCISO体制・予算・BCP設計が知りたい方は姉妹記事「中小企業のCISO・予算・BCP設計」を合わせてご確認ください。
経済産業省は2026年3月27日、「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」の構築方針を公表しました。★3・★4・★5の3段階で委託先のセキュリティ対策状況を評価する制度で、2026年度末ごろの運用開始を目指しています。
この制度の背景には、取引先を経由したサイバー攻撃の増加があります。発注元企業が委託先のセキュリティ状態を外部から判断できない、委託先が複数の発注元から異なる要求を受けて対応コストが膨らむ、という課題を制度として解決しようとしています。
DXセレクション2026でも、サプライチェーンを通じたデータ連携が評価される一方で、連携先のセキュリティ管理が選定観点に含まれています。SCS評価制度の全面運用を待たずに、今から委託先のスコアカードを整備しておくことで、制度開始後の対応コストを下げられます。
SCS評価制度の3段階と自社スコアカードへの落とし込み
SCS評価制度の★3・★4・★5は、おおまかに以下の対策レベルに対応しています(経産省・IPA公表資料ベース)。
| 評価レベル | 対策の特徴 | 対応する自社スコアカードの確認粒度 |
|---|---|---|
| ★3 | 基本的なセキュリティ対策の実施(教育・OS更新・アクセス管理など) | 委託先の対策実施有無を確認シートで年1回確認 |
| ★4 | 組織的なセキュリティ管理(CISO・ポリシー・インシデント対応の文書化) | 第三者評価証拠(認証・診断レポート)の提出を要求 |
| ★5 | 継続的なリスク管理と外部連携(委託先への展開を含む) | 定期監査+インシデント発生時の共同対応訓練 |
委託先セキュリティスコアカードの設計
次のスコアカードは、SCS評価制度の基準とデジタルガバナンス・コードの観点を組み合わせた実務的な評価表です。委託先に送付し、回答をもとに自社でスコアリングします。
カテゴリ1:基盤セキュリティ(最大20点)
| 確認項目 | 配点 | 評価基準 |
|---|---|---|
| OSとソフトウェアの定期更新ポリシーが文書化されているか | 5点 | ポリシー文書あり=5点、口頭のみ=2点、なし=0点 |
| 不要なアカウントの削除・権限最小化を実施しているか | 5点 | 定期棚卸し実施=5点、退職時のみ=2点、管理なし=0点 |
| 多要素認証(MFA)を主要システムに導入しているか | 5点 | 全主要システムに導入=5点、一部のみ=2点、未導入=0点 |
| バックアップを定期実施・復元テストしているか | 5点 | 定期実施+復元テスト有=5点、バックアップのみ=2点、なし=0点 |
カテゴリ2:ガバナンスと責任体制(最大20点)
| 確認項目 | 配点 | 評価基準 |
|---|---|---|
| セキュリティ責任者(CISO相当)が明文化されているか | 5点 | 役職・氏名が文書化=5点、担当者はいるが不明文=2点、なし=0点 |
| 情報セキュリティポリシーが文書化・全社周知されているか | 5点 | 文書化+周知=5点、文書のみ=2点、なし=0点 |
| 情報セキュリティ教育を年1回以上実施しているか | 5点 | 全員年1回以上=5点、新入社員のみ=2点、なし=0点 |
| セキュリティインシデント発生時の連絡フローが文書化されているか | 5点 | フロー文書あり+訓練実績=5点、フローのみ=2点、なし=0点 |
カテゴリ3:データ管理と委託先管理(最大20点)
| 確認項目 | 配点 | 評価基準 |
|---|---|---|
| 扱う個人情報・機密情報の分類・管理台帳があるか | 5点 | 台帳あり+定期更新=5点、把握しているが台帳なし=2点、管理なし=0点 |
| 再委託先(四次・五次委託先)のセキュリティを確認しているか | 5点 | 確認シート送付・回収=5点、存在は把握=2点、確認なし=0点 |
| データの暗号化(保存・通信)を実施しているか | 5点 | 保存・通信とも暗号化=5点、通信のみ=2点、なし=0点 |
| 契約終了時のデータ削除・返却手順が明文化されているか | 5点 | 手順文書あり+実績=5点、手順のみ=2点、なし=0点 |
カテゴリ4:インシデント対応と継続性(最大20点)
| 確認項目 | 配点 | 評価基準 |
|---|---|---|
| 過去3年以内にセキュリティインシデントが発生した場合、開示しているか | 5点 | 発生なし=5点、発生あり・開示済=3点、発生あり・非開示=0点 |
| インシデント発生後24時間以内に顧客へ報告できる体制があるか | 5点 | 体制文書あり+訓練実績=5点、体制のみ=2点、なし=0点 |
| BCPが文書化され、年1回以上の訓練を実施しているか | 5点 | BCP+訓練実績=5点、BCP文書のみ=2点、なし=0点 |
| ISMS(ISO/IEC 27001)やプライバシーマーク等の第三者認証があるか | 5点 | 有効な認証あり=5点、取得準備中=2点、なし=0点 |
カテゴリ5:AI・クラウド利用(最大20点)
| 確認項目 | 配点 | 評価基準 |
|---|---|---|
| 生成AIに顧客の機密情報・個人情報を入力しないルールが文書化されているか | 5点 | ルール文書あり+周知=5点、口頭のみ=2点、なし=0点 |
| 利用クラウドサービスの一覧と責任者が管理されているか | 5点 | 台帳あり=5点、概ね把握=2点、不明=0点 |
| クラウドのアクセスログを一定期間保存・確認しているか | 5点 | 保存+定期確認=5点、保存のみ=2点、なし=0点 |
| シャドーITの把握・対策を実施しているか | 5点 | 定期棚卸しあり=5点、把握のみ=2点、対策なし=0点 |
合計100点満点のスコアリング基準:
| スコア | 評価 | 対応 |
|---|---|---|
| 85〜100点 | 高信頼 | 通常契約で問題なし。2年に1回再確認 |
| 70〜84点 | 標準 | 不足項目の改善計画を確認してから継続 |
| 50〜69点 | 要改善 | 改善期限(3〜6か月)を設けて再評価。高リスク業務は慎重に |
| 49点以下 | 高リスク | 個人情報・機密データの委託は一時停止。改善計画を要求 |
スコアカードの運用サイクル
一度作成して終わりでは意味がありません。次のサイクルで継続的に管理します。
| タイミング | 実施内容 | 担当者 |
|---|---|---|
| 新規委託前 | スコアカードを送付・回収し、70点以上を契約条件に設定 | 調達・購買 |
| 年1回定期 | 既存委託先全社にスコアカードを再送付し更新 | 情シス・調達 |
| インシデント発生時 | 影響範囲を確認し、再評価を即時実施 | 情シス |
| 契約更新時 | 直近のスコアと改善状況を確認してから更新判断 | 調達・法務 |
委託先のスコアを管理する台帳は、スプレッドシートで十分です。「委託先名、評価実施日、スコア、主な不足項目、次回評価予定」の5列から始めます。
ベンダー管理サービスでは、委託先セキュリティ評価の設計から定期運用まで外部支援として対応しています。
スコアカード導入でよくある壁と対処
- 委託先が回答してくれない:スコアカードを「審査」ではなく「相互確認」として位置づけ、自社の対応状況も共有すると回収率が上がります。
- 全委託先に送ると膨大になる:個人情報・機密情報を扱う委託先、基幹システムへのアクセスがある委託先を「A評価対象」として優先し、物品購入等の関係先は省きます。
- スコアが低い委託先をすぐに切れない:切ることより改善計画の合意が現実的です。「6か月後に70点以上」という条件を契約更新に加える方法もあります。
SMB向けセキュリティ優先ガイドに、委託先管理に先立って整備すべき自社の優先対策も記載しています。
GXOはどう支援するか
GXOでは、委託先セキュリティスコアカードの設計から送付・回収・分析までを支援します。初回相談では、現在の委託先一覧、個人情報や機密情報の委託範囲、既存の契約書の確認状況を確認し、どの委託先から優先して評価するかを整理します。SCS評価制度の運用開始(2026年度末予定)に向けた準備としても活用できます。
よくある質問
Q1. スコアカードはSCS評価制度の認定書の代わりになりますか
なりません。SCS評価制度は第三者評価機関による認証を伴う公的制度です。本スコアカードは制度準備の参考として設計したものであり、自社内の委託先管理ツールです。
Q2. 委託先が第三者認証(ISMSなど)を持っていれば省略できますか
認証取得は信頼性の根拠になりますが、認証範囲が契約業務をカバーしているかを確認します。認証範囲外の業務を委託している場合、スコアカードの確認は依然として必要です。
Q3. 100点のベンダーは存在しますか
現実的には難しいですが、70〜85点で継続的に改善している委託先であれば実務上問題ありません。「完璧なベンダー」より「透明性が高く改善を続けるベンダー」を重視します。
参考情報
- 経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度構築方針」:https://www.meti.go.jp/press/2025/03/20260327001/20260327001.html
- IPA「SCS評価制度」:https://www.ipa.go.jp/security/scs/index.html
- 経済産業省「DXセレクション(中堅・中小企業等のDX優良事例選定)」:https://www.meti.go.jp/policy/it_policy/investment/dx-selection/dx-selection.html
委託先セキュリティスコアカードの設計・運用を支援します
GXOでは、SCS評価制度への準備も含め、委託先セキュリティの評価設計から回収・分析・改善計画の要求まで一体で支援します。