経産省、「信頼できるセキュリティ企業」を認定する制度を開始か その厳しい中身：時代は「診断」から「信用」に

経産省は、セキュリティサービス事業者の運営体制や情報管理体制などを確認する新たな認定制度を創設する方針を示した。経営体制や人員管理、利用ツール、データ保管先まで確認対象となる。制度創設の背景には何があるのだろうか。

[＠IT]

　経済産業省（以下、経産省）は2026年6月5日、「サイバーセキュリティ・サービス事業者の信頼性強化への検討会」の中間とりまとめを公表した。既存の「情報セキュリティサービス審査登録制度」を土台に、サービスの技術力や品質に加え、事業者の運営体制や情報管理体制などを確認する新たな認定制度を創設する方針だ。2026年度中に制度構築方針とガイドラインを策定し、2027年度中の開始を目指す。

品質認証から信頼性認証へ　2027年度の制度開始を目指す

　現在の情報セキュリティサービス審査登録制度は、脆弱（ぜいじゃく）性診断やデジタルフォレンジック、SOC（Security Operation Center）運用などのサービスについて、一定の技術要件や品質管理要件を満たしているかどうかを審査する仕組みだ。専門知識を持たない利用者でも一定水準のサービスを選びやすくすることを目的としており、2026年3月時点で398サービスが登録されている。

　一方、新制度が重視するのはサービスそのものの品質ではなく、「そのサービスを提供する事業者を信頼できるかどうか」という観点だ。新制度は現行制度の“二階部分”として位置付けられ、現行制度に登録されたサービスを対象に、事業者のガバナンスや人員管理、情報管理体制などを追加で確認する。

　政府機関や重要情報を扱う民間企業が利用することを想定しており、サービスの技術力は現行制度で、事業者の信頼性は新制度で確認する役割分担となる。

　こうした制度見直しの背景には、セキュリティサービス事業者の運営体制や管理不備が原因となり、顧客に被害が及んだ事例が国内外で発生していることがある。

　検討会資料では、HackerOneの元従業員が顧客の脆弱性情報に不適切にアクセスし、報奨金を得る目的で情報を外部に漏えいさせた事例や、Trend Microの元従業員が顧客情報を持ち出して第三者に売却した事例、Bitdefenderへの侵害によって顧客情報が漏えいした事例などを紹介している。

　また、欧米では特定のセキュリティ事業者に対し、サイバー攻撃への関与や国家安全保障上の懸念などを理由に、利用制限や活動禁止措置が講じられた例もある。

　経産省は「デジタル化の進展によってセキュリティサービス事業者が顧客の機微情報やシステムにアクセスする機会が増えている」と指摘する。サービスの品質だけでなく、事業者自身がリスク要因となり得ることから、運営体制を含めた信頼性の確認が必要になったとしている。

　新制度では、想定するリスクを「組織」「人」「ツール」「データ」の4つの観点に整理している。

　組織面ではガバナンス不備や資本関係、人の面では内部不正や従業員管理、ツール面では生成AIやクラウドサービスを含む利用ツールへのデータ入力による情報流出、データ面では保管先からの漏えいなどを想定する。

　また、検討会では外国の法的環境が国内企業の情報管理に影響を与える可能性も議論された。海外拠点や外国資本を持つ企業については、外国政府による情報提出要求や域外適用法の影響を受ける可能性があるため、こうした観点もリスクとして考慮する。

　そのため、新制度では規定整備や教育、人員管理に加え、ツール選定基準、標準外ソフトウェアの利用管理、クラウド利用ルール、アクセス管理などの実施状況を確認する方針だ。

ISMSに加えSCS評価制度も活用

　審査は企業単位とサービス部門単位に分けて実施する。

　企業単位では資本関係や所在地、役員情報、情報セキュリティ方針、情報セキュリティ体制、ツール調達基準、自社のサイバーセキュリティ対策などを確認する。

　サービス部門単位では、サービス責任者や取り扱う情報の管理方法、アクセス権限、ログ管理、物理的セキュリティ対策に加え、利用ツールの名称やメーカー、データ保管先、外部通信の有無なども確認対象となる。

　制度運用ではISMS認証を活用する。情報管理体制に関する要件との重複が多いことから、認定取得の前提としてISMS認証の取得を求める方針だ。

　さらに、共通の最低限のセキュリティ対策水準を確保するため、「サプライチェーン強化に向けたセキュリティ対策評価制度」（SCS評価制度）の星4以上の取得も要件とする。プライバシーマークの取得は必須ではないが推奨する。

　この他、新制度では認定事業者による業務委託にも厳しい条件を設ける。脆弱性診断やSOC運用など、サービス提供に直接関わる業務を他社に請負契約で委託することは原則として認めない。品質管理の対象外でサービスが提供されることを防ぐためだ。

　例外として、同じサービス区分で認定を取得した事業者への準委任や、信頼性評価を前提とした出向者の受け入れなどは認める方向で検討している。一方で、直接業務の再委託は禁止している。

　このため認定取得を目指す事業者には、自社でサービス提供体制を維持・管理できることがこれまで以上に求められることになりそうだ。

認定前に政府機関に照会　虚偽申告には認定取消しも

　認定事業者には顧客への情報開示義務も課される。

　顧客は契約締結前後を通じて、サービス提供に関与する事業者や責任体制、従事者の属性、利用ツール、データの取り扱い方法などについて説明を求めることが可能だ。また、情報漏えいなどのインシデント発生時には、政府機関や関係顧客への報告に加えて、犯罪者グループへの身代金支払いをしないなどの倫理的な対応も求める。

　認定審査では、事務局が経済産業省を含む政府関係機関への照会を実施し、その結果も踏まえて認定の可否を判断する。有効期間は3年間を想定している。

　さらに、虚偽申告や違反行為を防ぐため、「JC-STAR」（IoT〈モノのインターネット〉製品セキュリティラベリング制度）と同様のサーベイランス制度を導入する。虚偽や違反が確認された場合は是正を求め、改善されない場合には認定を取り消す。認定取消しは公表可能とする方針だ。

　今回の制度は、セキュリティサービスの品質認証制度を強化する取り組みというよりも、セキュリティ事業者の信頼性を評価する仕組みへと踏み出すものだ。

　これまでの制度が「そのサービスは一定水準の技術力を備えているかどうか」を確認するものだったとすれば、新制度は「その事業者に重要情報を預けてもよいか」を確認する制度だ。内部不正やサプライチェーンリスク、外国法令の影響などが現実の脅威となる中、セキュリティ事業者自身の信頼性が競争力として問われる時代が到来しつつある。