セキュリティ

自治体・公共調達 × SCS評価制度 ― 政府調達と地方自治体調達におけるSCS★要件化の見通し

#SCS評価制度#政府調達#自治体#公共調達#サプライチェーン
📘
完全ガイドの一部です中小企業向けサイバーセキュリティ対策 完全ガイド

SCS評価制度の全体像については SCS評価制度 対策ガイド もあわせてご覧ください。

経済産業省は、SCS評価制度(サプライチェーン強化に向けたセキュリティ対策評価制度)について「将来的に取引条件や政府調達の要件に組み込まれる」と公式に表明しています。これは、政府機関に納入するITベンダー・SaaS事業者・運用委託先にとって、SCS★取得が事実上の必須要件になり得ることを意味します。

さらに、地方自治体の調達でも、政府調達基準を参照する形でSCS★が要件化される可能性が高く、自治体向けITベンダー・自治体SaaS事業者は無関係ではいられません。本記事では、現時点で見えている政府調達・自治体調達への組み込み見通しと、中小ベンダーの対応戦略を整理します。

政府調達におけるSCS★の位置づけ

想定される組み込みパターン

経済産業省・内閣官房の方針では、SCS★が政府調達に組み込まれる際のパターンとして次が想定されています。

  • 資格要件型:政府入札参加資格として一定の★レベルを必須化
  • 加点要素型:総合評価方式の入札で、★取得を加点項目として評価
  • 契約条件型:契約締結後一定期間内に★を取得することを契約条件に含める
  • 段階導入型:重要度の高い案件から順次、必須化を拡大

想定されるレベル設定

政府調達への組み込みでは、調達の性質により次のレベル設定が想定されます。

  • 一般的なIT機器・ソフトウェア調達:★3以上を要件化
  • クラウドサービス調達(ガバメントクラウド対応):★4以上を要件化
  • 重要インフラ・機微情報を扱う案件:★4または★5を要件化
  • 防衛関連調達:防衛装備品調達基準と併せてSCS★4・★5を要件化

既存の調達制度との関係

政府調達では既にISMAP(政府情報システムのためのセキュリティ評価制度)が運用されており、クラウドサービスを政府が調達する際の評価制度として機能しています。SCS評価制度はISMAPと併存・相互補完する形での運用が見込まれます。

制度対象評価方式
ISMAPクラウドサービス事業者第三者監査による評価
SCS★3サプライチェーン上のすべての企業専門家確認付き自己評価
SCS★4・★5サプライチェーン上の重要企業第三者評価+技術検証

自治体調達におけるSCS★の見通し

自治体DXとセキュリティ要件

総務省は「地方公共団体情報セキュリティ対策ガイドライン」を策定し、自治体のセキュリティ対策の指針としています。自治体DXの推進にともない、自治体ベンダーへのセキュリティ要件が強化される方向です。

ベンダーへの要件化の見通し

自治体調達でSCS★が要件化されるパターンは、政府調達とほぼ同様の構造になる見込みです。

  • 自治体システムの構築・保守を受託するベンダーへ★3を要件化
  • 自治体クラウド・LGWAN関連サービスへ★4を要件化
  • マイナンバー関連業務委託・住民情報を扱う業務への★4要件化

ただし、自治体ごとに調達ポリシーが異なるため、先進自治体から順次導入し、地方の中小自治体への波及には時間がかかると見込まれます。

政府調達ロードマップ(想定)

フェーズ1:制度立ち上げ期(2027年〜)

  • 一部の試行的な調達でSCS★3を加点要素として活用
  • ISMAP対象クラウドサービス調達でSCS★4を任意要件化

フェーズ2:普及期(2028年〜)

  • 一般的なIT調達でSCS★3を資格要件化
  • 機微情報を扱う調達でSCS★4を必須化
  • 自治体調達で先進自治体から導入開始

フェーズ3:標準化期(2029年〜)

  • ほぼすべての政府IT調達でSCS★が標準要件化
  • 自治体調達でも幅広く要件化
  • ★5要件化の検討が本格化

なお、上記のロードマップは現時点の見通しに基づく推測であり、正式な政府方針として確定したものではありません。詳細は今後の公表を注視する必要があります。

自治体・政府調達ベンダー(中小企業)の対応戦略

戦略1:早期の★3取得で資格要件をクリア

政府入札参加資格や自治体入札の資格要件としてSCS★3が要求された場合、★3取得が事実上の入札参加条件になります。2027年の運用開始直後の取得を目指すことで、競合に先んじて入札機会を確保できます。

戦略2:★4取得で重要案件への参入機会を獲得

自治体クラウド、ガバメントクラウド対応サービス、重要インフラ関連の調達では★4が要求される見込みです。SCS★4を取得することで、より高単価の重要案件への参入機会が得られます。

戦略3:ISMAPとの併用戦略

クラウドサービス事業者は、政府調達でISMAP登録が事実上の必須となっています。ここに加えてSCS★4を取得することで、サプライチェーン全体での信頼性を示せます。ISMAPで整備した管理策の多くがSCSの要求事項にも対応するため、ダブル取得の負担は限定的です。

戦略4:地方自治体調達への先行投資

地方自治体の調達は、政府調達よりもベンダーの選択肢が限られているケースが多く、SCS★3を持つベンダーが希少な段階で営業すると優位に立てます。地域密着型の中小ベンダーにとっては、早期取得の効果が大きい領域です。

入札参加資格申請でのSCS★活用

統一資格申請への影響

国の機関を対象とした「全省庁統一資格」申請では、技術力・財務力に加えてセキュリティ対応状況が評価項目に組み込まれる見込みです。SCS★3取得は申請書類への記載項目として活用できます。

自治体入札での活用

自治体入札では、自治体ごとに独自の評価項目があります。SCS★取得の自己宣言ロゴ・登録番号を入札書類・営業資料に記載することで、評価項目への加点を期待できます。

関連する公的支援策

中小企業がSCS★取得を進める際に活用可能な公的支援策は次のとおりです。

  • サイバーセキュリティお助け隊サービス(新類型):★3取得を月額制で支援(詳細はこちら
  • IT導入補助金(セキュリティ対策推進枠):対策実装に必要なツール導入の支援
  • 事業再構築補助金等:セキュリティを含むIT基盤再構築への活用

これら補助制度は政府調達でのSCS★要件化と整合する形で拡充される見込みです。

情シス365による政府・自治体ベンダー支援

情シス365では、政府・自治体向け事業を行う中堅・中小ベンダー向けに次の支援を提供しています。

  • 政府調達・自治体調達ロードマップへの対応戦略策定
  • ISMAPとSCS★の併用取得計画
  • セキュリティ基盤の整備(M365高度化、ログ管理、EDR)
  • 規程・運用記録の整備
  • 専門家確認・第三者評価機関対応の伴走
  • 入札書類・営業資料へのSCS★活用支援

政府・自治体ベンダーのSCS対応に関する60分無料相談はこちら →

あわせて読みたい

🛡️Security365 — セキュリティ運用

脅威監視・アラート対応・ポリシー策定まで、月額定額でプロが支援。セキュリティ対策を「自分ごと」から「チーム体制」へ。

サービス詳細を見る → 60分無料相談

情シスのお悩み、ご相談ください

専門スタッフが貴社の課題に合わせたご提案をいたします。

60分無料相談はこちら 資料ダウンロード
メールでのお問い合わせはこちら →
60分無料相談