1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. 情報セキュリティ
  4. 「セキュリティ対策評価制度(SCS評価)を取らないと入札除外」は誤り-経済産業省が不適切な営業活動に注意喚起

「セキュリティ対策評価制度(SCS評価)を取らないと入札除外」は誤り-経済産業省が不適切な営業活動に注意喚起

セキュリティニュース

投稿日時: 更新日時:

「セキュリティ対策評価制度(SCS評価)を取らないと入札除外」は誤り-経済産業省が不適切な営業活動に注意喚起

2026年4月27日、経済産業省商務情報政策局サイバーセキュリティ課および内閣官房国家サイバー統括室は、現在構築中の「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」を引き合いに出した不適切な営業活動が報告されているとして注意喚起を発出しました。

「評価を取得していないと商取引が規制される」「今すぐ評価を取得しないと入札から除外される」といった文言による製品・サービスの勧誘が確認されていますが、いずれも本制度の趣旨とは異なる虚偽の説明です。

【関連記事】セキュリティ対策評価制度(SCS評価制度)とは?概要と求められることを解説

この記事のサマリー

  • 経済産業省・内閣官房が2026年4月27日付でSCS評価制度に関する不適切な営業活動への注意喚起を発出しました。
  • 「未取得だと商取引が規制される」「入札から除外される」はいずれも誤りです。SCS評価制度は企業間取引に規制措置を設けるものではなく、任意の制度です。
  • 特定のセキュリティ対策製品の導入が必須とされているものではありません。評価基準を達成する手段は複数あります。
  • 制度の正確な情報はIPA(独立行政法人情報処理推進機構)の公式サイトから入手することが推奨されています。
  • SCS評価制度の制度開始(★3・★4の申請受付)は2026年度末頃(2027年3月頃)の予定であり、現時点では申請自体ができない状態です。
  • 評価ガイド等の詳細ドキュメントは2026年秋頃を目途に公表予定です。

不適切な勧誘の具体的な内容と経産省の見解

経産省が報告を受けた不適切な営業文言と、それに対する正式な見解を整理します。

不適切な勧誘文言 経産省の正式見解
「評価を取得していないと商取引が規制される」 誤り。本制度は取引契約における規制措置を設けるものではない
「今すぐ評価を取得しないと入札から除外される」 誤り。本制度は任意の制度であり、強制的な入札要件ではない
「この製品を導入しないとSCS評価を取れない」(推定される勧誘) 誤り。特定のセキュリティ対策製品の導入が必須とされているものではない

制度開始はまだ2026年度末頃の予定であり、現時点では正式な申請受付自体が開始されていません。にもかかわらず「今すぐ取得が必要」と急かす営業活動は、制度開始前の混乱期を狙った不適切な行為といえます。

SCS評価制度とは—基本的な概要

SCS評価制度は、近年頻発するサプライチェーン経由のサイバー攻撃への対応として、経済産業省・内閣官房国家サイバー統括室が監督し、IPA(独立行政法人情報処理推進機構)が運営する任意の評価制度です。2026年3月27日に制度構築方針が公表されました。

制度の目的は、サプライチェーンを構成する企業それぞれの立場・リスクに応じた適切なセキュリティ対策を「可視化」することです。具体的には、委託元が委託先に対して求めるべきセキュリティ対策の段階(★)を提示し、委託先がその実施状況を示せるようにするという2社間での活用を想定しています。

これにより委託元企業は取引先のセキュリティ対策状況を客観的に把握しやすくなり、委託先企業(特に中小企業)は複数の委託元からバラバラな要求を受ける負担が軽減されることが期待されています。

【関連記事】セキュリティ対策評価制度(SCS評価制度)とは?概要と求められることを解説

★の段階別の概要

SCS評価制度では、セキュリティ対策の水準を★(星)の数で表します。

段階 位置づけ 評価方法 開始時期
★1・★2 IPAの既存制度「SECURITY ACTION」(自己宣言)が対応 自己宣言 運用中
★3 中小企業等を中心とした基礎的レベル。一般的なサイバー脅威への対応水準 自己評価(情報処理安全確保支援士等の専門家確認) 2026年度末頃
★4 サプライチェーン企業が標準的に目指すべきセキュリティ対策水準(157項目)。有効期限3年 第三者評価機関による審査・技術検証 2026年度末頃
★5 到達点として目指すべき高度な対策。ベストプラクティスに基づく実施を想定 未確定(2026年度以降に検討) 2027年度以降(予定)

現在IPAが運用している「SECURITY ACTION」の★1・★2はすでに申請可能です。本制度の新設部分である★3・★4の正式な申請受付は2026年度末頃の開始が目標とされており、申請に必要な評価ガイド等は2026年秋頃公表予定です。

対象範囲の注意点

本制度の対象はサプライチェーンを構成する企業のIT基盤(クラウド環境も含む)です。製造環境等の制御(OT)システムや委託元へ提供する製品等は直接の対象外となっており、これらについては別途の制度・ガイドライン等を参照することが想定されています。

情シス・セキュリティ担当者へのポイント

本件で情シス・セキュリティ担当者が特に注意すべき点は以下の2点です。

正式情報はIPAから取得すること。SCS評価制度に関する詳細情報・最新のスケジュール・要求事項はすべてIPAの公式サイト(https://www.ipa.go.jp/security/scs/index.html)から入手してください。第三者の説明や営業トークと内容が異なる場合は、必ずIPAの公式情報を優先してください。

制度の現在地を正確に把握すること。2026年4月時点では制度構築の途中段階であり、評価ガイドは未公表・申請受付は未開始の状態です。「今すぐ対応が必要」という主張はほぼ根拠がなく、急かされる形での製品・サービス契約には冷静に対処してください。一方で、★3・★4の要求事項・評価基準の骨子は公表されており、取引先からの要求に備えて現状のセキュリティ対策の棚卸し・ギャップ分析を始めることは有意義です。

よくある質問(FAQ)

Q. 「SCS評価を取らないと取引ができなくなる」という説明は本当ですか? いいえ。SCS評価制度は任意の制度であり、個社間の商取引に規制措置を設けるものではありません。経済産業省が正式に「上記のような営業活動は、本制度の趣旨・目的とは異なる」と注意喚起しています。

Q. 特定のセキュリティ製品を導入しないとSCS評価が取れないのですか? いいえ。経済産業省は「本制度の評価基準を達成するにあたっては、特定のセキュリティ対策製品の導入が必須とされているものではない」と明示しています。要求事項・評価基準を満たす実装例は複数あり、具体的な評価ガイドは2026年秋頃に公表される予定です。

Q. 今すぐSCS評価を取得できますか? ★3・★4については2026年度末頃(2027年3月頃)の制度開始予定であり、現時点では申請できません。すでに運用中のIPAの「SECURITY ACTION」★1・★2への対応は可能です。

Q. 制度の正式な情報をどこで確認すればいいですか? IPA(独立行政法人情報処理推進機構)の公式サイト(https://www.ipa.go.jp/security/scs/)が一次情報窓口です。経済産業省のページからも同サイトへ誘導されており、制度に関するFAQも公開されています。

参考情報

関連記事

セキュリティ対策評価制度とは?概要と求められる事を解説セキュリティ対策評価制度(SCS評価)とは?概要と求められる事を解説 WindowsのTCP/IP IPv6を使用する全てのシステムに影響を与える緊急度の高い 脆弱性(CVE-2024-38063)WindowsのTCP/IP IPv6を使用する全てのシステムに影響を与える緊急度の高い 脆弱性(CVE-2024-38063) セキュリティ対策評価制度(SCS評価制度)★3(Basic)とはセキュリティ対策評価制度(SCS評価制度)★3(Basic)とは フーシ派参戦でイラン紛争が拡大|紅海・ホルムズ海峡封鎖と日本の原油への影響フーシ派 参戦でイラン紛争が拡大-紅海・ホルムズ海峡封鎖と日本の原油への影響 株式会社イセトーがランサムウェア感染と被害を発表イセトーのランサムウェアとサイバー攻撃による情報漏洩のまとめ サイバーセキュリティお助け隊サービス(新類型)とはサイバーセキュリティお助け隊サービス(新類型)とは いえらぶCLOUDへの不正アクセスによるサイバー攻撃 被害 企業や概要まとめ【2026年最新】いえらぶCLOUDへの不正アクセスによるサイバー攻撃 被害 企業や概要まとめ【2026年5月29日時点】 中小企業の情報セキュリティ対策ガイドライン 第4.0版とは中小企業の情報セキュリティ対策ガイドライン 第4.0版とは Default ThumbnailWelcomeHRを運営するワークスタイルテックが約15万人の個人情報漏洩を発表