RISK REPORT 第56号

自動車産業におけるSCS★３・４取得
～自工会/部工会・サイバーセキュリティガイドライン準拠をSCS評価取得につなげるには～

１．はじめに

2026年度中に発足が予定されているサプライチェーンセキュリティ対策評価制度（以下「SCS評価制度」）は、その策定段階で自工会/部工会・サイバーセキュリティガイドライン（以下「JAMA/JAPIAガイドライン」）をベンチマークしており、要求事項も似通ったものになっています。また、サプライチェーンリスク対策を目的としている点も共通です。しかしながら、JAMA/JAPIAガイドラインが自己評価の形を採っているのに対し、SCS評価制度★４は第三者評価が必要であることや、取引先管理においてSCS評価制度がより包括的な内容になっているなど、注意すべき点も存在しています。

そこで、今号は、JAMA/JAPIAガイドライン準拠をSCS評価取得につなげるための方策を紹介したいと思います。

２．JAMA/JAPIAガイドラインとSCS評価制度の比較

まず、最初に、JAMA/JAPIAガイドラインとSCS評価制度の比較をしていきます。

SCS側の整理では、

• SCS★3はJAMA/JAPIAガイドラインのレベル1をベンチマーク（一部の技術対策はより詳細管理を求める）
• SCS★4はJAMA/JAPIAガイドラインのレベル2を追加でベンチマーク

と明示されています。

つまり、要求事項はほぼ重なるとみて差し支えありません。ただし、制定目的や対象とする企業が異なることより、いくつかの点が異なってきます。以下はそれらの点に注目した比較表です。

	対象範囲	対象とするリスク	評価の仕組み	評価結果の開示範囲
JAMA/JAPIAガイドライン	エンタープライズ領域（OA環境）・	自動車産業固有のサイバーリスク	自己評価 年1回以上の定期確認を推奨	自工会・部工会、取引先への提出
SCS評価制度	IT基盤、外部ネットワーク境界、評価部分を限定することも可能	取引先起因の情報セキュリティリスク、製品・サービスの提供途絶、取引ネットワークを通じた不正侵入を含むサプライチェーンリスク	★3専門家確認付き自己評価、1年更新 ★4第三者評価＋技術検証、3年更新＋年次自己評価	一般公開を想定

対象範囲はほぼ重なります（注：JAMA/JAPIAガイドラインの工場領域版は本稿執筆時点では正式版ではないのでここでは取り上げていません）が、SCS評価制度が取引先起因のリスクをより包括的に対象としております。従って、取引先管理を強化する必要が出てきます。

また、★４については第三者評価が必要となり、評価結果（★4取得）の一般公開を想定しています。つまり、証拠を提示した上での社外への説明が必要となってきます。

従って、JAMA/JAPIAガイドライン準拠をSCS評価取得につなげるには、JAMA/JAPIAガイドラインの運用を「統制カタログ」としたまま、SCS評価の仕組み（証跡整備・外部評価対応）と、取引先管理の強化を上乗せするのが最短ルートと言えます。

３．取得する評価レベルを決定する：自動車部品メーカー向けの判断基準

SCS評価取得の第一歩は取得する評価レベルを決定することです。

2025年12月に発表された案では、サプライヤー（受注側）への適用段階は、主に以下2つのリスクで割り当てる考え方が示されています。

• 事業継続リスク：取引先（＝自社）が止まると、顧客の重要業務に許容できない遅延が起きうるか
• 情報管理リスク：取引先への攻撃等により、顧客の機密等の情報管理に重大な影響が出うるか

さらに判断観点例として、

• 顧客の重要機密情報へのアクセス可否
• 顧客システム/ネットワークへのアクセス可否、アクセス範囲

などが挙げられています。

自動車部品メーカーの典型（設計データ、試作品、品質データ、EDI/ポータル接続、納入停止の影響大）を踏まえると、経営判断としては原則 ★4を目標に置くのが合理的です。
一方で、限定された取引で機密アクセスや接続が小さい場合は、★3で開始して、重要取引を抱える段階で★4へ移行も現実的です。SCS評価制度も段階・要求水準の調整を想定しています。

４．全体方針を決定

最初に全体としての方針を決定します。本通信では、「JAMA/JAPIAガイドラインの運用を「統制カタログ」とし、SCS評価の仕組み（証跡整備・外部評価対応）と取引先管理の強化を上乗せする」ことを推奨します。

具体的には、下記の3点です。

• JAMA/JAPIAガイドライン（★３ならレベル１、★４ならレベル2）を、社内の要求事項・点検のベースとする：統制カタログ化
• １を、SCS評価の7分類に再パッケージして、SCS評価に耐える証跡（エビデンス）として整備：SCS評価の仕組み（証跡整備・外部評価対応）と取引先管理の強化の上乗せ準備
• ★3なら「専門家確認付き自己評価」、★4なら「第三者評価＋技術検証」に向けて、監査される前提の運用（手順・記録・ログ・棚卸・訓練）へ引き上げる：SCS評価の仕組み（証跡整備・外部評価対応）と取引先管理の強化の上乗せ

つまり、現場では既存のJAMA/JAPIAガイドライン要求事項への対応を続けることでこれまでの資産を活かし、その上で、SCS評価に求められる対外説明と監査の準備を行うという形です。次の節以降で具体的に紹介していきます。

５．★3/★4取得に向けた「証跡（エビデンス）再パッケージ」

まずは、JAMA/JAPIAガイドラインの要求事項達成によって生成された証跡を、SCS評価の7分類に再パッケージします。SCS評価制度においては、「（要求事項を）達成している」だけでなく「説明できる」ことが重要になります。つまり、証跡整備も「説明できる形」にしていくことが必要です。

★3で最低限そろえる（専門家確認付き自己評価に耐える）

• 体制：CISO/担当部署の責任、連絡先、年次点検記録
• 資産：情報資産台帳、ネットワーク図（取引先接続含む）、外部サービス一覧
• 運用：アクセス権レビュー記録、パッチ/EDR適用状況、ログ方針、教育記録、インシデント手順と訓練記録
• 取引先：NDA雛形、重要取引先リスト、共有データフロー整理

★4で追加すべき（第三者評価＋技術検証で見られる前提）

• ISMS相当の運用記録：内部監査、是正処置、マネジメントレビューの記録
• 技術検証に耐える証跡：脆弱性管理台帳、スキャン/診断結果、対応期限と完了証跡、例外承認
• 取引先統制：再委託管理、契約条項（通知・監査・アクセス）、主要取引先向け説明会 及び共同訓練記録

６．SCS評価の7分類ごとに上乗せ準備・上乗せ

再パッケージの後は、既存のJAMA/JAPIAガイドラインの要求事項を達成する活動に、SCS評価の仕組み（証跡整備・外部評価対応）と取引先管理の強化の上乗せをしていきます。なお、★３については。「上乗せ」ではなく「整理・確認」の要素が強いので、その旨の記述にしています。以下、7分類各々について紹介していきます。

6.1 ガバナンスの整備：経営主導で“形”と“記録”を作る

「担当者任命」だけでなく、会議体・レビュー頻度・議事録などによって活動の実態を証明できることが「評価の要」になります。

★3へ向けての確認

• CISO等/担当部署の役割責任の明文化、平時連絡先リスト、年1回以上の体制点検（議事録/点検記録を残す）
• セキュリティ対応方針を社内規程として制定（例：情報分類、例外管理、クラウド利用、リモート接続）

★4へ向けての上乗せ：マネジメントシステム化

• PDCA、内部監査、マネジメントレビュー、是正処置の実施と作成（SCS評価制度のベンチマークにもISO/IEC27001が含まれており、★4では国際規格等に基づくマネジメントシステム確立が想定されています。）
• 経営会議/取締役会で年1回以上、サイバーリスクを議論

6.2 取引先管理：「信頼のチェーン」をSCS評価制度の要求に合わせて強化

JAMA/JAPIAガイドライン自体が、共通チェックシートで取引の信頼チェーン構築を狙っており、調達部門も想定読者ですが、SCS評価制度ではより強化した内容が求められます。また、JAMA/JAPIAガイドラインが納入先への対応のみを想定しているのに対し、SCS評価制度は仕入先への対応も想定しているので、管理範囲を広げる必要があります。

★3へ向けての確認

• 「取引先と共有するモノ・データの流れ」を棚卸しし、重要なサプライヤー定義と対象範囲を明確化
• 取引先との機密情報取り扱い（NDA/秘密保持条項、持ち出し、保管、廃棄）を統一

★4へ向けての上乗せ：「下流」まで含めた統制

• SCS評価制度の考え方（リスクのレベルで★3/★4割当）を自社にも適用し、自社のサプライヤーを★3相当/★4相当で区分
  例：重要部材、単一購買、納期影響大、顧客情報に触れる委託先、リモート保守先は★4相当要求
• インシデント通知SLA、再委託管理、アクセス制御、ログ保持協力、脆弱性対応期限、BCP整備を取引条件へ追加
• 「主要サプライヤー向け説明会・合同訓練（年1回）」を制度化（★4では「取引先等への指導や共同訓練」等、チェーン全体の水準向上につながる対策が挙げられているため）

6.3 リスクの特定：棚卸・図示・分類

★3へ向けての確認

• 情報資産/ネットワークの把握、外部情報サービス（クラウド等）の管理
• ネットワーク図の整備（接続点、通信経路、監視体制まで）。

★4へ向けての上乗せ

• 「守る情報」を定義し、重要度に応じてアクセス制御/暗号化/監視強度を段階化、物理セキュリティにも留意

6.4 攻撃等の防御：ID・端末・メール・境界の「標準化」

★3へ向けての確認

• ID管理手続、アクセス権限設定
• MFA、特権IDの分離、退職/異動時の権限剥奪の即時化
• 調達時のセキュリティ要件

★4へ向けての上乗せ

• 構成管理（標準イメージ、CIS等のベースライン）、脆弱性管理（棚卸→評価→期限付き是正→例外承認）をいずれも「監査可能」にする
• 重要端末・サーバへのEDR導入、隔離運用
• メール訓練を年次計画へ盛り込む。

6.5 攻撃等の検知：ログと監視、★4は技術検証に耐えるレベルに

★3へ向けての確認

• ログ収集対象・保管期間・閲覧権限を定め、改ざん・消去耐性（アクセス制御等）を確保
• 監視体制をネットワーク図に紐づけて明文化（どこを誰がどう監視するか）。

★4へ向けての上乗せ

• SIEM/MDR等で、検知→一次対応→封じ込めまでの運用手順と記録を整備
• 脆弱性スキャン結果、是正記録、未是正のリスク受容記録を技術検証（第三者）による確認が可能な状態に整備

6.6 インシデントへの対応：手順を「演習＋記録」

★3へ向けての確認

• インシデント対応手順の整備（SCS分類の意図として明示）
• 連絡網（社内・顧客・主要委託先）を定め、年1回以上の訓練（机上でも可）と改善記録

★4へ向けての上乗せ

• 取引先を巻き込んだ訓練（共同机上演習）を実施し、結果を経営レビュー

6.7 インシデントからの復旧：部品メーカーは「納入継続」が核心

★3へ向けての確認

• バックアップ、復元テスト、代替手段（手作業・代替通信）を整備

★4での上乗せ

• 事業継続計画を策定・訓練実施（重要システム停止を想定し、連絡網・生産計画・代替ツールを事前に備え、文書と練記録の形で提示できる形へ）

７．おわりに

今号は、JAMA/JAPIAガイドラインへの準拠をSCS評価取得につなげる方策を紹介しました。SCS評価制度構築の経緯より、JAMA/JAPIAガイドラインへ準拠している企業はSCS評価取得においては比較的有利な立場に有ると言えます。また、JAMA/JAPIAガイドラインは、最終的にレベル２以上が求められていることより、SCS評価★４取得へ手が届き易いと言えます。

自動車業界は100年に一度と言われた大きな変革の中にあり、事業環境も大きく変化する状況にあると思われます。そのような中、SCS認証★４取得は新たな事業展開をもたらすきっかけにもなり得ると思われます。また、自社の一事業として自動車部品を手掛けている場合には、当該部門での先行取得の後に横展開による全社取得という段階的な対応も考えられます。

最後までお読みいただき、ありがとうございました。

参考記事・文献

• 経済産業省 「『サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針（案）』（SCS評価制度の構築方針（案））を公表しました」
  https://www.meti.go.jp/press/2025/12/20251226001/20251226001.html
• 日本自動車工業会・日本自動車部品工業会 「自動車産業サイバーセキュリティガイドライン」
  https://www.jama.or.jp/operation/it/cyb_sec/cyb_sec_guideline.html