EC事業者にも広がるセキュリティ評価制度 SCS対応で何が変わるのか【キャッシュレス・セキュリティレポート座談会 第3回 】
経済産業省と内閣官房国家サイバー統括室は企業のセキュリティ対策を共通基準で可視化し、サプライチェーン全体の安全性向上を目指す「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(SCS評価制度の構築方針)」の導入を進めています。
株式会社リンクの滝村享嗣氏、YSコンサルティング株式会社の瀬田陽介氏、かっこ株式会社の小野瀬まい氏の3人が、ECサイトのセキュリティについて考える本シリーズ。最終回となる今回は、2026年度末の開始が見込まれているSCS(Supply Chain Security)評価制度のポイントと、今後EC事業者に必要な備えについて語ります。(全3回)
●過去コラムはこちら!
【第1回】クレジットカード情報流出は減少傾向、それでも警戒すべき「オンラインスキミング」の脅威
【第2回】不正利用被害は減少局面へ EMV 3-Dセキュア普及後の課題とは
SCS評価制度で取引先対応はどう変わる
株式会社リンク 滝村享嗣氏(以下、滝村) 2026年3月に、経済産業省と内閣官房国家サイバー統括室が提唱しているサプライチェーン強化に向けた取り組み「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(SCS評価制度の構築方針)」が公表されました。2026年度末頃の制度開始を目指しているということですが、まず、この方針とはどういうものなのか教えてください。
かっこ株式会社 小野瀬まい氏(以下、小野瀬) 企業のセキュリティ対策状況を共通基準で可視化・評価することで、サプライチェーン全体のセキュリティ水準の底上げと、取引先による評価負荷軽減を目的としています。評価は★とその数で表現することになりますが、★3は自社の判断で、★4は第三者機関の評価によって決まります。
滝村 評価制度が始まるとEC事業者にはどのような影響があるのでしょうか。
小野瀬 EC事業者はいろいろな会社と取引をする際に、これまでは自社で作っている独自のセキュリティチェックシートにセキュリティの状況を記入してもらい、その内容を元にサプライヤーなどと取引できるかどうかを判断してきました。
EC事業者からするとサプライヤーから届くセキュリティチェックシートをすべて確認しなければならないし、サプライヤー側もEC事業者ごとに異なるセキュリティチェックシートに合わせて、対応しなければなりません。これまでは両者に大きな負担がかかっていました。弊社も取引先のEC事業者からセキュリティチェックシートの提出を求められますが、その数は膨大です。
評価制度ができると、自分たちは★3です、★4ですという評価を伝えれば、それでセキュリティへの対応が確認できるので、両者の負担を大幅に減らすことができます。
また、統一的な基準があることで、自社のセキュリティ対策を可視化して社外に知らせることができるというメリットもあります。
(写真左から)YSコンサルティング株式会社 代表取締役/コンサルタント 瀬田陽介氏、かっこ株式会社 O-PLUX事業部 事業部長 小野瀬まい氏、株式会社リンク 執行役員 セキュリティプラットフォーム事業部 事業部長 滝村享嗣氏
YSコンサルティング株式会社 瀬田陽介氏(以下、瀬田) これまでも経済産業省は、情報セキュリティの評価制度を作ろうと何度もチャレンジしています。ところが、企業側が導入に消極的であまり普及していない状況があります。しかし、今回はサプライチェーンの大元である企業が導入に前向きになっているので、本格的に進んでいくのではないかと思っています。
というのも、いくら大企業がサイバーセキュリティにしっかりとお金をかけて対策をしていても、取引先などサプライチェーンの一部のセキュリティが脆弱だと、そこから侵入されてしまうことがあります。
実際に日本国内の自動車メーカーで、系列会社が外部企業との通信に使用していたネットワーク機器から侵入され、生産を停止しなければならないという事案も起こっています。こういった被害を防ぐためにも、基準や評価制度が必要というのは、大企業であればあるほど感じているのではないでしょうか。
2026年度末から開始されることになっていますが、本格的に制度がスタートすれば、取引先から評価基準の提出を要請されることになると思われます。EC事業者のサプライヤーも、要請されることもあると想定されるので、しっかりと準備をしておいた方がいいでしょう。B to BのEC市場も今は大きくなっていますので、EC事業者も同じく評価基準の提出が必要になると考えています。
滝村 本制度の具体的な要求事項と評価項目が公表されましたが、どのような印象をお持ちですか?
小野瀬 要求項目数だけを見るとISMS(※)と近い感じですね。
※Information Security Management System(情報セキュリティマネジメントシステム)の略。企業が情報の「機密性・完全性・可用性」を維持・管理し、リスクを適切にコントロールするための包括的な仕組み。第三者機関による審査を経てISO27001(ISMS)認証を取得できる
瀬田 ISMSもプライバシーマークも書かれている内容が抽象的です。その理由は業種、規模を問わずに全ての企業に同じ基準を適用させるとなると、抽象的に書かざるを得ないからです。経済産業省としてもあまり抽象的な基準にしてしまうと、曖昧な解釈をされてしまう恐れがあることは理解しているはずです。当初の予定よりもスタートが遅れているのも、なるべく実効的な制度設計になるようにしているのではないかと思います。今回の評価制度は、中堅中小を含む国内企業のサイバーセキュリティを一定の水準に引き上げるきっかけになるのではないかと、期待しています。
制度開始を前にEC事業者が進めるべき備え
滝村 今回「キャッシュレス・セキュリティレポート」から2025年全体の振り返り、2026年度末開始が予定されているセキュリティ対策評価制度までいろいろなお話を伺いましたが、最後にECのミカタを読んでいるEC事業者のみなさんにメッセージをお願いします。
瀬田 ECのミカタを読んでいる方はECの現場の方が多いはずです。現場の方とお話ししていると、「セキュリティ対策の必要性は分かっているけれど、経営層の理解がなかなか得られない」といった悩みをよく聞きますね。現場の方から経営層に伝えていただきたいのは、セキュリティ対策には「これを一つだけやれば大丈夫です」という特効薬みたいなものはありませんということです。
いろいろな対策を重層的に積み重ねて取り組むことで、初めてサイバー攻撃に耐性がある状況にできると考えます。当然、コストも手間もかかります。しかも売上向上には寄与しないことが多いですから、経営層からするとセキュリティ対策がどうしても後手になってしまうという現状があると思います。
しかし実際問題として、企業の規模は関係なくサイバー攻撃による被害は増えており、それが原因で廃業に追い込まれた企業もあります。2026年度末からスタートするセキュリティ評価制度に備えるためにも、そして何より、企業としてのリスクを減らすためにも、しっかりとセキュリティ対策を進めることが期待されます。
小野瀬 セキュリティというと、どうしても守りのイメージが強く、後回しにされがちです。しかし、ここ数年は攻めのセキュリティ対策という考え方も出てきており、売上増加につながるという視点も生まれています。
せっかく集客したお客様を、決済エラーなどで逃してしまうのはもったいないですよね。決済承認率は下がっていないか、カゴ落ちは増えていないか。ここをチェックして決済環境を整えることが、売上アップへの近道です。だからこそ、複数のツールや手法を組み合わせた重層的な不正対策を実施し、怪しいアクセスを入り口で弾きつつ、優良なユーザーにはスムーズに購入してもらう。そんな『守りと攻め』の両立が事業の健全な成長につながることを意識して対策に取り組んでいっていただけたらと思います。
滝村 ありがとうございます。私も本日、お話を聞いて、不正利用や情報流出を防ぐためには、その入り口であるEC事業者さんの役割がすごく大きいと改めて感じました。
EC事業者からすると、あれもこれもやらなければと、構えてしまう気持ちも分かります。やらなければいけないことを一つひとつ冷静に考えてみると、そんな大きな費用をかけなくてもできることもありますし、難易度も全てが高いわけではありません。まずはできる範囲から、ぜひ対応を進めていってもらいたいです。今回の座談会がその参考になればうれしいです。
(写真左から)YSコンサルティング株式会社 瀬田陽介氏、かっこ株式会社 小野瀬まい氏、株式会社リンク 滝村享嗣氏


