「セキュリティ対策評価制度の自己評価って、結局なにを、どこまでやればいいの?」
取引先から要請が来そう。でも専任も予算もない。そんな中堅・中小の担当者ほど、自己評価を“チェックして終わり”にしてしまいがちです。本記事では、制度の位置づけ(★3=自己評価)を押さえたうえで、明日から動けるToDo(体制・対象範囲・準備物・証跡づくり)に落とし込みます。自己評価で詰まるのは「対策の有無」よりも、「説明できる形(根拠・証跡)になっているか」です。

出典: 経済産業省 https://www.meti.go.jp/press/2025/04/20250414002/20250414002.html

セキュリティ対策評価制度と自己評価の位置づけ

制度は「サプライチェーンの共通言語」を作る前提

制度の狙いは、サプライチェーン全体で求められるセキュリティ対策を整理し、対策状況を“見える化”して取引の共通言語にすることです。ここでの自己評価は「社内の自己満足」ではなく、「取引先に説明できる自己評価」である必要があります。

★3は自己評価(25項目)が想定されている

制度設計は段階(★)で整理され、★3(Basic)は自己評価中心の枠組みとして、対策事項(案)が提示されています。特に★3は「自己評価(25項目)」の形で整理されている点が重要です。ただし、自己評価の本番は「項目を読むこと」ではありません。自社の実態(人・IT・外部委託)に合わせて、運用として成立させることが本質です。

出典: 経済産業省 https://www.meti.go.jp/press/2025/12/20251226001/20251226001.html

自己評価で一番危ないのは「形式だけ合っている」状態

チェックリストに丸を付けただけの自己評価は、取引先からの追加質問や監査観点で脆くなります。求められるのは「できていると言った根拠(証跡)」で、そこが出せないと説明が崩れます。自己評価のゴールは「満点」ではなく、現実的な運用で回り続け、質問されたら説明できる状態に置くことです。

自己評価の初動ToDo:まず決める3点

責任者・範囲・期限を固定する

自己評価の初動で迷う会社ほど、最初に次の3点を固定してください。ここが曖昧だと、25項目を眺めても前に進みません。

  • 責任者(最終責任):兼務でも構いません。ただし「誰が決めるか」を決め、決裁・調整が止まらない状態を作ります。
  • 対象範囲(どこまで評価するか):最初から全社を狙うと破綻しやすいので、「重要取引に関わる範囲」「外部共有が多い範囲」など、現実的に絞って始めます。
  • 期限(社内締切):取引先締切がある場合、社内締切は最低でも2〜4週間前に置くのが安全です。証跡集め、棚卸し、現場調整に時間がかかるためです。

25項目は「4カテゴリ」に再編すると回しやすい

実務では、項目を次の4カテゴリに再編すると整理が進みます。

  1. ルール(方針・規程・教育)
  2. 権限(誰が何にアクセスできるか/外部共有の統制)
  3. ログ/証跡(誰がいつ何をしたかを追える)
  4. 棚卸し(権限・共有・重要データの定期点検)

特に「権限」「ログ」「棚卸し」は、自己評価の“説明力”を左右します。ここが弱い会社ほど、先に手当てした方が改善が速く進みます。

最小の成果物セット

専任なしで進める場合、ドキュメントを作り過ぎると運用負荷が跳ね上がります。まずは以下の最小セットで十分です。

  • セキュリティ対応方針
  • 役割分担表(責任者/実施者/承認者)
  • 重要情報の置き場所/取扱いルール
  • 外部共有ルール(期限、権限、回収、例外)
  • インシデント対応の連絡網・初動手順

自己評価でつまずく典型パターン

形式だけ整って「運用がない」状態が一番危ない

チェックリストに丸を付けただけだと、取引先から追加質問が来たときに説明が崩れます。自己評価のゴールは「満点」ではなく、現実的な運用で回り続け、質問されたら説明できる状態に置くことです。

兼務体制で起きる「権限の腐敗」と「棚卸し漏れ」

中堅・中小で起きやすいのは、異動・退職・プロジェクト終了のタイミングで、次が残ってしまうことです。

  • アクセス権が戻らない
  • 共有リンクが残る
  • 誰が見られる状態か分からない

自己評価の場では「規程がある」よりも「運用されている」ことが重く見られます。棚卸しがない組織は説明が苦しくなりがちです。

外部委託・取引先との受け渡しが“抜け穴”になりやすい

制度はサプライチェーンを意識した設計です。発注側が受注側に段階(★)を提示し、対策を促し、実施状況を確認する運用が想定されています。外部との受け渡し・委託先管理は「やっているつもり」では通りにくくなります。

「知らなかった」では済まないケースがある

外部委託・取引先とのファイル受け渡しは、規程があるかどうかよりも「現場が実際にどう送っているか」が自己評価上の重要論点になります。 特に、過去の慣習のまま残りやすい運用の一つが、パスワード付きZIPをメールで送る方式(いわゆるPPAP)です。暗号化ZIPは、メールゲートウェイ等の仕組み次第では中身の検査が難しくなり、結果としてマルウェアの侵入経路になり得ます。 自己評価では「ルールを書いた」で終わらせず、現場の受け渡し実態(メール添付、共有リンク、クラウド経由など)を棚卸しし、リスクの高い運用が残っていないかを確認対象に入れておく方が安全です。

出典: JPCERT/CC(Emotet関連注意喚起)https://www.jpcert.or.jp/at/2022/at220006.html

「説明できる自己評価」に必須の証跡設計

証跡は「誰が・いつ・何を・どう扱ったか」を示す材料

自己評価で強いのは、文章の綺麗さではなく“運用の痕跡”です。たとえば次のような証跡が揃っていると、質問に強くなります。

  • 権限付与の根拠(誰が承認したか/どの役割か)
  • 外部共有の履歴(いつ、誰が、何を、どの範囲で共有したか)
  • 操作履歴(閲覧、ダウンロード、削除、権限変更など)
  • 棚卸し記録(いつ、誰が、何を点検したか/結果)

監査ログは「検索→抽出→提出」までが一連の運用

ログは「取っている」だけでは足りません。必要な期間・対象で検索し、提出用に取り出せる状態が重要です。実務では、次の3点が揃うと“説明できる自己評価”になります。

  • 必要なログが残る(操作・共有・権限変更など)
  • 必要な条件で探せる(ユーザー/期間/対象など)
  • 必要な形で出せる(提出用に整えられる)

月次の棚卸しに落として「一回きり」を防ぐ

棚卸しは重くすると続きません。まずは月次で、以下だけを確認してください。

  • 退職者・異動者の権限が残っていないか
  • 外部共有が期限切れで回収されているか
  • 重要フォルダの権限が増えていないか(腐敗チェック)

棚卸しの記録(実施日、確認者、指摘事項、是正完了日)まで残すと、自己評価での説明が格段に楽になります。

教育・周知は変化点で行う

教育資料を作って終わりでは現場は変わりません。異動・新規取引・委託開始・ツール変更など、運用が変わるタイミングで短く周知する方が現実的です。その際、受け渡しルール(外部共有の期限、共有範囲、回収、例外申請)だけは必ず触れてください。事故が起きやすいポイントだからです。

★4要求が来る前に説明できる基盤を固める

制度運用が進むほど、取引先から求められる説明の粒度は上がる可能性があります。今の段階で、権限・ログ・棚卸しの基盤を整えておくと、追加要求が来ても慌てずに済みます。

Fleekdriveで補える実務ポイント

セキュリティ対策評価制度の自己評価(★3)で本当に問われるのは、「対策を知っているか」ではなく、運用として回っていて、第三者に説明できるかです。自己評価を成功させる近道は、25項目を「ルール・権限・ログ・棚卸し」に落とし、証跡が出せる状態まで整えることです。

Fleekdriveを使う場合は、権限管理と監査ログを軸に据えると、自己評価で求められる「説明可能性」を実務で支えやすくなります。結果として、取引先からの確認に慌てず、監査対応の工数を抑えながら、セキュリティと業務を両立する運用に近づきます。