近年、サプライチェーンを通じたサイバー攻撃による情報漏洩やサービス停止などのリスクが、企業経営に深刻な影響を及ぼしています。経済産業省はこうしたリスクに対処するため、取引先企業のセキュリティ対策を可視化する「セキュリティ対策評価制度（セキュリティ格付け制度）」の整備を進めています。

2025年4月14日に公表された中間取りまとめでは、制度の枠組み、段階的評価基準、そして導入スケジュールが明確化されつつあります。本記事では最新の整理内容をわかりやすく解説し、制度の意図や導入に向けた準備のポイントをご紹介します。

経済産業省によると、サプライチェーンにおける複数基準への対応負荷、対策水準のバラツキ、発注企業による対策評価の困難さなどが制度構築の背景にあります。中小企業を含むサプライチェーン全体で対策水準を底上げし、サイバー攻撃やサービス停止などのリスクを軽減することが目的です。

この制度では、対策要求を統一・共通化することによって、重複対応や確認工数の削減、対策の見える化による効率的な判断を可能にします。

本制度ではセキュリティ成熟度を「★3」「★4」「★5」の3段階で評価します。

• 　★3：一般的な脆弱性を利用した攻撃を対象とし、基礎的な組織的対策およびシステム防御策を最低限実施する段階
• 　★4：機密情報や供給停止により取引先へ影響を与えるリスクに対応する標準的レベルで、一定のマネジメントシステムを整備した上で対策実施
• 　★5：未知の高度な攻撃にも耐える能力を持ち、ISMSや国際規格と整合しつつベストプラクティスに基づく組織・システム全体の対策を実行する高度段階




評価は段階により方式が異なり、★3は自己評価や社内専門家によるもの、★4・★5は原則として第三者評価が想定されています。

2025年4月時点の「中間取りまとめ」では、以下のスケジュールが示されています。

• 　★3・★4：制度の運用開始予定は2026年度下期（2026年10月〜12月頃）
• 　★5：評価基準およびスキームの具体化を2025年度下期（2025年10月以降）に検討開始予定




また、制度普及に向けた実証事業や評価体制（評価機関、登録セキスペ活用等）の構築が進められます。

制度が本格運用を迎える前に、中小企業が今から取り組むべき主要なポイントは以下の通りです。

• ・現状のセキュリティ対策の棚卸しと自己評価（★3レベルの要件確認）
• ・情報セキュリティ規程や管理体制の整備、責任者・担当部署の明確化
• ・登録セキスペ（情報処理安全確保支援士）との連携・活用による評価支援体制の設定
• ・取引先からの要求に応じた★段階の目標設定と社内周知




こうした事前準備により、制度開始時にスムーズに★3取得を志向できます。

• •　発注企業・受注企業間で対策水準の共通認識が生まれ、契約交渉が円滑に進む
• •　対策状況が可視化されることで、信頼性向上や新規受注機会の拡大が期待できる
• •　中小企業にとっても、低コストで客観性を持つ評価取得の機会となる可能性

• •　評価コストや第三者評価の手間に対する懸念
• •　高度な★5取得に向けた準備（ISMS連携など）の負担
• •　関係者（発注者／受注者双方）への制度理解促進が必要

2026年度下期に向けた本制度の施行を前に、企業は今から段階的に対応を進めることが重要です。★3・★4の評価設計が明らかになってきた今、自社の現状分析に基づき、少なくとも★3取得を見据えた準備を始めておくべきタイミングです。

自社のセキュリティ体制や情報管理体制の点検からスタートし、登録セキスペ等外部リソースを活用した評価準備を行うことで、本制度の導入による信頼性向上や取引競争力の強化につなげられます。2026年度の本格実施に向けて、早めの準備を進めておくことが、今後の競争優位につながる第一歩となりそうです。

※本記事は当社の主観に基づく情報を含んでおり、法律や制度への解釈・対応を保証および担保するものではありません。制度の詳細、ルールに関しては、経済産業省のホームページをご確認ください。