※本稿は2026年4月時点で公表されている資料に基づいています。SCSの★5は今後の具体化事項が残っており、本稿では公表済みの範囲に限って整理します。
取引先から「情報セキュリティ対策は何をやっていますか」「何か取得していますか」と聞かれたとき、SECURITY ACTION、SCS評価制度、自工会・部工会ガイドライン、医療系のガイドライン、ISMSなど、似た名前の制度や基準が並んで見えて戸惑う方は少なくありません。ですが、これらは同じ役割ではありません。中小企業向けに大づかみで言えば、最初の入口が SECURITY ACTION、取引先に共通の物差しで説明しやすいのが SCS、業界固有の要求に応えるのが自工会・部工会や医療系のガイドライン、組織全体のマネジメントの仕組みを第三者認証で示すのが ISMS です。最初から全部を同じ重さで追う必要はなく、自社の業種と、取引先から何を求められているかで見る順番が変わります。
まず押さえたいのは、SCSは「共通基準」であって「全部入り」ではないこと
経済産業省が公表した SCS評価制度は、サプライチェーンを構成する企業のセキュリティ対策状況を共通の基準で評価・可視化し、委託元企業と委託先企業の双方の負担を軽減しながら、サプライチェーン全体のセキュリティ水準の底上げを図る仕組みとして位置付けられています。使い方としては、二社間の取引契約などにおいて、発注企業が受注側に適切な段階の「★」を提示し、必要な対策の実施状況を確認する形が想定されています。また、この制度は格付け制度ではないことも明記されています。
一方で、SCSの直接の対象は企業のIT基盤であり、クラウド環境も含まれますが、製造設備などのOTや、委託元に提供する製品は直接の対象外です。つまり、SCSを理解することは大切でも、「SCSだけ見れば自社の全部がカバーできる」と考えるのは正確ではありません。業界によっては、別のガイドラインや制度を併せて見る必要があります。
入口としての SECURITY ACTION
SECURITY ACTION は、IPAが運営する中小企業向けの自己宣言制度です。一つ星は、これから「情報セキュリティ6か条」に取り組むことを宣言する段階で、対策実施前でも申込み可能です。二つ星は、「5分でできる!情報セキュリティ自社診断」と「情報セキュリティ基本方針」の策定・外部公開を行ったうえで、情報セキュリティ対策に取り組むことを宣言する段階です。セキュリティ対策をこれから整える会社にとって、ここが最初の入口になります。
この流れは、中小企業の情報セキュリティ対策ガイドライン第4.0版ともつながっています。ガイドラインでは、STEP1が「情報セキュリティ6か条」を使った必要最低限の対策、STEP2が自社診断と基本方針の作成、STEP3が体制整備と基本的な組織的・技術的防御対策、STEP4がより包括的な対策の段階として整理されています。さらに、経済産業省は第4.0版にSCS評価制度の考え方とSECURITY ACTION自己宣言制度の基準見直しを反映したと説明しており、SCSの資料でも SECURITY ACTION の一つ星・二つ星は★3・★4取得の準備段階として描かれています。
共通基準としての SCS は、まず★3と★4を見ればよい
SCSは三段階で構想されていますが、現時点で制度開始が示されている中心は★3と★4です。★3は、広く認知された脆弱性などを悪用する一般的なサイバー攻撃を想定し、基礎的な組織的対策とシステム防御策を中心に実施する段階で、要求事項は26件、有効期間は1年、評価スキームは専門家確認付き自己評価とされています。★4は、より大きな影響をもたらす攻撃などを想定し、組織ガバナンス、取引先管理、システム防御・検知、インシデント対応を含む包括的な対策を実施する段階で、要求事項は43件、有効期間は3年、第三者評価です。
★5も構想には入っていますが、現時点では「さらに目指すべき高度な対策」として示されている段階です。資料では、国際規格等のリスクベースの考え方に基づいて自組織に必要な改善工程を整備し、システムに対しては現時点のベストプラクティスの対策を実施する方向が示されています。ただし、★5は令和8年度以降に検討予定とされており、中小企業の実務として今まず理解すべき中心は、★3と★4だと見てよいでしょう。
自動車業界では、自工会・部工会ガイドラインも外せない
自動車業界の企業であれば、自工会・部工会ガイドラインは業界内の共通ルールとして重要です。このガイドラインは、自動車産業のサプライチェーンを支えるすべての企業において、実施すべき基本的なセキュリティ対策に抜け漏れがないかを定期的に確認し、共通のセキュリティチェックシートで実装状況を確認することで、取引におけるセキュリティ信頼チェーンの構築に活用するものとされています。
そしてSCSの資料では、★3・★4は自工会・部工会ガイドラインのLv1・Lv2に対応し、★5ではISMS適合性評価制度との整合に配慮しつつ、システムへの具体的な対策実装についてはLv3など実績のあるガイドラインを参照する考え方が示されています。ですから、自動車部品メーカーや関連受託企業にとっては、「自工会・部工会か、SCSか」の二者択一ではなく、業界要求には自工会・部工会、業界横断の説明にはSCS という整理の方が実務に合っています。
医療系は「医療情報システム」と「医療機器」を分けて考える
医療分野では、ひとまとめに「医療のセキュリティ」と考えると誤解しやすくなります。厚生労働省は、医療機関等向けに「医療情報システムの安全管理に関するガイドライン 第6.0版」を公表しており、チェックリストや関連資料も案内しています。これに対して、経済産業省は、医療情報を取り扱う情報システム・サービスの提供事業者向けガイドラインを公表しており、医療情報システム等を提供する事業者向けの考え方を整理しています。つまり、病院・診療所などの利用側と、システム・サービスの提供側では、まず見る文書が異なります。
さらに、医療機器については別の整理が必要です。厚生労働省は、医療機器の基本要件基準にサイバーセキュリティに関する要求事項を置き、関連通知やIMDRFガイダンスを案内しています。SCSはIT基盤を直接対象とし、製品は直接対象外なので、医療機器を扱う事業者はSCSだけでは足りず、医療機器向けの要求やガイダンスも確認する必要があります。
ISMSは「代わり」ではなく、組織運営を示す別の軸
ISMSは、JIS Q 27001(ISO/IEC 27001)に基づいて、組織が情報セキュリティマネジメントシステムを確立し、実施し、維持し、継続的に改善するための要求事項を提供する枠組みです。第三者である認証機関が、その運用が適切かどうかを審査し証明する制度でもあります。これは、個々の対策だけでなく、管理の仕組みを継続的に回しているかを示すためのものです。
これに対して、SCSの★3・★4は、代表的な脅威を参考に効果の高い管理策を抽出するベースラインアプローチとして整理されています。SCSの資料では、ISMS適合性評価制度と相互補完的な制度として両輪で発展することを目指すとされ、★5ではISMS適合性評価制度との整合に配慮しつつ具体的なあり方を検討するとしています。したがって、「ISMSを持っているからSCSは不要」と単純に考えるのではなく、何を示したいのかで使い分けるのが正確です。
中小企業は、まず「業種」と「取引先からの要請」を確認する
ここからは実務上の読み方です。対策をまだ始めたばかりなら、SECURITY ACTIONの一つ星・二つ星と、中小企業の情報セキュリティ対策ガイドラインのSTEP1・STEP2から着手するのが分かりやすいです。取引先から、サプライチェーン全体で説明可能な対策水準を求められたら、SCSの★3・★4を視野に入れる段階です。自動車業界なら自工会・部工会ガイドライン、医療分野なら医療情報システムや医療機器の個別ガイドラインを外せません。さらに、社内のマネジメントの成熟度や第三者認証まで問われるなら、ISMSも検討対象になります。
大切なのは、「どれか一つを見れば終わり」ではなく、「自社の立場に合う入口から順に見る」ことです。零細企業でいきなり★4やISMSを目標にすると、何から始めればよいか分からなくなりがちです。反対に、自動車や医療のように業界固有の要求が強い分野では、一般論だけを読んでも実務に届きません。自社の現場に一番近い制度から着手し、そのうえで取引先への説明に使える共通基準を重ねる進め方が、結果として無理が少ないと私は考えます。
まとめ
第1回で押さえておきたいのは、SECURITY ACTIONは入口、SCSはサプライチェーン向けの共通基準、自工会・部工会や医療系ガイドラインは業界固有の要求、ISMSは組織運営を示す第三者認証という役割の違いです。SCSの直接対象はIT基盤であり、業界固有の事情まで全部を吸収する制度ではありません。この全体図が見えてくると、「うちはまず何から始めるべきか」が判断しやすくなります。次回は、最も取り組みやすい入口である SECURITY ACTION ★1 を取り上げます。
