2026年開始「セキュリティ対策評価制度」- 中小企業が今から準備すべきこと

## はじめに 2026年10月、経済産業省による「**セキュリティ対策評価制度**」がスタートする予定です。 「うちには関係ない」と思っていませんか？実は、この制度は**取引先選定の基準**になる可能性があり、中小企業にとって見過ごせない変化です。 今回は、この新制度の概要と、今から準備すべきことを分かりやすく解説します。 ## セキュリティ対策評価制度とは ### 制度の目的 サプライチェーン全体のセキュリティを強化するため、企業のセキュリティ対策状況を「見える化」する制度です。 ### 評価の仕組み 企業のセキュリティ対策レベルを**★マーク（5段階）**で評価します。 | レベル | 対象企業 | 評価方法 | |--------|----------|----------| | ★3 | 一般的な中小企業 | 自己評価 | | ★4 | サプライチェーン上重要な企業 | 第三者評価 | | ★5 | 特に重要なインフラ関連企業 | 第三者評価 | ### 評価項目 - ガバナンス整備 - 取引先管理 - リスクの特定 - システムの防御 - 攻撃等の検知 - インシデントの対応・復旧 ## 中小企業への影響 ### 取引への影響 この制度が始まると、以下のような変化が予想されます： - 大企業が取引先に**一定レベル以上の評価**を求める - 評価が低い企業は**取引候補から除外**される可能性 - 入札や契約時に**評価レベルの提示**を求められる ### 「うちは関係ない」は危険 直接の取引先が大企業でなくても、サプライチェーンのどこかで大企業とつながっていれば影響を受けます。 ## 今から準備すべき3つのこと ### 1. 現状のセキュリティ対策を棚卸し まずは自社の現状を把握しましょう。 **チェックポイント：** - ウイルス対策ソフトは最新か？ - パスワードポリシーは設定されているか？ - バックアップは定期的に取れているか？ - 社員へのセキュリティ教育は実施しているか？ ### 2. SECURITY ACTION宣言 IPAが提供する「**SECURITY ACTION**」への宣言がおすすめです。 | 段階 | 内容 | 費用 | |------|------|------| | ★一つ星 | 情報セキュリティ5か条に取り組む | 無料 | | ★★二つ星 | 自社診断を実施し対策を公開 | 無料 | この宣言は、新制度の★3レベルへの準備にもなります。 ### 3. 不足している対策を洗い出す 自己診断の結果をもとに、足りない対策をリストアップしましょう。 **優先度の高い対策：** - 多要素認証の導入 - VPN機器のファームウェア更新 - インシデント対応手順の策定 - 従業員教育の実施 ## 「2026年まで時間がある」は間違い セキュリティ対策評価制度は、**日々の継続的な対策の積み重ね**を評価します。 制度開始直前に慌てて対策しても、すぐに高い評価は得られません。今から少しずつ準備を進めることが重要です。 ## まとめ - 2026年10月に「セキュリティ対策評価制度」がスタート予定 - 取引先選定の基準になる可能性がある - 中小企業も★3レベルの対策が求められる - 今から「SECURITY ACTION宣言」で準備を始めよう 「何から手をつけていいかわからない」という方は、お気軽にご相談ください。自社のセキュリティ状況の確認から、対策の優先順位付けまでサポートいたします。 ## 参考リンク - [経産省「セキュリティ対策評価制度」解説（RICOH）](https://www.ricoh.co.jp/magazines/smb/column/007031/) - [IPA SECURITY ACTION](https://www.ipa.go.jp/security/security-action/)