3月末に公表された「サイバーインフラ事業者に求められる役割等に関するガイドライン」を受けて、前回の記事では、サイバーセキュリティがもはやIT部門だけの宿題ではなく、発注側や利用側の判断責任そのものになりつつある、という点を整理しました。

では、その先は、何が起きているのでしょうか。

4月3日に公表された経済産業省の「第10回 産業サイバーセキュリティ研究会 事務局説明資料」を見ると、政府の問題意識はすでに一歩先に進んでいます。そこにあるのは、「対策をしてください」という呼びかけだけではありません。

サイバーセキュリティ対策を、サプライチェーン管理、調達、情報開示、そして企業価値の説明へと接続しようとする動きです。

SCS評価制度——「共通のものさし」が動き出す

今回の資料で印象的なのは、サイバーセキュリティ政策の柱のひとつとして「SCS評価制度の構築（対策水準の可視化）」が明確に位置づけられていることです。

背景にあるのは、「対策状況は外部から判断が難しい」「複数の取引先から様々な対策を要求される」という、現場が抱える構造的な課題です。

資料では、サプライチェーンにおける重要性を踏まえた対策を提示しつつ、その状況を可視化する仕組みを構築するとしています。★3・★4については2026年度末頃の制度開始を目指すとされ、活用場面としては政府調達や重要インフラ事業者等での活用、取引先からの対策要請に加え、「利害関係者への情報開示による対話の促進」まで挙げられています。

資料では「いわゆる格付け制度ではない」と明記されています。

たしかに、企業を単純に序列化する制度ではないのでしょう。

ですが、発注時に必要なセキュリティ対応状況を可視化することを目的とする以上、これは実質的には「共通のものさし」をつくる動きだと言えそうです。

コーポレートガバナンス・コードへの追記という方向感

そして、今回の資料でさらに見逃せないのが、この“共通のものさし”を将来的には情報開示にも接続しようとしている点です。

SCS評価制度の活用促進を説明するページでは、サイバーセキュリティリスクへの対応が中長期的な企業価値向上のために必要である旨をコーポレートガバナンス・コードに追記することを目指す、と書かれています。

さらに、ステークホルダーへの情報開示における「共通のものさし」としてSCS評価制度の活用促進を図るとしています。

サイバーセキュリティが、企業の情報開示において「何をどう語るか」が問われるテーマとして浮上しつつある——この資料は、その座標をかなりはっきり示しているように見えます。

経営層へのメッセージに並んだ言葉

資料の書きぶりで、もうひとつ注目しておきたいのが、経営層に向けたメッセージの語調です。

資料では、経営層に対し、サイバーセキュリティに対する投資を「中長期的な企業価値向上に向けた取組の一環」として位置づけ、投資家を含む利害関係者から理解を得るための対話や情報開示を積極的に行うよう求めています。

さらに大企業には、中小企業等との契約時にSCS評価制度を活用し、取引先に★取得に向けた準備や支援策の活用を促すことも挙げられています。

ここで使われている言葉は、「守りのコスト」ではありません。
企業価値、対話、情報開示——政策文書の中で、サイバーセキュリティが「説明すべき経営課題」へ翻訳され始めている、と読めます。

前回の記事では、発注側にも宿題がある、と書きました。今回の資料を読んで見えてきたのは、その宿題が調達の実務だけでなく、ガバナンス、サプライチェーン管理、投資家との対話、そして情報開示にまで広がっているということです。

サイバーセキュリティは、まだ多くの企業で「専門家の話」に見えやすいテーマです。けれども、政策の側はもう、そうは見ていません。この資料が示しているのは、その次の段階の入口ではないかと思います。

執筆担当：川上 佳子