経済産業省のセキュリティ対策評価(格付け)制度の対象者は?
星3以上が取れない場合の重大なデメリットをわかりやすく解説
経済産業省は新たな評価制度として、セキュリティ対策評価(格付け)制度の導入を検討しています。本記事では制度の対象となる事業者や、一定以上の評価が得られなかった場合に想定されるデメリットについて解説します。
目次
経済産業省のセキュリティ対策評価(格付け)制度の対象者
経済産業省が推進するセキュリティ対策評価制度は、★3、★4、★5の3段階評価となっており、それぞれの段階における評価対象の事業者も想定されています。
以下が、各段階における評価基準や評価対象として想定される事業者となります。
(出典)
サプライチェーン強化に向けたセキュリティ対策評価制度の構築について
(2024年7月12日 情報処理推進機構セキュリティセンター)
https://www.meti.go.jp/shingikai/mono_info_service/sangyo_cyber/wg_seido/wg_supply_chain/pdf/001_05_00.pdf
これによると、
- ★3の対象となる事業者:サプライチェーンを形成するすべての企業等
- ★4の対象となる事業者:産業界を代表・牽引する立場の企業等(それを目指す企業等を含む)のサプライチェーンにおいて重要な機能・役割等を担うサプライヤー企業
- ★5を対象となる事業者:産業界を代表・牽引する立場の企業等(それを目指す企業等を含む)のサプライチェーンにおいて特に重要な機能・役割等を担うサプライヤー企業等
となっています。
星3以上が取れなかった場合に想定されるデメリット
信頼を失う可能性:セキュリティ対策評価制度においては、その評価に適合している事業者は公表されることとなっています。つまり、★3以上の評価が得られていないことも外部から確認できるため、取引先からの信頼を失ってしまう可能性があります。信頼を失えば、サプライチェーンから除外されてしまう可能性も出てくるでしょう。
官公庁の入札に参加できない可能性:現在、官公庁の入札においては、入札の参加の条件として事業者のISMSへの適合を求めています。将来的には、ISMSだけでなく、セキュリティ対策評価において★3以上の評価を得ていることも入札参加の条件として加えられることも充分に考えられます。この場合、★3以上の評価を得られていない事業者は、多くの商機を失うでしょう。
経営者への批判が起きる可能性:セキュリティ対策評価制度で用いるセキュリティ要求事項・評価基準には、「経営の責任」も求められています。★3以上の評価を得ていないと、経営者は批判を受けるかもしれません。
あわせて読みたい記事:
「サプライチェーン強化に向けたセキュリティ対策評価(格付け)制度」とは? 経済産業省の最新ガイドラインを基にわかりやすく解説
https://cybersecurity.gftd.co.jp/ja/blog/supply-chain-evaluation-system-summary
経産省のセキュリティ対策評価(格付け)制度はいつから開始? 2025年4月時点で決まっているスケジュールをわかりやすく解説
https://cybersecurity.gftd.co.jp/ja/blog/security-measure-evaluation-schedule
弊社へのお問い合わせは、下記の著者画像横のメールアイコンから
