SCS評価制度とは何か——2026年度開始、士業事務所も「取引先」として対象になる

2026年度末、新しいセキュリティ評価制度が始まります。

経済産業省と内閣官房国家サイバー統括室が策定した「サプライチェーン強化に向けたセキュリティ対策評価制度」——略称SCS評価制度（Supply Chain Security評価制度）です。2026年3月27日に制度構築方針が正式公表され、2026年度末頃の制度開始を目指した取組が進んでいます。

「サプライチェーン」という言葉を聞くと、製造業や大企業の話だと思う方が多いかもしれません。しかし士業事務所も、顧問先企業から見れば「取引先」であり「委託先」です。この制度は、士業事務所にとっても無関係ではありません。

なぜこの制度が作られたのか

近年、取引先を経由したサイバー攻撃が急増しています。大企業のシステムを直接攻撃するより、セキュリティが手薄な取引先・委託先を踏み台にして侵入する方が攻撃者にとって容易なためです。「サプライチェーン攻撃」と呼ばれるこの手法は、世界中で被害が拡大しています。

この状況に対し、発注企業側からは「取引先のセキュリティ対策状況が外部から分からない」という課題が、受注企業側からは「複数の取引先から様々なセキュリティ要件を求められ負担が大きい」という課題が生じていました。

SCS評価制度はこの両方の課題を解消するために設計されました。統一された基準でセキュリティ対策状況を評価・可視化することで、発注企業は取引先のセキュリティ水準を把握でき、受注企業は一度の評価取得で複数の発注先に説明できるようになります。

SCS評価制度は★3・★4・★5の3段階で構成されます（★5は今後検討）。

★3（Basic）は、全てのサプライチェーン企業が最低限実装すべきセキュリティ対策です。26項目の要求事項について自己評価を行い、セキュリティ専門家による確認を経て取得します。有効期間は1年で、毎年更新が必要です。

★4は、サプライチェーンへの影響が大きい企業が目指すべき標準的な水準です。43項目の要求事項について、第三者評価機関による審査が必要になります。有効期間は3年です。

★3と★4の大きな違いは、「自己評価か第三者審査か」という点です。★3は自己評価をベースにしているため、比較的取り組みやすい水準に設定されています。

士業事務所は、顧問先企業から見れば「機密情報を預かる委託先」です。税務情報・法的情報・人事情報——こういった重要情報を扱う委託先として、顧問先が★3の取得を求めてくる可能性があります。

特に、製造業・金融機関・医療機関・IT企業を顧問先に持つ士業事務所は、先行して対応を求められる可能性が高い。これらの業種はSCS評価制度の普及が優先的に促進される分野として位置づけられています。

「顧問先から聞かれる前に準備しておく」ことが、信頼の維持と差別化につながります。

重要な前提として、SCS評価制度は企業のセキュリティレベルを競わせる「格付け制度」ではありません。★の取得はあくまで「取得時点において定められた水準を満たしていること」を示すものです。

★3を取得していれば「完全にセキュリティが確保されている」ということではなく、「最低限の対策が整っている状態である」ということです。取得後も継続的な改善と毎年の更新が必要です。

★3の26項目のうち、多くは「多要素認証」「アカウント管理」「バックアップ」「インシデント対応手順」など、単独で取り組める対策です。制度が開始してから慌てて対応するより、今から少しずつ整備を進める方が、コストも手間も少なくなります。

2026年度末の制度開始を目安に、今から約半年から1年かけて準備を進めることを推奨します。

SCS★3取得を見据えた無料診断を実施しています。

▶ 士業向けIT・セキュリティ整備サービス

行政書士事務所みまもり

セキュリティ研究者・デジタルフォレンジックエンジニア

成田浩志