制度概要
SCS評価制度とは
情報基準日: 2025年12月(経産省「SCS制度構築方針案」公表時点)。 制度の最終仕様は正式公表をご確認ください。
制度の位置づけ
SCS(Supply Chain Security)評価制度は、経済産業省が策定を進めているサプライチェーン全体のセキュリティ評価・認定制度です。 自動車・半導体・重要インフラなど幅広い産業を対象に、企業のセキュリティ成熟度を★3〜★5の3段階で評価します。
NIST CSF(サイバーセキュリティフレームワーク)をベースに設計されており、ガバナンス・識別・SC管理・防御・検知・対応・復旧の7カテゴリで評価します。 2026年度末の本格運用を目指しており、取引先への認定要件化が進む前に自社の対応状況を把握することが重要です。
★3 / ★4 / ★5 の違い
| レベル | 位置づけ | 主な対象 |
|---|---|---|
| ★3 | 基礎的なセキュリティ対策の実施確認 | サプライチェーン参加企業(幅広く求められる基準) |
| ★4 | 組織的・継続的なセキュリティマネジメントの実施 | 主要サプライヤー、重要取引先 |
| ★5 | 高度なセキュリティ管理・サプライチェーンへの影響力 | Tier1・主幹事企業など最上位層 |
※ 当ポータルの診断は★3対応度を対象としています。
対象企業
制度の適用対象は幅広いサプライチェーン参加企業ですが、特に以下の業界・企業で早期対応が求められる傾向があります。
- ✓自動車・モビリティ産業(Tier1〜Tier3サプライヤー含む)
- ✓半導体・電子部品メーカー
- ✓重要インフラ関連企業(エネルギー・通信・金融等)
- ✓防衛・宇宙関連産業
- ✓上記企業のIT・システムベンダー
制度スケジュール(予定)
2025年12月
制度構築方針案 公表
2026年前半
パブリックコメント・試行評価
2026年度末
制度本格運用開始(目標)
2027年以降
取引先要件化・業界展開
※ スケジュールは経産省の公式発表を随時確認してください。
よくある誤解
❌ ISMSやPマークがあれば★3は問題ない?
→ 必ずしも同等ではありません。SCS評価制度はサプライチェーン文脈での要件を含むため、既存認証との対応確認が必要です。
❌ 中小企業は対象外?
→ 直接の認定対象は主要サプライヤーですが、取引先要件として中小企業にも間接的に求められる可能性があります。
❌ ★3を取得すれば全取引先に対応できる?
→ ★3は基礎レベルです。取引先・業界によって★4以上が求められる場合があります。