SCS評価制度の「委託先管理」実装ガイド ― NDA・契約書・評価シート・二次委託の進め方

SCS評価制度の全体像については SCS評価制度 対策ガイド もあわせてご覧ください。

SCS評価制度（サプライチェーン強化に向けたセキュリティ対策評価制度）の7つの評価領域のうち、「取引先管理（委託先管理）」はNIST CSFには無い、SCS評価制度独自の領域です。サプライチェーン全体のセキュリティ底上げという制度目的を象徴する要件であり、★3・★4のいずれでも避けて通れません。

ところが多くの中小企業では、「委託先のセキュリティ管理」と言われても、何をどこまで実装すれば評価基準を満たすのかイメージしにくいのが実情です。本記事では、★3で求められる委託先管理の最低ライン、★4で追加される高度な要件、契約書・評価シート・運用フローの実装手順までを具体的に解説します。

SCS評価制度における「委託先管理」の位置づけ

NIST CSFとの違い

SCS評価制度の要求事項は米国NIST CSFをベースにしていますが、日本独自の追加領域として「取引先管理」が組み込まれています。これは、サプライチェーン攻撃（取引先経由の侵入）が日本の中小企業を巻き込む形で多発していることへの対応です。

★3で求められる最低ライン

★3では、重要な情報を提供している委託先（外注先）を把握し、契約でセキュリティ要件を明記していることが求められます。

具体的には次の3点が最低ラインです。

1. 重要委託先のリスト整備：自社が保有する機密情報・個人情報・設計データなどを取り扱う委託先を一覧化する
2. NDA（秘密保持契約）の締結：すべての重要委託先と書面でNDAを締結している
3. 契約上のセキュリティ要件：委託契約書または覚書にセキュリティに関する遵守事項が明記されている

★4で追加される高度な要件

★4では★3の内容に加え、次の対応が必要になります。

1. 年次でのセキュリティ評価：委託先のセキュリティ対策状況を定期的に確認する仕組み
2. 委託先への★取得促進：取引先にもSCS評価制度★3以上の取得を促す動き
3. 改善要請プロセス：問題が見つかった委託先への是正要求と是正完了の確認
4. 二次委託先の管理：再委託先の有無の確認と、再委託時のセキュリティ要件の継承

重要委託先の選定基準

「すべての委託先」を管理対象にすると運用が破綻するため、「重要委託先」を絞り込む基準を社内で決めます。一般的には次の条件のいずれかに該当する委託先を「重要委託先」とします。

• 個人情報を提供している（顧客リスト、従業員情報など）
• 機密情報を提供している（設計図、原価情報、顧客のM&A情報など）
• 自社システムへのアクセス権を渡している（情シス委託先、システム開発会社、SaaS設定代行など）
• 業務継続上クリティカルな役割を担っている（基幹システムの保守、データセンター運用など）

中小企業の場合、重要委託先は通常5〜20社程度に収まります。逆に「文具の発注先」「清掃業者」などは原則として重要委託先には該当しません（建物への物理アクセスがある場合は別途検討）。

NDAと契約書の必須条項

NDAに必ず入れるべき5項目

1. 秘密情報の定義：何を秘密情報とするかを明記
2. 目的外利用の禁止：受領した情報を契約目的以外で使わないこと
3. 第三者開示の制限：再委託先を含めた開示範囲のコントロール
4. 返却・廃棄義務：契約終了時の情報の返却または廃棄
5. 存続条項：契約終了後も一定期間（一般に3〜5年）の秘密保持義務

委託契約書に追加すべきセキュリティ条項

NDAとは別に、委託契約書本体または覚書に次の条項を盛り込みます。

• セキュリティ管理体制の整備義務（情報セキュリティポリシーの策定、責任者の任命）
• アクセス制御（委託先従業員のうち、当該情報に触れる者を限定）
• 多要素認証の適用（情報を取り扱う端末・クラウドへのMFA）
• インシデント発生時の通知義務（発覚から24時間以内など）
• 監査・報告への協力義務（年次のセキュリティ評価への回答協力）
• 再委託の事前承諾（再委託先での情報取扱を含めた管理）
• 損害賠償の範囲（情報漏洩時の負担範囲）

既存の契約書がこれらをカバーしていない場合は、覚書（メモランダム）の形で追加締結することも実務上有効です。

年次セキュリティ評価シートの設計

★4では委託先のセキュリティ対策状況を定期的に確認する仕組みが必要です。重い大企業向けチェックシートを送りつけても委託先側が対応できないため、A4で2〜3枚程度の軽量版を設計するのが現実的です。

軽量版チェックシートに入れる項目（例）

カテゴリ	確認項目（はい／いいえ／一部）
組織	セキュリティ責任者を任命しているか
組織	従業員向けセキュリティ教育を年1回以上実施しているか
アクセス	全社員アカウントにMFAを適用しているか
アクセス	退職者アカウントを退職日に無効化しているか
端末	マルウェア対策ソフトを全端末に導入しているか
端末	OS・ソフトウェアの定期パッチ適用ルールがあるか
データ	当社から預かった情報のバックアップ取得状況
データ	当社から預かった情報のアクセス権限を限定しているか
インシデント	インシデント発生時の連絡先・手順を定めているか
認証	SECURITY ACTION★1または★2を取得しているか
認証	SCS★3以上、ISMS、Pマークの取得状況

「いいえ」が一定数を超える委託先には改善要請を発し、是正完了まで追跡します。

二次委託先（再委託先）の管理

★4では、自社→一次委託先→二次委託先という連鎖の管理も求められます。実装としては次の流れが現実的です。

1. 再委託の事前承諾制：契約書で「再委託は当社の事前承諾を要する」と規定
2. 二次委託先のリスト把握：一次委託先に再委託先名と業務範囲を申告させる
3. セキュリティ要件の継承：一次委託先と同等のセキュリティ要件を二次委託先にも課すことを契約義務化
4. 重要案件は実地確認：機密性の高い案件では、一次委託先経由で二次委託先のセキュリティ状況も確認

中小企業にとってここが運用上のボトルネックになりやすいため、★4を目指す場合は早期に再委託先の棚卸しから着手します。

委託先管理の運用フロー（年次サイクル）

（4月）  委託先リストの更新（新規・終了の反映）
（5月）  重要委託先への評価シート配布
（6月）  回収・集計・スコアリング
（7月）  「いいえ」が多い委託先への改善要請
（10月） 改善状況の確認
（1月）  経営層への報告（取引先管理レビュー）
（3月）  契約更新時のセキュリティ条項の見直し

このサイクルを毎年回すことで、★4の「定期確認の仕組み」要件を満たせます。★3の段階でも、年1回程度の簡易確認を始めておくと、★4へのステップアップがスムーズです。

ありがちな運用の落とし穴

落とし穴1：契約書を改訂したが現場が知らない

セキュリティ条項を契約書に盛り込んでも、現場の発注担当者がそれを意識していなければ機能しません。発注時の標準フロー（チェックリスト）に「重要委託先か？」「NDA締結済みか？」を組み込むことが重要です。

落とし穴2：評価シートの「はい」を鵜呑みにする

委託先側の自己回答ベースなので、虚偽や認識違いが混入する可能性があります。重要案件ではインシデント実績の有無、SECURITY ACTION★や認証取得の証憑の提出を組み合わせます。

落とし穴3：再委託の把握漏れ

一次委託先が黙って再委託しているケースは少なくありません。契約書で「再委託は事前承諾」と明記し、年次評価シートで再委託先の有無を必ず聞きます。

情シス365の支援

情シス365では、SCS評価制度の委託先管理について次の支援を提供しています。

• 重要委託先リストの作成支援
• NDA・契約書のセキュリティ条項テンプレート提供
• 年次評価シートの設計と運用代行
• 再委託先の棚卸しと是正要請のサポート
• 委託先管理規程の文書化支援

「うちの会社にとって誰が重要委託先なのか」「契約書のどこを直せばよいか」段階からのご相談に対応しています。

SCS評価制度の対応に関する60分無料相談はこちら →

あわせて読みたい

• SCS評価制度とは？★3〜★5の評価基準と中小企業が今やるべき準備
• SCS評価制度★3・★4の評価基準比較｜セルフチェックリスト付き
• SCS評価制度の準備ガイド ― 中小企業が2026年度中にやるべきこと
• 取引先から「SCS評価制度に対応してほしい」と言われたら