SCS評価制度★3 取得後の維持・年次更新・改定対応ガイド ― よくある差し戻しパターンと事前回避策【2026年版】
SCS評価制度(サプライチェーン強化に向けたセキュリティ対策評価制度)の★3を取得することがゴールに見えがちですが、実際には取得後の維持運用こそが本番です。
評価ガイドの改定、年次の記述更新、組織変更、インシデント発生、委託先構成の変化――こうした事象が起きるたびに、「自己宣言書を更新するべきか」「登録抹消されないか」という判断が発生します。
本記事では、★3取得後の中小企業が直面する維持・更新・改定対応の実務と、よくある差し戻し・登録抹消パターン、事前回避策を整理します。なお、SCS評価制度の全体像はSCS評価制度 対策ガイド、★3取得そのものの流れはSCS評価制度の準備ガイドを参照してください。
SCS★3 取得後に発生する5種類の更新トリガー
★3取得後、自己宣言書の更新・再提出が必要になる代表的なトリガーは以下の5つです。
| トリガー | 頻度 | 影響度 |
|---|---|---|
| 評価ガイドの改定 | 年1〜2回想定 | 高(全社的な見直し) |
| 自社の重要な変更 | 不定期 | 中〜高(該当項目の更新) |
| 重大インシデント発生 | 不定期 | 高(緊急対応) |
| 専門家署名の有効性変更 | 不定期 | 中 |
| 自主的な記述更新 | 任意 | 低(自社判断) |
それぞれ、求められる対応と期限が異なります。
トリガー1|評価ガイドの改定対応
経済産業省・IPAが公表するSCS評価ガイドは、技術動向・脅威動向・法令改正に応じて改定されます。初版以降、年1〜2回の改定が想定されています。
改定の典型パターン
- 評価基準の追加・厳格化(例:MFA要件の必須化、EDR要件の追加)
- 用語定義の明確化(例:「重要委託先」の範囲拡大)
- 評価項目の細分化または統合
- 業種別ガイドラインとのマッピング更新
改定への対応ステップ
- 改定告知の入手:事務局からの通知、IPAサイト、業界団体ニュースを定期確認
- ギャップ分析:旧ガイドと新ガイドの差分を整理、自社の現状とのギャップを洗い出し
- 猶予期間の確認:通常6〜12ヶ月の猶予期間が設定される
- 追加対策の実装:技術対策・文書化・運用変更
- 自己宣言書の更新:改定後ガイドに基づく再評価・専門家署名・再提出
改定対応のスケジュール例
仮にガイドが2027年3月に改定され、移行猶予が6ヶ月の場合:
2027/03 改定公表
2027/04 社内検討、ギャップ分析(2週間)
2027/05 追加対策の計画策定、予算化
2027/06-08 追加対策の実装
2027/09 自己宣言書更新、専門家確認
2027/10 再提出(猶予期限内)改定告知から3ヶ月以内に対策方針を確定するスピード感が必要です。
トリガー2|自社の重要な変更による更新
「自社の重要な変更」とは、自己宣言書の記述内容に直接影響する変更を指します。SCS評価制度では、こうした変更があった場合遅滞なく自己宣言書を更新することが求められます。
更新が必要な「重要な変更」の例
| カテゴリ | 具体例 |
|---|---|
| 組織変更 | 代表者交代、本店移転、組織再編、合併・分割、子会社の追加・廃止 |
| IT環境変更 | IT責任者の変更、利用クラウドサービスの大幅変更、業務システム入替 |
| 委託先変更 | 重要委託先の追加・変更・解約、二次委託先の追加 |
| セキュリティ体制 | セキュリティ責任者の変更、専門家の変更、CSIRT体制の変更 |
| 文書改訂 | 情報セキュリティ規程、IT資産台帳、IRP、委託先管理規程の改訂 |
「重要」と「軽微」の判断基準
すべての変更を即時に更新する必要はありません。以下のいずれかに該当する場合、重要な変更として扱います。
- 自己宣言書の「組織情報」「責任者情報」「専門家情報」の記述が変わる
- 評価項目の充足状況が変わる(技術対策・運用ルール)
- 重要委託先の構成が変わる
- 業界ガイドラインへのマッピング状況が変わる
「3ヶ月以内に該当変更が発生したか」を四半期レビューで点検する運用が推奨されます。
トリガー3|重大インシデント発生時の対応
重大インシデント発生時の対応はSCS評価制度における維持要件の重要部分です。詳細はインシデント発生時のSCS評価への影響と対応を参照してください。
要点だけ整理すると:
- 事務局への報告義務(インシデント概要・対応経過・再発防止策)
- 評価項目の充足状況見直し
- 必要に応じて自己宣言書の更新
- 登録抹消リスクの判定
「評価項目の前提を覆すインシデント」(例:MFA未設定が原因のクレデンシャル漏洩)が発生した場合、登録抹消の対象になり得ます。
トリガー4|専門家署名の有効性
★3自己宣言にはセキュリティ専門家のレビューと署名が必須です。この専門家に関する変更も更新トリガーになります。
専門家署名が無効になるケース
- 専門家本人の退職・離任・契約解除
- 専門家の資格喪失(資格更新失敗等)
- 自社と専門家との利害関係発生
- 専門家が複数社の上限件数を超えてサインしている等の制度違反発覚
これらが発生した場合、新たな専門家による再署名が必要です。専門家確保の方法はSCS評価制度で「セキュリティ専門家」が必要な理由と確保の方法で解説しています。
トリガー5|自主的な記述更新
トリガー1〜4のような必須更新ではなく、自主的に記述を更新するケースもあります。
- セキュリティ対策の追加実装(自社ブランド向上)
- 業界ガイドラインへの追加マッピング
- ★4・★5 へのステップアップ準備(先取り宣言)
- 取引先要求への対応(記述精緻化)
自主更新は「やってもよい・やらなくてもよい」性質ですが、取引先評価では加点要素になります。
よくある差し戻しパターン10選
★3自己宣言書の事務局審査で差し戻される、または「説明追加要求」が来る代表的なパターンを整理します。
差し戻しパターン1|評価項目と証跡のマッピング不明確
評価項目に対して「該当文書」「該当設定」が明示されていないケース。「適切に対策している」だけでは不十分で、どの文書のどの章で・どの設定が証跡かを具体的に紐付ける必要があります。
事前回避策:自己宣言書の各項目に、参照文書名・章番号・スクリーンショット番号を必ず付記する。
差し戻しパターン2|文書化の不足・形骸化
情報セキュリティ規程、IT資産台帳、IRP、委託先管理規程の4基本文書が不十分なケース。「規程はあるが具体的な手順がない」「台帳はあるが3年以上更新されていない」状態は差し戻し対象です。
事前回避策:文書化テンプレートはSCS評価制度★3 文書化テンプレート集を参照。形骸化対策として、年1回の見直し日を文書に明記する。
差し戻しパターン3|委託先管理のギャップ
重要委託先の定義、NDA・契約書の必須条項、年次評価シート、二次委託先の管理が不十分なケース。
事前回避策:委託先管理の実装はSCS評価制度の「委託先管理」実装ガイドを参照。重要委託先の選定基準を文書化し、評価シートの実施記録を残す。
差し戻しパターン4|MFA未必須化
評価項目で求められるMFA(多要素認証)が「全ユーザー対象」になっていないケース。特に管理者アカウントだけがMFAで、一般ユーザーが未必須のケースは差し戻されます。
事前回避策:Entra ID 条件付きアクセス、Google 2段階認証プロセス強制設定で、全ユーザーMFA必須化を実施。
差し戻しパターン5|EDR導入の証跡なし
エンドポイント保護として「EDR導入済み」と記載しているが、実際の管理コンソール画面、配信状況、検知件数の証跡がないケース。
事前回避策:Microsoft Defender for Business、CrowdStrike等の管理コンソールから、カバレッジ率・検知履歴・対応履歴のスクリーンショットを取得して保管。
差し戻しパターン6|監査ログの保管不足
監査ログの「取得していること」は記載があっても、「保管期間」「アクセス権限管理」「改ざん防止策」が不明確なケース。
事前回避策:監査ログ実装はSCS評価制度の証跡・監査ログ実装ガイドを参照。最低1年以上の保管と、アクセス権限の限定を運用ルール化。
差し戻しパターン7|インシデント対応訓練の未実施
IRP(インシデント対応計画書)はあるが、訓練(テーブルトップ演習)を年1回も実施していないケース。
事前回避策:年1回・1時間の机上訓練を実施し、議事録・参加者名簿・改善点リストを保管。
差し戻しパターン8|バックアップの実効性確認なし
「バックアップを取得している」記載はあるが、**復旧テスト(リストア検証)**を実施していないケース。
事前回避策:四半期または半年に1回のリストア検証を実施し、所要時間・成功可否・課題を記録。
差し戻しパターン9|専門家署名の不備
専門家署名はあるが、専門家の資格番号・経歴・自社との関係性記載が不足しているケース。利害関係の有無も明示が必要です。
事前回避策:専門家確認時に、署名と合わせて経歴・資格・利害関係の宣言書を文書化する。
差し戻しパターン10|業界ガイドラインマッピングの欠落
自動車業界(JAMA/JAPIA)、医療業界(3省2ガイドライン)、防衛・重要インフラ業界等の業界ガイドラインに該当する企業で、SCS評価項目と業界ガイドラインのマッピングを明示していないケース。
事前回避策:該当する業界ガイドラインがある場合、業種別マッピング記事を参照し、対応関係を自己宣言書に追記。
登録抹消につながる5つの状態
差し戻しは「説明追加・修正で再申請可」ですが、以下の状態は登録抹消の対象になります。
抹消リスク1|虚偽記載・隠蔽
自己宣言書に虚偽の記載がある、またはインシデント・違反を隠蔽していたケース。発覚時点で即座に登録抹消され、再申請も一定期間できません。
抹消リスク2|重大インシデントの未報告
評価項目の前提を覆すインシデントが発生したのに、事務局への報告を怠ったケース。
抹消リスク3|評価項目の充足が長期に失われた
組織変更や撤退で、評価項目の充足体制が長期間維持できなくなったケース。例:セキュリティ責任者が退職して半年以上後任不在。
抹消リスク4|年次更新の不履行
年次更新・改定対応期限を超過し、是正期限内にも対応しなかったケース。
抹消リスク5|専門家署名の不正
専門家が制度違反(複数社上限超過、利害関係未開示等)でSCS事務局から失効処分された場合、その専門家が署名した自己宣言も無効となります。
取得後の年次運用カレンダー
★3取得後の運用は、年間カレンダーで標準化することが推奨されます。
| 月 | アクション |
|---|---|
| 1月 | 前年インシデント記録の総括、改善計画策定 |
| 2月 | IT資産台帳・委託先台帳の棚卸し |
| 3月 | 情報セキュリティ規程・IRP・委託先管理規程の年次見直し |
| 4月 | バックアップ復旧テスト(春) |
| 5月 | 重要委託先の年次評価シート発行・回収 |
| 6月 | インシデント対応訓練(机上演習) |
| 7月 | 監査ログのレビュー、保管状況確認 |
| 8月 | セキュリティ専門家による中間レビュー |
| 9月 | 評価ガイド改定への対応状況確認 |
| 10月 | バックアップ復旧テスト(秋) |
| 11月 | 自己宣言書の更新検討、必要なら更新 |
| 12月 | 翌年の運用カレンダー策定 |
すべての企業で同じカレンダーが最適とは限りませんが、年間で必ず実施する項目を月配置することで、属人化・形骸化を防げます。
維持コスト ― 年次でかかる費用の目安
★3取得後の年次維持コストの目安は以下の通り(社員30〜50名規模)。
| 項目 | 年間費用目安 |
|---|---|
| セキュリティ専門家レビュー(年1回) | 15〜40万円 |
| 評価ガイド改定対応 | 30〜80万円(改定があった年) |
| 委託先管理(評価シート発行・回収) | 5〜15万円 |
| インシデント対応訓練 | 5〜10万円 |
| バックアップ復旧テスト | 5〜15万円 |
| 監査ログ保管・分析 | 10〜30万円 |
| 文書化メンテナンス | 内製化なら社内工数のみ |
| 合計 | 70〜190万円 |
取得時の初期費用に対して、年次維持はその20〜40%程度が標準的な目安です。
取得後維持で失敗しないための4原則
最後に、★3取得後の維持運用で失敗しないための4原則を整理します。
原則1|「取って終わり」にしない
★3取得は出発点であって到達点ではありません。取得後の維持・更新・改定対応に継続的な工数とコストが発生することを、経営層と合意しておきます。
原則2|年次カレンダーで標準化する
属人化と形骸化を避けるため、年次カレンダーで運用を標準化します。担当者が変わっても、カレンダーを見れば運用が回る状態を目指します。
原則3|証跡を「同じ場所」に集める
各評価項目の証跡(スクリーンショット・ログ・議事録)を、同じフォルダ構成でSharePoint Online / Google Drive に集約します。再申請時に「証跡を探し回る」状態を避けます。
原則4|★4・★5へのステップアップを意識する
★3取得後、3〜5年で★4取得を視野に入れる企業が増えています。年次運用に「★4要件への上積み準備」を組み込むと、後の負担を軽減できます。
まとめ
SCS評価制度★3の取得後維持は、以下の観点で運用設計します。
- 5種類の更新トリガーを理解する(改定・自社変更・インシデント・専門家・自主)
- よくある差し戻し10パターンを事前回避する
- 登録抹消につながる5状態を避ける
- 年次運用カレンダーで標準化する
- 年間維持コスト 70〜190万円を見込んだ予算化
取得後の運用品質が、★4・★5へのステップアップ、取引先への信頼向上、サイバー保険優遇の獲得につながります。
関連記事:インシデント発生時のSCS評価への影響と対応 / SCS評価制度の証跡・監査ログ実装ガイド / SCS評価制度の準備ガイド / SCS評価制度のよくある誤解10選