皆さんは、「サプライチェーン向けのセキュリティ」という言葉を耳にしたことはありますか？

2022年、大阪急性期・総合医療センターは、委託先の業者を経由したサイバー攻撃を受け、電子カルテが長期間使用できなくなる事態に陥りました。
この事故では、攻撃は委託先事業者のシステムを入口として行われており、取引先や委託先を含めたセキュリティ管理の重要性が指摘されています。
この事例は、情報セキュリティが個々の組織の問題ではなく、取引関係全体で考える時代に入ったことを象徴しています。

このような事例を受けて、経産省が検討中の「サプライチェーン向けセキュリティ認証」について、今回はご説明してまいります。

※サプライチェーン向けセキュリティ認証は、まだ本運用が開始されていません。
以下の内容はすべて、2026年4月段階に公開されている情報です。

サプライチェーン向けセキュリティ認証の立ち位置（ほかの認証との関係）

経済産業省が検討を進めている「サプライチェーン向けセキュリティ認証」は、これまでの個社単位の情報セキュリティ対策を、取引関係全体に広げることを目的とした制度です。
これまでのISMSやプライバシーマークは、「その会社自身が、どのように情報を守っているか」を示す認証でした。
一方、サプライチェーン向けの新しい制度は、「取引先同士が、共通の基準でセキュリティ状況を確認できるようにする」という立ち位置にあります。
つまり、会社の評価そのものというより、取引の中で使いやすい共通ルールを作るための仕組みと考えると分かりやすいでしょう。
この制度は、既存の認証を置き換えるものではなく、それらを補完し、取引時の確認を簡単にするための土台として検討されています。

対象となる企業はどんな企業？

現時点で発表されている内容では、業種や会社規模を限定して対象外とする考え方は示されていません。
サプライチェーン、つまり「取引を通じてつながっている企業」であれば、大小を問わず関係することになります。

「大企業が、取引先のセキュリティ状況を確認しづらい」
「中小企業が、取引先ごとに違う確認を求められて負担になっている」
という双方の悩みです。
そのため、取引の受け手・出し手の両方に関係する制度として検討されています。

なお、評価の対象は、企業が利用する業務システムやネットワークなどの「IT基盤」が中心とされています。

この認証の目的　…　既存認証との違い

さて、この記事を読んでくださっている誠実な組織の皆様の中には、すでにISMSやPマークなどの、第三者認証を取得していらっしゃる方も多いのではないでしょうか？

• 既存第三者認証とどこが違うの？
• 既存第三者認証だけではだめなのか？

という視点から、ご説明してまいります。

このサプライチェーン向けセキュリティ認証でも、「何を守るか」「どう守るか」といった基本的な考え方は、既存の第三者認証と大きくは変わりません。
しかし、この制度の本質はそこではなく、使われる場面が決定的に違う点にあります。

ISMSなどの第三者認証は、「その組織が、一定の水準で管理できているか」を示すものです。
一方で、このサプライチェーン向けセキュリティ認証は、「取引の中で参照しやすい目安」として使われることを想定して設計されています。
つまり、

既存の認証　→ 組織単位での“管理の証明”
今回の制度　→ 取引単位での“前提条件の合意”

なのです。

既存の認証があると、
「ではそれで十分ではないか」と感じるかもしれません。
しかし、取引の現場では次のような判断が必要になります。

この取引が止まると、発注元にどの程度の影響が出るのか
扱う情報や業務は、どれほど重要か
同じ会社との取引でも、業務内容によって重さは違わないか

既存の第三者認証は、
こうした“取引ごとの重さの違い”までは示しません。
そのため、既存の第三者認証だけでは、

• 認証は取っているが、追加の確認を求められる
• 取引先ごとに、説明や書類が増えていく

という場面がおきるのです。

サプライチェーン向けセキュリティ認証の内容

この制度が用意しているのは、
「どこまで求めるか」を事前に揃えるための共通の表現です。
たとえば、

この取引では、基礎的な対策ができていれば十分
この取引では、より高い水準が必要

といった判断を、★の段階で共有できます。
ここで重要なのは、
★が「会社の優劣」を示すためのものではない点です。
あくまで、

この取引では、どこが最低ラインか

を、発注側と受注側の間で確認・合意するための仕組みです。

どうすれば導入できるの？

現時点では、制度の正式開始前のため、具体的な手続きは今後整理される段階です。
ただし、方向性としては次のように説明されています。

• まずは自社の状況を整理する
• 必要に応じて、第三者や専門家の確認を受ける
• その結果を、取引先に示せる形にする

難しい作業を一気に求めるのではなく、段階的に進められるよう配慮する方針が示されています。
中小企業向けには、既存の支援制度を活用したサポートも予定されているようです。

さいごに　今後の見通し

この制度は、現在「検討・準備段階」にあります。
経済産業省は、2026年度末ごろの制度開始を目標として、ガイドライン整備や実証事業を進めています。
現時点では、
「必ず取得しなければならない」
「すぐに業務が変わる」
というものではありません。
ただし、将来的には、
「取引条件の説明を簡単にする共通の目安」として使われる可能性が高い制度です。
今後の正式発表を見ながら、自社にどう関係しそうかを把握しておくことが重要と言えるでしょう。