★3(段階3)で求められること

本ページの位置づけ

本ページは経済産業省が公表した公式資料の要約です。現在は「案」の段階であり、今後変更される可能性があります。

★3の位置付け

★3(段階3)は、SCS評価制度における基礎水準として位置付けられています。

評価スキーム

★3: 専門家確認付き自己評価

企業による自己評価に加え、専門家による確認を受けることで取得を目指します。

制度開始目標

令和8年度(2026年度)末頃を目指して制度開始が予定されています。

※「令和8年度末頃」=概ね2027年3月頃となります(年度末のため、暦年の「2026年末」とはズレがあります)

別添(案)に含まれる要求事項の例

経済産業省が公表した別添(Excel)には、★3の基礎水準として以下のような要求事項案が含まれています。

組織的対策

  • 情報セキュリティポリシーの策定
  • セキュリティ責任者の任命
  • 従業員教育の実施

技術的対策

  • 脆弱性管理(パッチ適用等)
  • アクセス制御
  • バックアップの実施

運用管理

  • インシデント対応手順の整備
  • ログの記録と監視
  • 定期的な見直しと改善

※上記は IPA 公開の要求事項・評価基準(2026 年 4 月 21 日公開)に含まれる要求事項の一部を分類したものです。正式な要求事項の詳細は、IPA 公式資料(要求事項・評価基準)をご確認ください。

よくある誤解

SCS評価制度(★)とSECURITY ACTION(一つ星/二つ星)の違い

SCS評価制度の「段階★」と、SECURITY ACTIONの「一つ星/二つ星」は別制度です。混同にご注意ください。

  • SCS評価制度: サプライチェーン全体のセキュリティ対策を評価する制度(★3・★4・★5の3段階)
  • SECURITY ACTION: 中小企業の自己宣言制度(一つ星/二つ星の2段階、IPAが運営)

格付けではない

SCS評価制度は、企業のセキュリティ対策状況を可視化し、サプライチェーン全体のセキュリティ向上を目的としています。企業の格付けや優劣を決めることが目的ではありません(経産省公式資料より)。

認証・認定との違い

SCS評価制度は、ISO27001等の認証制度とは異なる枠組みです。既存の認証を取得していても、SCS評価制度の要求事項を満たす必要があります。

取得に向けた第一歩

★3の取得を目指すにあたり、以下のステップから始めることをお勧めします。

1. 現状把握

2. SECURITY ACTIONとの関係

既にSECURITY ACTION(一つ星/二つ星)を宣言している場合、その取り組みは★3への準備として有効です。ただし、SCS評価制度は別制度のため、★3取得には専門家確認付き自己評価が必要です。

SECURITY ACTION(IPA)

3. 基礎的な対策の実施

IPAの中小企業の情報セキュリティ対策ガイドラインを参考に、基礎的な対策から順次実施していきましょう。

自社の★3取得可能性を確認する

無料診断で、現在の対策状況と★3要件とのギャップを可視化できます。

無料で診断を開始

参照一次情報

本ページの記載内容は、以下の公式資料に基づいています。詳細は出典ライブラリをご確認ください。

ご注意(2026-01-11時点)

本ページは経済産業省が公表した「制度構築方針」(2026年3月27日)および IPA が公開した SCS 評価制度サイト・要求事項/評価基準(2026年4月21日)に基づいています。

  • 要求事項 43 件・評価基準 153 件(★3 81 件・★4 72 件)
  • 制度規程・評価ガイドは 2026 年 8 月以降に詳細化される予定です
  • 本サービスの診断は公式の評価・取得手続きではありません
  • 最新情報は IPA・経産省の公式発表をご確認ください

最終更新: 2026-01-11