SCS評価制度★3 申請プロセスと自己宣言書の書き方 ― 提出先・所要日数・公表される情報まで
SCS評価制度の全体像については SCS評価制度 対策ガイド もあわせてご覧ください。
「★3の対策はだいたい揃った。あとは申請するだけ」――そう思ったときに突き当たるのが、実際の申請プロセスの解像度の低さです。SCS評価制度(サプライチェーン強化に向けたセキュリティ対策評価制度)の★3は、ISMSのような認証機関の審査ではなく、自己宣言+専門家確認+事務局への登録というハイブリッドな仕組みになります。
本記事では、2026年3月公表の制度構築方針をもとに、★3申請の実務フローを整理します。詳細書式は2026年秋公表予定の評価ガイドで確定する見込みですが、現時点で見えている枠組みは申請準備の組み立てに十分活用できます。
★3申請プロセスの全体像
4つのステップ
★3の申請は次の4ステップで構成される見込みです。
- 自己評価:評価シート(26項目/評価基準83項目)への適合状況を記入
- 専門家確認:社内外のセキュリティ専門家がレビューし、署名
- 経営層による適合宣言:経営者の署名で自己宣言書を確定
- 事務局への登録申請:自己宣言書と評価シートを事務局に提出、登録・公表
ISMSのような数か月の現地審査はないため、書類整備が完了していれば申請から登録まで1〜2か月程度を見込むのが現実的です。
自己宣言書の項目構成
自己宣言書の標準項目(想定)
★3の自己宣言書には次の情報が記載される見込みです。
- 事業者情報:法人名、本社所在地、事業内容、従業員数、売上高
- 対象範囲:宣言の対象となる事業所・事業部・拠点
- 適合宣言:26項目すべてに適合していることの宣言
- 経営者の署名:代表取締役または相当の経営層の署名
- 専門家署名:レビューした専門家の氏名、保有資格、署名日
- 有効期間:宣言日と次回更新予定日(1年後)
「対象範囲」の設計が重要
自己宣言書の対象範囲は、会社全体とするか特定事業所のみとするかで大きな選択になります。
- 会社全体を対象とする:取引先への対外的な説得力が高い/全社的な対策が必要で工数が大きい
- 特定事業所・事業部のみを対象とする:早期に取得できる/対外的に「全社対応」と誤解されないよう範囲明示が必要
中小企業の多くは「会社全体」で取得しますが、グループ会社や複数拠点を持つ企業は事業所単位での宣言を検討します。範囲の決定は専門家確認の前に確定させ、評価シート全体に反映します。
評価シートと自己宣言書の紐づけ
評価シートに記入する内容
評価シートには、26項目の各要求事項について次の3情報を記入します。
- 適合状況:適合/一部適合/不適合
- 対策の実施状況:何をどのように実施しているか(簡潔な記述)
- 証跡の参照:対策を裏付けるドキュメント名・記録名(例「情報セキュリティ規程 v2.3」「2026年4月パッチ適用記録」)
「適合」と書くだけでは専門家確認で差し戻されます。証跡が紐づいていることが必須です。
よくある記入ミス
- 証跡が抽象的:「適切に実施」とだけ書かれている → 具体的な文書名・日付を書く
- 対策と証跡の不整合:規程上は「四半期ごと」だが、証跡は半年に1回 → 実態に合わせて規程を改訂してから記入
- 既存ISMS文書をそのまま流用:ISMSの記載をコピーして「ISMS文書参照」とだけ書く → SCSの要求事項にどう対応するかをマッピングして記述
- 担当者の記入で経営者が把握していない:適合宣言は経営者の責任で行うため、内容を経営者がレビューできる形にまとめる
専門家確認・署名の実装
専門家確認のフロー
専門家確認は形式的な署名ではなく、評価シートの各項目について実態の裏付けを確認するレビューです。一般的な流れは次のとおりです。
- キックオフミーティング:評価対象範囲、自社の特徴、過去のインシデント等の共有(1〜2時間)
- 書類レビュー:評価シートと証跡文書の突き合わせ(数日〜2週間)
- インタビュー・現場確認:気になった項目について情シス担当者・経営層へヒアリング(半日〜1日)
- 指摘事項の整理と是正:不備があれば是正、再レビュー
- 署名:問題なければ専門家署名
外部に依頼する場合の費用感はレビューのみで50〜100万円、対策実装まで含めると50〜500万円規模です(専門家要件と確保の方法参照)。
専門家確認で多い差し戻しパターン
- バックアップは取得しているが復元テストの記録がない
- パッチ適用ルールはあるが運用記録が断片的
- 退職者アカウント無効化の手続きがあるが、直近事例の証跡が出てこない
- 委託先リストはあるが、年次更新の記録がない
差し戻し対応の所要は2週間〜1か月程度を見込んでおきます。
事務局への提出と登録
提出書類
事務局への提出時に必要な書類は次のとおりです(想定)。
- 自己宣言書(経営者署名済み、専門家署名済み)
- 評価シート(記入済み)
- 事業者情報の登録票
- 必要に応じて事業者の登記情報・組織図
提出方法と所要日数
提出方法はオンライン(事務局Webシステム)が中心となる見込みです。提出から登録までの審査は形式確認が中心となり、想定所要日数は2〜4週間程度です。
不備があった場合は事務局から照会があり、是正後に再提出となります。専門家確認をしっかり済ませていれば、事務局段階での差し戻しは少ない想定です。
登録番号と利用方法
登録が完了すると、★3取得事業者として制度のWebサイトに公表され、登録番号が付与される見込みです。中小企業はこの登録番号や★3ロゴを次のように活用できます。
- 取引先へのセキュリティ対策状況の説明資料に記載
- 自社Webサイトへの掲載(「SCS評価制度★3 登録番号XXXX」)
- 営業提案書・名刺へのロゴ掲載
- 補助金申請の加点要素
公表される情報の範囲
★3取得事業者として公表される情報は次の範囲が想定されます。
- 法人名、本社所在地、事業内容
- 対象範囲(会社全体/特定事業所等)
- 取得日、有効期限
- 専門家の氏名・保有資格
評価シートの詳細記入内容は公表されない想定です。ただし、取引先からの個別問い合わせに対しては、必要範囲で開示する運用が一般的になるでしょう。
登録抹消・取り下げの条件
★3の登録抹消・取り下げは次のケースで発生します(想定)。
- 更新を行わなかった場合:1年の有効期間経過後、更新申請がないと自動的に登録が取り消される
- 重大なインシデントの発生と隠蔽:重大インシデント発生時の通知義務違反など
- 自己宣言の虚偽が発覚した場合:実態と乖離した記載が後から判明
- 事業者からの自主取り下げ:事業形態の変更等で対象外となった場合
登録抹消は対外的な信用に関わるため、年次の自己評価・更新を着実に回す運用設計が重要です。
申請から登録までのモデルスケジュール
| 月 | アクション |
|---|---|
| M-3 | 評価シート記入を開始、証跡の整理 |
| M-2 | 専門家へのレビュー依頼、書類レビュー |
| M-2〜M-1 | 指摘事項の是正、再レビュー |
| M-1 | 経営者の最終確認、自己宣言書の署名 |
| M | 事務局への申請 |
| M〜M+1 | 事務局による形式確認 |
| M+1 | 登録完了・公表 |
合計3か月程度。対策実装・規程整備が完了している前提でのスケジュールです。
情シス365の申請支援
情シス365では、★3申請の最終段階を次の形で支援しています。
- 評価シート記入のレビューと記述ブラッシュアップ
- 証跡の整理・不足分の補強
- セキュリティ専門家による確認・署名(情シス365内の有資格者が担当)
- 経営層向けのレビュー資料作成
- 事務局申請手続きの代行・サポート
- 取引先への対外説明資料の作成