経済産業省は、サプライチェーンのセキュリティ対策を評価する「SCS(サプライチェーン強化に向けたセキュリティ対策評価制度)」に関し、「SCS評価制度を取得しないと入札から除外される」といった趣旨の案内が一部で見られるとして、注意を呼びかけた。制度の目的は、企業のセキュリティ対策を可視化し取引の共通言語を作ることにある。一方、制度の趣旨を超えて“取得しないと取引できない”と受け取られる運用が広がれば、調達の公正性や中小企業の参入機会を損ね、結果的に産業全体の強靭性を弱めかねない。
SCS評価制度とは何か:狙いは「排除」ではなく「底上げ」
SCS評価制度は、取引先や委託先を含むサプライチェーン全体でのセキュリティ水準を高めるため、企業の対策状況を一定の枠組みで評価・可視化する考え方に基づく。近年、攻撃者は最も防御が弱い委託先や子会社、保守事業者などを起点に侵入し、本体企業へ横展開する「サプライチェーン攻撃」を多用している。こうした現実を踏まえると、発注者が委託先に一定のセキュリティ要件を求めること自体は合理的であり、むしろ必須になりつつある。
ただし重要なのは、評価制度は“セキュリティ要求を表現する手段の一つ”であり、それ自体が入札参加資格の万能な置き換えではない点だ。制度が意図するのは、発注側と受注側が「どの水準の対策を、どの範囲で、どのように満たすか」を議論できるようにすることであり、形式的な資格の有無で機械的に選別することではない。
「SCSがないと入札除外」はなぜ問題になるのか
経産省が不適切とした趣旨は、制度取得の有無を過度に一般化して入札条件のように扱い、誤解を招く表現が流通している点にある。ここには大きく3つの実務上の問題がある。
要件の目的と手段が逆転する
調達における本来の目的は、対象業務の機密性・完全性・可用性に見合うリスク低減を達成することだ。SCSはその達成度を説明する一つの材料になり得るが、業務内容によって必要な対策は異なる。例えば、公開情報のみを扱う業務と、個人情報や重要技術情報を扱う業務では、求める統制の強度が変わる。にもかかわらず「SCS取得=必須」と固定化すると、リスクに基づく合理的な要件設計が崩れ、形式だけを満たす“チェックボックスコンプライアンス”を助長する。
中小企業の参入障壁が不必要に上がる
評価取得には、体制整備、文書化、監査対応など一定のコストがかかる。セキュリティ投資は重要だが、業務のリスクに対して過剰な要件を一律に課すと、真に技術力や現場力のある中小企業が入札から排除され、供給力の低下や価格上昇を招く可能性がある。サプライチェーンの強靭化は、多様な事業者が適切な負担で参加できる設計があってこそ成立する。
発注側の説明責任・公平性の観点で脆さが残る
公共性の高い調達では特に、要件は目的合理性が説明できる形で設定される必要がある。「SCSを持っていないから不可」といった単純な線引きは、個別業務のリスクとの対応関係が示せない場合、恣意的・不透明と受け取られかねない。結果として、調達プロセスの信頼性が揺らぎ、発注側自身のガバナンス上のリスクにもなる。
これからの調達要件は「認証の有無」より「リスクに即した統制」
サプライチェーンセキュリティを現実に機能させるため、発注者が重視すべきは、特定制度の取得有無ではなく、業務リスクに整合した統制が実装されているかどうかである。具体的には次の観点が重要だ。
取り扱う情報と業務範囲を明確化する
まず「何を守るのか」を言語化する。対象情報(個人情報、設計図、ソースコード、営業秘密など)、保管場所(クラウド、端末、オンプレミス)、委託範囲(開発、運用、保守、コールセンター等)を整理し、漏えい・改ざん・停止の影響を見積もる。ここが曖昧なまま評価制度だけを求めても、現場の対策は的外れになりやすい。
必要条件を段階化し、代替手段を認める
要件は「必須」「推奨」「将来対応」などに分け、段階的に引き上げる設計が現実的だ。また、SCSのような評価・認証は有効な証跡になり得るが、同等の統制を示せるのであれば、別の根拠(第三者監査報告、社内規程と運用記録、脆弱性管理の実績など)も受け入れる柔軟性が望ましい。これにより、形式ではなく実効性で競争できる。
契約条項と運用で担保する
重要なのは“入札時点の見栄え”ではなく“契約期間中の継続運用”だ。インシデント報告の期限、再委託管理、アクセス制御、ログ保全、脆弱性対応のSLA、監査権限、教育実施、秘密保持・データ返却/消去など、契約に落とし込み、定例会や報告で運用確認する。これがサプライチェーン対策の中核となる。
受注側が取るべき対応:SCSの有無に依存しない説明力を備える
受注者、とりわけ中小企業は「評価制度を持っていない=不利」と短絡せず、自社の対策を発注者が理解できる形に翻訳することが重要だ。たとえば、資産管理、アカウント管理、MFA、端末暗号化、バックアップ、EDR/AV、パッチ適用、脆弱性診断、委託先管理、インシデント対応手順、教育記録といった基本項目を、証跡(設定画面の写し、運用台帳、手順書、訓練記録)で示せるよう整備する。結果として、SCS取得の準備にもつながり、取引拡大の土台になる。
制度を活かす鍵は「誤解を生まない運用設計」
経産省の注意喚起は、制度そのものを否定するものではなく、制度の目的から外れた使い方が広がることへの警鐘と捉えるべきだ。サプライチェーン攻撃が常態化する今、発注者がセキュリティ要件を設けることは不可避である。その際、特定制度の取得を“唯一の入場券”として扱うのではなく、業務リスクに応じた要件設計と代替証跡の許容、契約と運用による継続的な担保を組み合わせることが、現場で機能する調達ガバナンスにつながる。
制度はゴールではなく、共通言語としての手段である。誤解を排し、実効性を重視した運用を広げることが、日本全体のサプライチェーンセキュリティを底上げする最短ルートとなる。