経済産業省は4月14日、「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ」を公表した。
「サプライチェーン強化に向けたセキュリティ対策評価制度」は、サプライチェーンに起因するサイバー・インシデントを背景に、企業の取引においてサイバーセキュリティ対策の担保が求められていることから、サプライチェーンを構成する各企業の対策状況を可視化する仕組みとして構築を検討しているもの。全てのサプライチェーン企業を対象にビジネス観点およびシステム観点から「★3(最低限実装すべき対策としてのシステム防御策と体制整備)」~「★5」の三つのレベルに区分することを想定している(★3は自己評価、★4、5は第三者評価)。中小企業自らが情報セキュリティ対策に取り組むことを宣言する自己評価制度「SECURITYACTION」(★1~2)などと相互補完的な制度となることを目指す。
中間取りまとめでは、制度の趣旨や目指す効果、基準の考え方などの概要を整理し、レベルごとに達成すべきセキュリティ要求事項や評価基準、制度導入促進に向けた施策などを提示した。今後は、2026年度の制度開始を目指し、実証事業などを通じた評価スキームの具体化や制度の利用促進のための施策の検討などを進めていく予定だ。
詳細は、こちらを参照。
