経産省が進める企業とIoT製品の格付認定
2026年度始動の「サプライチェーンセキュリティ評価制度」 企業セキュリティが“客観評価”される時代に
2025年12月22日 11時00分更新
星の取得は強制?支援策は? ―― サプライチェーンのセキュリティ対策評価制度の疑問点
講演後には、サプライチェーンのセキュリティ対策評価制度を中心とした質疑応答が行われた。
ーー制度の導入背景と狙いは?
橋本氏:大きな理由は2点あります。1点目は、企業ごとに異なる独自のセキュリティチェックリストが乱立し、受注側・発注側双方がその対応に疲弊している現状を解消すること。2点目は、サプライチェーン攻撃の起点となりやすい中小企業の対策を、国レベルで支援・底上げすることです。
講演後には質疑応答が行われた
ーー星の取得は事実上の「強制」になりますか? 取得しないと取引から排除されますか?
橋本氏:政府として、特定の格付けを強制したり、取得していない企業を市場から排除したりする意図は全くありません。あくまで、企業が自社のセキュリティ達成度をステークホルダーに示すための「加点方式」の評価制度です。
ーー星4を全ての企業が目指す必要がありますか?
橋本氏:その必要はありません。企業ごとにリスクや守るべき資産は異なるため、自社に必要なレベルの対策を実施していただくことが基本です。何をすべきか分からない企業のために、段階的な指針を設けています。
ーー取引先から星の取得を要求された場合、費用負担はどうすべきですか?
橋本氏:政府が企業間の取引条件に介入することはできませんが、発注側が高度なセキュリティを要求するのであれば、相応のコスト負担や価格転嫁があって然るべきだと考えています。一方的な押し付けではなく、サプライチェーン全体でコストを分担する姿勢が重要です。
ーー制度の普及に向けた数値目標はありますか? また、先行して導入が進む業界は?
橋本氏:具体的な取得企業数の目標値は設定していません。導入については、金融や流通、半導体など、従来からセキュリティ意識の高い業界から先行して取り組みが始まると予想しています。
ーー政府調達(入札)の要件に加わる予定はありますか?
橋本氏:将来的には、政府調達の統一基準において、特定の星の取得を推奨するような記載が盛り込まれる可能性はありますが、現時点で決定している事項はありません。
ーー取得に対する補助金や税制優遇はありますか?
橋本氏:星3以上の取得自体に対する新たな補助金は、現時点では予定していません。星1・星2(SECURITY ACTION)の段階では既存の優遇措置が利用可能ですので、まずはそちらの活用をご検討ください。
星1と星2はIT導入補助金などの支援を受けられるとのこと
ーー公表されている要件(中間とりまとめ)から、基準が大きく変更される可能性は?
橋本氏:現在もワーキンググループ等で活発な議論が行われており、部分的な調整や変更は予想されます。ただし、制度の骨子や基準が根底から覆るような大きな変更はない見込みです。
ーーITベンダーやソリューションプロバイダーに期待することは?
橋本氏:まずはベンダー自身の組織で星を取得していただきたいです。その上で、取得の過程で得た知見やノウハウを活かし、中小企業の取得を支援するコンサルティングやサポートサービスを展開していただけることを強く期待しています。
2026年は、企業セキュリティが従来のチェックリスト依存の管理から、統一基準に基づく客観的な評価へと転換する重要な節目となる。自社のセキュリティ対策を見直す機会になるとともに、新たな評価制度を競争優位性とする視点が求められていくだろう。
