PwC Japanグループは9月18日、「サプライチェーン対策評価制度」に先立ち、企業の制度対応を支援するためのクイック・アセスメント(簡易評価サービス)の提供を開始すると発表した。
<「サプライチェーン対策評価制度」概要>
「サプライチェーン対策評価制度」とは、サプライチェーン企業(受注企業)のサイバーセキュリティ対策レベルを評価するために経済産業省が2026年度中に開始する予定の「サプライチェーン強化に向けたセキュリティ対策評価制度」のこと。
サプライチェーン対策評価制度はPCやサーバー、ネットワーク機器、クラウドサービスといったIT基盤を対象に、段階的な対策レベルを設定し、各レベルで求められるサイバーセキュリティ対策を明確化する。具体的には、一般的なサイバー脅威に対処できる★3Basicと、 サプライチェーンに大きな影響をもたらす企業への攻撃などに対処できる★4Standardの2つの段階についてセキュリティ対策の内容や評価基準の案が示されており、2026年度中に運用が開始される見通しだ。
<クイック・アセスメントのサービス概要>
PwC Japanが提供を開始するクイック・アセスメントでは、経済産業省が公開している★3Basicと★4Standardの評価基準案などをもとに受注企業のサイバーセキュリティ対策とのギャップの有無を分析し、社内規定などの整備やIT基盤の設定の変更などについて一般的な改善案を企業に示す。これによりサプライチェーン対策評価制度の認証取得を目指す企業は、制度の開始前から自社の対応状況を客観的に評価し、必要なサイバーセキュリティ対策を早期から準備できる。対策をピンポイントに絞ることができ、コスト削減にもつながる。
さらに、クイック・アセスメントを利用した企業を対象に、サプライチェーン対策評価制度の運用開始後も制度で求められる水準とのギャップを常に確認して認証取得を支援する。また、制度の改定や企業の事業環境の変化に応じてIT基盤のシステム設定の変更といった対策を提案するサービスの提供を予定している。
サプライチェーン対策評価制度では、発注企業が取引契約などを通じ、業界の特性や想定されるリスクなどに応じて受注企業に適切な段階のサイバーセキュリティ対策を促すことが予想される。受注企業はサプライチェーン対策評価制度の認証を取得することで、取引先との信頼関係を構築しビジネス機会を拡大できるといった効果が期待される。
なお、近年サプライチェーンを担う企業がサイバー攻撃の標的になるケースが増え、企業のサイバーセキュリティ対策の整備が求められている。発注企業が外部から各企業の対策状況を判断するのが難しいことや、受注企業が各取引先から異なる対策の水準を要求されることが課題として指摘されている。そのため、経済産業省は、受注企業を対象にサイバーセキュリティ対策のレベルを可視化し、強化するためにサプライチェーン対策評価制度の導入に向けた検討を進めてきたもの。
日本包装機械工業会/包装とDXなど「JAPAN PACK 2025」の意義と魅力を発信
