発注側にとってのSCS評価制度
SCS評価制度に関する解説の多くは「★を求められる側(受注者)」向けですが、本記事は取引先に★を求める側(発注者)の実務を整理します。
発注側にとってこの制度がもたらす最大の変化は、取引先のセキュリティ確認を「自社製チェックシートの往復」から「公的な格付けの確認」へ置き換えられることです。
- 監査コストの削減:取引先ごとの個別チェックシート配布・回収・レビューの工数を削減できる
- 評価品質の標準化:自己申告ベースの曖昧な回答ではなく、統一基準(★4以上は第三者評価)で比較できる
- 自社の★取得にも必要:★4以上では委託先のセキュリティ状況の定期評価が要求されるため、取引先への要求は自社の格付け維持の前提にもなる
- インシデント時の説明責任:取引先経由の侵害が起きた際、「格付けで管理していた」ことが取締役の善管注意義務やステークホルダー説明の裏付けになる
取引先に求める★レベルの決め方
すべての取引先に一律で高いレベルを求めるのは、コスト・取引関係の両面で現実的ではありません。経産省が発注者向けに示している基準案では、取引の性質に応じてレベルを設定する考え方が採られています。
| 観点 | 該当する取引先の例 | 求めるレベルの目安 |
|---|---|---|
| ビジネス観点①:機密情報の取り扱い | 設計図面・技術情報・個人情報を共有する委託先 | ★4(第三者評価) |
| ビジネス観点②:事業継続への影響 | 停止すると自社の生産・サービスが止まる部品供給元・物流・保守ベンダー | ★4(第三者評価) |
| システム観点:ネットワーク接続 | 自社システムとVPN・API・EDI接続がある取引先 | ★4(第三者評価) |
| 上記に該当しない一般取引先 | 機密情報の共有もシステム接続もない資材調達先など | ★3(自己評価) |
| 重要インフラ・機微技術に関わる取引 | 重要インフラの中核システム、防衛・先端技術関連 | ★5(運用開始後) |
受注側がこの要求をどう受け止めるかは「SCS評価制度の取引要件化」で解説しています。発注側はこの裏返しとして、根拠を説明できるレベル設定を行うことが重要です。
導入の5ステップ
取引先への★要求は、以下の5ステップで段階的に導入するのが標準的です。
| Step | 内容 | 期間目安 |
|---|---|---|
| 1. 取引先の棚卸し | 全取引先をリスト化し、共有情報・システム接続・事業継続への影響を整理する | 1〜2ヶ月 |
| 2. リスク分類 | 上記の観点で取引先を分類し、要求レベル(★3/★4)を割り当てる | 2〜4週間 |
| 3. 方針の通知 | 要求レベル・適用時期・経過措置を文書で通知。説明会の開催が望ましい | 1ヶ月 |
| 4. 契約への反映 | 新規契約・更新契約からセキュリティ条項に格付け要件を組み込む | 契約更新サイクルに依存 |
| 5. 移行期間の運用 | 未取得の取引先には取得計画の提出を求め、進捗を確認。期限到来後に要件化 | 12〜24ヶ月 |
制度開始直後は評価を受けたくても受けられない取引先が多数発生します。2026年10月の★3運用開始から最低1年程度は「取得計画の提出」を許容する移行期間を設け、段階的に要件化するのが現実的です。制度スケジュールを踏まえて適用時期を設計しましょう。
契約・調達文書への反映
★要求を実効性のあるものにするには、調達文書と契約条項への落とし込みが必要です。盛り込むべき要素は以下のとおりです。
- 要求レベルと証明方法:「★3以上の評価結果を維持し、評価結果を発注者に提示すること」
- 維持義務:契約期間中の格付け維持と、レベル低下・失効時の通知義務
- 再委託の管理:再委託先にも同等の要件を課すこと(フローダウン条項)
- インシデント報告:セキュリティインシデント発生時の報告期限(例:認知から48時間以内)と協力義務
- 経過措置:未取得の場合の取得期限と、期限内の代替措置(既存チェックシートでの確認等)
RFP段階での要求事項の書き方は「IT調達・RFPガイド」、ベンダー管理全般は「ITベンダーマネジメント」も参考になります。
中小取引先への配慮と法的留意点
発注側の立場で★を要求する際は、取引上の優位性の濫用にならないよう注意が必要です。
- 優越的地位の濫用・下請法への配慮:対応コストを一方的に取引先へ転嫁する形での要件化(例:協賛金的な負担要求、無償での即時対応強制)は独占禁止法・下請法上のリスクがある。要求レベルの根拠と十分な準備期間を示すこと
- レベル設定の比例原則:取引実態に対して過剰なレベルを求めない。機密情報を共有しない取引先への★4要求は説明が困難
- 取得支援の検討:重要な中小取引先には、説明会の開催、相談窓口の紹介、共同での対策導入(例:EDRの共同調達)など支援策を組み合わせると移行がスムーズになる
- サプライチェーン全体での共存:経産省の「パートナーシップ構築宣言」の趣旨とも整合させ、「要求」と「支援」をセットで設計する
中小取引先がどの程度の負担を負うかは「SCS対応費用ガイド」が参考になります。要求する側がコスト感を理解しておくことは、現実的な期限設定にも役立ちます。
既存セキュリティチェックシートとの整理
多くの発注企業は既に独自のセキュリティチェックシートを運用しています。SCS評価制度の導入後は、以下の整理が合理的です。
| 確認項目 | 制度導入後の扱い |
|---|---|
| MFA・EDR・バックアップ等の基本対策 | ★の確認で代替(チェックシートから削除) |
| 管理体制・インシデント対応計画 | ★3以上の確認で代替 |
| 自社固有の要件(特定システムの接続条件、業界固有の規制対応等) | チェックシートに残す(SCSではカバーされない) |
| 個別契約に紐づく確認(データの保管場所、再委託の承認等) | 契約条項・個別確認に移行 |
「★の確認+自社固有の差分チェック」という二層構造にすれば、取引先・自社双方の負担を大きく減らせます。サプライチェーンセキュリティの全体像も併せてご覧ください。
BTNコンサルティングでは、取引先の棚卸し・リスク分類、要求レベルの設計、契約条項のドラフト、取引先向け説明会まで、発注側のSCS評価制度活用をワンストップで支援しています。
→ SCS評価制度 対応支援の詳細|→ SCS対応の完全ガイド|→ 取引要件化の解説
まとめ
発注側にとってSCS評価制度は、取引先セキュリティ管理を標準化・効率化するツールです。機密情報・事業継続・システム接続の3観点で取引先を分類して★3/★4を割り当て、12〜24ヶ月の移行期間を設けて契約に反映しましょう。要求と支援をセットで設計し、既存チェックシートは「自社固有の差分」だけに絞るのが成功のポイントです。