※本稿は2026年4月19日時点で確認できる公表資料に基づいています。SCS評価制度は制度構築方針とFAQが公表済みですが、詳細運用は今後さらに具体化される予定です。
取引先からセキュリティ対策を説明するとき、SCS評価制度、自工会・部工会ガイドライン、医療系ガイドライン、ISMSが並ぶと、「結局どれを見ればいいのか」が分かりにくくなります。結論から言うと、SCSは業界横断の共通基準、自工会・部工会や医療系ガイドラインは業界固有の要求、ISMSは組織のマネジメントの仕組みを示す第三者認証です。少なくとも公表資料の建て付けでは、どれか一つが他を丸ごと置き換える制度にはなっていません。
まず前提として、SCSは「共通物差し」です
SCS評価制度は、委託元と委託先の間で求めるセキュリティ水準を分かりやすく提示し、サプライチェーン全体の水準を高めることを目的とした任意制度です。業種や企業規模を問わず幅広い事業者が対象になり得ますが、制度の直接対象は企業等のIT基盤であり、クラウド環境は含む一方、製造環境等のOTシステムや、発注元等に提供する製品は直接の対象ではありません。
そしてSCSの公表資料は、★3・★4を、SECURITY ACTION、自工会・部工会ガイドライン、ISMS適合性評価制度などと相互補完的な制度として発展させる考え方を明示しています。さらに、自工会・部工会ガイドラインとの関係では、★3・★4がLv1・Lv2に対応すると整理されています。
自動車業界では、「SCSか自工会・部工会か」ではなく両方を見る
自工会・部工会のガイドライン2.3版は、自動車産業に関係する全ての会社を対象とし、想定読者にはCISO、リスク管理、監査、情報システム、購買・調達などが挙げられています。対象範囲は、特定業務領域ではなく、全体業務に共通する**エンタープライズ領域(業務基盤となるOA環境)**です。さらに、中小企業を含む全ての企業が活用できるよう、優先して実施すべき重要項目に加え、標準的に目指す項目や最終到達点として目指す項目を設け、付録としてチェックシートを添付しています。
運用面でも、自工会・部工会は毎年度説明会を開き、ガイドライン付録のチェックシートを使って、各企業にセルフチェックの実施と評価結果の提出を求めています。つまり、自動車業界では、ガイドラインを読むだけでなく、毎年の自己点検サイクルまで含めて回す前提になっています。
さらに、2026年4月16日には、自工会・部工会が工場領域版1.0を公開しました。こちらはOA環境ではなく、製造設備・システムを含むOT環境を対象とした業界共通の自己評価基準です。一方でSCSはOTを直接対象外としているので、自動車業界では、会社全体のIT基盤の説明にSCS、業界要求への対応に自工会・部工会、工場OTには工場領域版という見方が、公開資料に最も整合的です。これは制度上の明示的な一文ではなく、対象範囲の違いを踏まえた実務上の整理です。
医療系は、一つにまとめず三つに分けて考える
医療系は「医療のセキュリティ」と一括りにすると誤解しやすい分野です。少なくとも、医療機関・薬局側、医療情報システムやサービスの提供事業者側、医療機器側は分けて見る必要があります。厚生労働省のページでは、医療機関等におけるサイバーセキュリティ対策チェックリストを案内しつつ、令和7年度版からは医療機関・薬局・事業者共通のチェックリストマニュアルとして統合したとしています。
まず、医療機関・薬局側の中心になるのが、厚生労働省の**「医療情報システムの安全管理に関するガイドライン 第6.0版」です。このガイドラインは、技術的対策をクライアント側、サーバ側、インフラ、セキュリティに分けて整理し、事業者選定と管理、証跡のレビュー、システム監査、外部からの攻撃対策まで含めています。さらに、運用や保守を外部事業者に委ねる場合でも、医療機関側には事業者の実施状況を適切に確認すること**が求められています。
次に、提供事業者側には、経済産業省の**「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第2.0版」があります。METIの案内ページでは、別紙1としてサービス仕様適合開示書とSLAの参考例**、別紙2として医療情報安全管理ガイドライン6.0版との対応表が用意されています。本文でも、対象事業者には、医療機関等と契約してサービスを提供する事業者だけでなく、そのサービスに必要な資源や役務を提供する事業者が含まれ、リスクマネジメント、医療機関等への情報提供、役割分担の明確化、合意形成を重視する構成になっています。
そして、医療機器はさらに別です。厚生労働省は、医療機器の基本要件基準を令和5年3月9日に改正し、サイバーセキュリティに関する要求事項を第12条第3項として規定したと案内しています。そこでは、ネットワーク接続等が想定される医療機器について、使用環境を踏まえた要件の特定、危険性の評価、リスク低減管理、さらにライフサイクル全体での計画に基づく設計・製造が求められています。
このため、医療分野では、SCSを取れば医療系の要求が全部片付く、とは読み取れません。公開資料に基づく安全な整理は、SCSは会社全体のIT基盤に関する共通的な説明材料にはなり得るが、医療機関向けガイドライン、提供事業者向けガイドライン、医療機器の要求事項を不要にするものではない、というものです。ここは制度の対象範囲が違うためです。
ISMSは「代替」ではなく、別の軸です
ISMSは、JIS Q 27001(ISO/IEC 27001)に基づく情報セキュリティマネジメントシステムです。ISMS-ACは、JIS Q 27001を、組織がISMSを確立し、実施し、維持し、継続的に改善するための要求事項を提供する規格と説明しています。また、ISMSとは、個別の技術対策だけでなく、組織のマネジメントとして、自らのリスクアセスメントにより必要なセキュリティレベルを決め、計画し、資源配分して運用することだと説明しています。認証は、第三者である認証機関による審査を通じて行われます。
これに対してSCSのFAQは、★3・★4が代表的な脅威を参考に効果の高い管理策を抽出するベースラインアプローチを採用しており、ISMSとは相互補完的な制度だと説明しています。制度構築方針の比較表でも、ISMSはリスクアセスメントに基づいて組織が必要な管理策を決める仕組みである一方、SCSはインターネットに接続している自社IT基盤と取引先管理を対象に、サプライチェーンリスクを意識して業界横断で具体的な管理策を設定する建て付けになっています。
したがって、少なくとも公表資料の整理では、ISMSを持っているからSCSは不要とも、SCSがあればISMS相当のマネジメントが証明できるとも言えません。前者は「仕組みを回しているか」を示す認証、後者は「サプライチェーン向けに共通の対策水準を満たしているか」を示す評価だからです。なおSCSの資料では、将来の★5について、ISMS適合性評価制度との整合に配慮しつつ、システムへの具体的対策は自工会ガイドラインLv3など実績あるガイドラインから選定する想定も示されています。
社長と担当者は、どう見分ければよいか
ここから先は、公開資料を踏まえた実務上の整理です。取引先への説明で「うちは最低限どこまで見ればよいか」に迷ったら、まず共通説明が必要なのか、業界固有要求に応える必要があるのか、マネジメント認証まで求められているのかで切り分けると整理しやすくなります。SCSは共通説明向き、自工会・部工会や医療系は業界要求向き、ISMSは組織運営の仕組みの証明向きです。
自動車のサプライチェーン企業なら、SCSだけを見るのではなく、自工会・部工会ガイドライン2.3版を前提にし、工場や製造設備が重要なら工場領域版1.0まで視野に入れるのが安全です。医療系の案件を持つ会社なら、病院・薬局側の安全管理ガイドライン、提供事業者向けガイドライン、医療機器の要求事項のどれに自社が当たるのかを先に確認した方が、遠回りが少なくなります。大企業や複数業界の取引先から、継続的なマネジメントの仕組みまで問われるなら、ISMSの検討余地が大きくなります。
まとめ
今回のポイントは、SCSは業界横断の共通基準、自工会・部工会や医療系ガイドラインは業界固有要求、ISMSはマネジメントシステム認証だということです。SCSの公表資料は、自工会・部工会やISMSとの補完関係を明示していますが、対象範囲の違いまで消してくれるわけではありません。中小企業にとって大切なのは、「どれが上位か」を争うことではなく、自社の業界、扱う情報、取引先からの要請に応じて、必要な制度を重ねていくことです。次回は、最後に将来の★5と、今から何を準備すべきかを整理します。
