新規事業戦略策定ご支援プログラム
新しいセキュリティ評価制度と、
経営としての向き合い方
1. この制度、どう受け止めればよいのか
新しいセキュリティ評価制度について、
「何をどこまでやればよいのか分からない」と感じている経営者は少なくありません。
制度の資料を見ると、★評価や多くの対策項目が並び、
-
すべてに対応しないといけないのではないか
-
対応していないと取引に影響が出るのではないか
といった不安を抱きやすい構成になっています。
今後、評価結果や★水準が取引条件の一部として扱われる場面は、確実に増えていくと考えられます。
一方で、制度をよく理解しないまま対策を積み上げると、自社の事業や体力に合わない投資につながるおそれもあります。
このページでは、制度そのものの細かい説明ではなく、
経営としてどう向き合い、どのように備えを考えるかという視点で整理していきます。
2. 制度は、すべての企業に同じ水準を求めているわけではありません
評価制度についてまず押さえておきたいのは、
「すべての企業に一律の対策水準を求める仕組みではない」という点です。
制度の前提には、企業の規模・役割・取引内容によって
求められる備えの水準が異なる、という考え方があります。
すべての企業が同じリスクを抱えているわけではなく、
重要インフラや広範なサプライチェーンを担う企業と、
限定された範囲の業務を担う企業とでは、求められる水準が違います。
そのため、この制度は
-
「どこまで対応しているか」を順位づけする
のではなく、 -
自社がどの水準を前提に事業を行っているのか
-
を共有するための枠組みとして設計されています。
評価制度を落ち着いて検討するためには、
最初から「最上位の★を取らなければならない」と考えないことが出発点になります。
制度で用いるセキュリティ要求事項・評価基準 ― まとめ
出典:サプライチェーン強化に向けたセキュリティ対策評価制度 構築に向けた中間取りまとめ
3. まず整理しておきたい「どの★水準を目指すのか」
そのうえで、経営として整理したいのが、
> 「自社はどの★水準を目標とするのか」
という点です。
評価制度と聞くと、
-
高い★を取らなければ不利になる
-
最上位の★を目指すべきだ
と考えがちです。
しかし、ここで問われているのは
「どれだけ高い★を取れるか」よりも、
-
自社の立場や役割に照らしてどの水準を前提とするのが現実的か
という判断です。
将来的に特定の★水準が取引条件に影響する可能性はありますが、
どの企業にも一律で「常に最上位の★」が求められるわけではありません。
自社の事業内容や取引関係を踏まえ、
-
どの★水準を現実的な目標とするのか
-
なぜその水準なのか
を整理し、説明できる状態にしておくことが重要です。
この「目標★の仮決め」ができているかどうかで、その後の投資の重さが大きく変わってきます。
サプライヤー企業への適用の考え方
出典:サプライチェーン強化に向けたセキュリティ対策評価制度 構築に向けた中間取りまとめ
4. ★評価は、取引や営業の場でどう使われるのか
サプライチェーン上で重要な役割を担いながら、
セキュリティ体制が十分とは言えない企業が多い、という課題があります。
発注側ではすでに、
> 「問題が起きてから確認する」のでは遅い
という認識が広がっており、
今後は取引開始前や継続判断の場面で、★評価やそれに相当する水準の提示を求められるケースが増えていくと考えられます。
こうした状況では、★評価は単なる参考情報というより、
取引候補をふるいにかけるための“入口条件”として使われる場面が多くなると想定されます。
発注側には、すべての取引先のセキュリティ対策を細かく調査する権限や時間はありません。
そのため、第三者評価や自己評価の結果として示される★3〜★5を手がかりに、
一定水準を満たしているかどうかを形式的に判断したい、というニーズがあります。
実務上はたとえば、
-
「この区分の取引先には★3以上を求める」
-
「重要なシステムを委託する先には★4以上を前提とする」
といった形で、★評価が条件として使われる場面が増えていくと考えられます。
一方で、この制度は、★の裏側に
一定の体制・運用・技術的対策が備わっていることを前提として設計されています。
★を取得する際には、自己評価や第三者評価のプロセスを通じて、
最低限のチェックを受けることになります。
受注側の企業としては、
-
「求められた★水準を形式的に満たしていること」を対外的に示しつつ、
-
自社の事業や役割に照らして、その★水準が過大・過小になっていないか
を内部的に確認しておくことが大切です。
★の数だけで取引の可否が判断される場面は今後増えていくと考えられますが、
だからこそ、自社にとって妥当な★水準を選び、その取得に向けた道筋を無理なく描くことが、
現実的な備え方になります。
再委託先への適用の考え方
出典:サプライチェーン強化に向けたセキュリティ対策評価制度 構築に向けた中間取りまとめ
5. なぜセキュリティ投資は、必要以上に大きくなりやすいのか
評価制度が取引の前提になり始めると、
多くの企業で「発注を止められるくらいなら、やりすぎたほうがよい」という発想が生まれます。
この判断は一見合理的ですが、
投資の優先順位を見失う原因にもなります。
評価制度の要件は本来「整理のための一覧」に過ぎませんが、
現場では、すべてを同じ重みで捉え、
一度に埋めようとしてしまうことが少なくありません。
さらに、制度の説明と製品提案が結びつくことで、
-
「この基準にはこの製品が必要です」
という話に押し流され、
運用の工夫や段階的な対応を検討する余地が失われがちです。
その結果、コストだけが膨らみ、
運用や説明が追いつかない状態に陥る。
これが、多くの企業で起きている典型的な失敗パターンです。
6. 過剰な投資を避けるために、経営として持つべき判断軸
過剰な投資を避けるために重要なのは、
対策の量ではなく、経営としての判断軸です。
評価制度に向き合う際、最低限押さえておきたいのは、次のような視点です。
-
自社はサプライチェーンの中で、どの立場にあるのか
-
どの★水準を前提としている(または目指す)企業なのか
-
その水準について、取引先に説明できるか
この整理ができていれば、評価制度の項目を見たときにも、
-
今すぐ対応すべきこと
-
段階的に整えていくこと
を冷静に切り分けることができます。
経営として目指したいのは、
「一番多く対策している会社」ではなく、
> 自社の立場と判断を、矛盾なく説明できる会社
です。
7. 私たちがお手伝いできること
ここまでお読みいただき、
> 「考え方は理解できたが、自社の場合はどう整理すればよいのか」
と感じている方もいらっしゃるかもしれません。
評価制度への向き合い方は、企業ごとに前提条件が大きく異なります。
一般論だけでは判断しきれず、
結局、自社の状況に引き直して考え直す必要が出てきます。
私たちは、特定の製品やサービスの導入を前提とせず、
経営の視点で状況を整理するところからお手伝いしています。
たとえば、
-
サプライチェーンの中での自社の立ち位置の整理
-
どの★水準を前提として考えるのが現実的かの検討
-
取引先に対して、どのように説明するのが適切かの整理
といった点について、
経営判断の土台を一緒に整えていきます。
「今すぐ大きな投資をするかどうか」ではなく、
**何を優先し、何を急がなくてよいのか**を見極めることが、
結果として無理のない対応につながると考えています。
評価制度や★評価について、判断に迷う点や整理が必要だと感じられた場合には、
まずは状況を共有いただくところからでも構いません。
経営としての考えを整理するための“壁打ち相手”として、
お役に立てればと考えています。
無料相談受付中
下記フォームからお問い合わせください