経産省「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ」公表

　経済産業省は4月14日、「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ」を発表した。

　「中間取りまとめ」は、「サプライチェーン強化に向けたセキュリティ対策評価制度」の概要を整理したもので、下記の方針を示している。

・制度趣旨
　本制度に基づくマークの取得を通じ、ビジネス・ITサービスサプライチェーンにおける、取引先へのサイバー攻撃を起因とした情報セキュリティリスク/製品・サービスの提供途絶や取引ネットワークを通じた不正侵入等のリスクに対する適切なセキュリティ対策の実施を促し、サプライチェーン全体でのセキュリティ対策水準の向上を図る。

・目指す効果
　サプライチェーンにおけるリスクを対象にした上で、その中での立ち位置に応じて必要な対策を提示することで、企業の対策決定を容易・適切なものにする。

・基準の考え方
　求められるセキュリティ対策について、各企業のサプライチェーンにおける重要性や影響度を踏まえた上で区分を★3、★4、★5の3つに分けることを想定。

・制度において設ける段階の考え方
★3 Basic：全てのサプライチェーン企業が最低限実装すべきセキュリティ対策として、基礎的なシステム防御策と体制整備を中心に実施（自己評価（25項目））
★4Standard：サプライチェーン企業等が標準的に目指すべきセキュリティ対策として、組織ガバナンス・取引先管理、システム防御・検知、インシデント対応等包括的な対策を実施（第三者評価（44項目））
★5：サプライチェーン企業等が到達点として目指すべき対策として、国際規格等におけるリスクベースの考え方に基づき、自組織に必要な改善プロセスを整備した上で、システムに対し現時点でのベストプラクティスに基づく対策を実施（第三者評価（対策項目は今後検討予定））

・国内外の関連制度等との連携・整合
　先行する自己評価の仕組みである「SECURITY ACTION」（一つ星及び二つ星）、「JAMA・JAPIA自工会/部工会サイバーセキュリティガイドライン」や国際標準である「ISMS適合性評価制度」等と相互補完的な制度として発展することを目指す。

　同省では今後、2026年度の制度開始を目指し、実証事業等を通じた評価スキームの具体化や制度の利用促進のための施策の検討等を進めていく予定。