SCS評価制度の政府調達への組み込みロードマップ ― いつ、どの調達区分から、★いくつが要件になるか

SCS評価制度の全体像については SCS評価制度 対策ガイド もあわせてご覧ください。

経済産業省は、SCS評価制度（サプライチェーン強化に向けたセキュリティ対策評価制度）の制度構築方針において、**「将来的に取引条件や政府調達の要件に組み込まれる方向で検討」**と明示しています。これは単なるアナウンスメントではなく、SCS制度設計の中核に「政府調達との連動」が組み込まれていることを意味します。

しかし「いつ、どの調達区分から、★いくつが要件になるのか」の解像度が低いまま、ベンダー側は不確定要素を抱えて動かざるを得ない状況です。本記事では、現時点で公表されている情報と既存制度（ISMAP、CMMC、米国FedRAMP等）の動向から推測できるロードマップを整理します。

なぜ政府調達に組み込まれるのか

政府調達がサプライチェーンセキュリティ強化の起点になる理由

各国でサプライチェーンセキュリティ制度が政府調達と連動する設計が採用されています。政府は調達権限を持つ「最大の購買者」であり、調達基準を改訂することで市場全体のセキュリティ水準を引き上げる効果が大きいためです。

• 米国：CMMC（防衛省調達）、FedRAMP（連邦政府クラウド調達）
• EU：NIS2 Directiveに基づく重要事業者要件
• 日本：ISMAP（政府クラウド調達）→ そこにSCS評価制度が加わる構図

SCS評価制度の制度設計と政府調達の関係

SCS評価制度の制度構築方針では、★4・★5を「重要なサプライチェーンに位置づけられる事業者の到達目標」と位置づけています。これは、政府機関のサプライチェーンに属する企業に対して★4・★5への到達を促す設計と整合的です。

政府調達への組み込みパターン

政府調達でSCS★が要件化される際のパターンは、ISMAP・防衛装備品調達基準・各府省庁の事例から次の4パターンが想定されます。

パターン1：入札参加資格要件化

入札参加そのものの条件としてSCS★を必須化するパターン。最も強力な要件化方式です。

• 例：「全省庁統一資格保有者かつSCS★3以上を取得していること」
• 影響：取得していないベンダーは入札に参加できない
• 想定対象：機微情報を扱う調達、重要システム調達

パターン2：総合評価方式での加点

入札参加自体は可能だが、総合評価で加点要素として評価されるパターン。

• 例：「SCS★3取得：5点／★4取得：10点」を技術評価点に加算
• 影響：取得していないベンダーは技術点で不利
• 想定対象：一般的なIT調達、運用委託

パターン3：契約条件化

落札後の契約条件として、一定期間内のSCS★取得を義務化するパターン。

• 例：「契約締結から1年以内にSCS★3を取得すること」
• 影響：契約は取れるが取得義務を果たせないと契約解除リスク
• 想定対象：制度開始直後の移行期、特定分野のパイロット案件

パターン4：契約上の特約

契約上の特約として、再委託先のセキュリティ要件などを規定するパターン。

• 例：「再委託先がSCS★3以上を取得していること」
• 影響：プライムだけでなく再委託先まで連鎖的に取得が必要に
• 想定対象：機密情報を含むサプライチェーン全体

想定されるロードマップ

以下はあくまで現時点での見通しに基づく推測です。正式な政府方針として確定したものではない点にご留意ください。

2027年（フェーズ1：制度立ち上げ期）

• SCS評価制度★3・★4の運用開始（2027年2〜3月頃）
• 一部の府省庁で試行的にSCS★取得を加点要素として活用
• ISMAP対象案件にSCS★4を任意要件として併記
• 防衛装備品調達における運用整理

2028年（フェーズ2：本格運用期）

• 政府の機微情報を扱う調達でSCS★4を必須化
• 一般的な政府IT調達でSCS★3を加点要素として標準化
• 自治体クラウド・ガバメントクラウド対応サービスでSCS★4要件化
• 先進自治体での自治体調達への組み込み開始

2029年（フェーズ3：標準化期）

• 政府IT調達のほぼ全領域でSCS★が標準要件化
• ★5の運用が本格化し、重要インフラ事業者本体への要件化が進む
• 自治体調達でも広範に要件化
• 補助金（IT導入補助金等）の加点要素としても標準化

2030年〜（フェーズ4：成熟期）

• SCS★3が中小企業の取引における事実上のスタンダードに
• ★4が中堅企業の標準水準に
• ISMAPとSCSの統合的な運用フレームへの進化検討

既存制度との関係

ISMAPとSCS評価制度の関係

ISMAPは政府情報システムのためのセキュリティ評価制度として2020年に運用開始されました。SCS評価制度との関係は次のとおりです。

項目	ISMAP	SCS評価制度
対象	クラウドサービス事業者	サプライチェーン上のすべての企業
評価	第三者監査	★3：専門家確認／★4：第三者評価＋技術検証
政府調達	必須（クラウド調達）	段階的に組み込み予定
中小企業	大手中心	中小企業も含む全般

ISMAP登録事業者は、SCS★4取得時に既存の管理策・証跡を流用できる見込みです。

防衛装備品調達基準との関係

防衛省の情報セキュリティ基準（NIST SP 800-171相当）はすでに運用中で、SCS★4・★5と一部重複します（防衛装備品調達基準 × SCS評価制度参照）。

自治体情報セキュリティクラウド

総務省の自治体情報セキュリティクラウドは、各都道府県単位で運用されている自治体向けセキュリティ基盤です。自治体クラウド事業者にはSCS★4が要件化される見込みで、関連ベンダーへの影響も大きくなります。

中小ベンダーが取るべき対応

早期取得のメリット

政府調達への組み込みが本格化する2028〜2029年を見据えて、2027年の制度開始直後にSCS★3を取得することで、次の優位性が得られます。

• 入札参加資格要件化に先んじて対応完了
• 加点要素を競合より早く獲得
• 取引先（政府・自治体）への信頼性向上
• 営業活動でのアピール材料

段階的アプローチ

リソースが限られる中小企業は、★3先行 → ★4ステップアップの段階的アプローチが現実的です。

1. 2026年中：基盤対策（MFA、MDM、バックアップ等）の実装、規程整備
2. 2027年初：SCS★3取得
3. 2027〜2028年：★4取得に向けた追加対策と模擬監査
4. 2028年：SCS★4取得（必要に応じて）
5. 以降：年次更新と継続的な改善

補助金・支援策の活用

政府調達への組み込みと並行して、中小企業向けの取得支援策が拡充される見込みです。

• サイバーセキュリティお助け隊サービス新類型（詳細）
• IT導入補助金（セキュリティ対策推進枠）
• 中小企業向け各種補助制度

政府調達情報の追い方

正式な政府調達への組み込み方針は、次の情報源で順次公表される見込みです。

• 経済産業省 SCS評価制度 関連ページ
• 内閣官房 国家サイバー統括室の公表資料
• 各府省庁の調達情報サイト
• ISMAP公式サイト

これら情報を四半期に1回程度はチェックし、調達基準の変化を追うことが重要です。

情シス365による政府調達対応支援

情シス365では、政府・自治体向け事業を行う中堅・中小ベンダー向けに次の支援を提供しています。

• 政府調達ロードマップを踏まえた取得計画策定
• ISMAPとSCS★の併用取得戦略
• セキュリティ基盤の段階的整備
• 規程・運用記録の整備
• 専門家確認・第三者評価機関対応の伴走
• 入札書類・営業資料での★活用

政府調達ベンダーのSCS対応に関する60分無料相談はこちら →

あわせて読みたい

• SCS評価制度とは？★3〜★5の評価基準と中小企業が今やるべき準備
• SCS評価制度★3・★4の評価基準比較｜セルフチェックリスト付き
• 自治体・公共調達 × SCS評価制度
• 防衛装備品調達基準 × SCS評価制度
• サイバーセキュリティお助け隊サービス 新類型