この記事の内容は、以下のような人を対象にしています。
・情報セキュリティに関する新しい制度について理解しておきたいと思っている人。
皆さん、「サプライチェーン強化に向けたセキュリティ対策評価制度」ってご存じですか?
「うわ、この人ちょっと何言ってるかわからない」と思った人、まだページから離脱しないでください。決して難しい話をしようとしているわけではありませんので。
サプライチェーン強化に向けたセキュリティ対策評価制度(以下、SCS評価制度)は、取引先を含む組織全体のセキュリティ対策を「見える化」し、学校法人を含むあらゆる組織が安心して業務を進められるようにするための新しい仕組みです。
学校目線で言えば、取引先を選ぶ際に「この会社、どれだけセキュリティ対策に力を入れているのかな」というのが一目でわかるような仕組みということですね。
近年、学校法人でも「サイバー攻撃」「情報漏えい」「委託先のトラブル」など、外部業者に関連するリスクが増えています。
特に私立学校は、システム管理・経理・購買・設備点検など、多くの業務を外部に委託しているケースがあり、委託先の安全性をどう見極めるかが重要になっています。
こうした背景から国が進めているのが「SCS評価制度」です。
2026年度末頃の制度開始を目指して国が動いているようですが、この動きに合わせて情報セキュリティ関連の機器やサービスを提供している会社が売り込みを始めています。
この記事を書こうと思ったきっかけも、私の勤め先に営業があったからなんです。
ただ、この手の機器やサービスは専門家でないと内容が理解できず、つい相手方にお任せしてしまいがち。
そうなると、導入時だけでなく導入後も多額の資金がランニングコストとして学校から流れ出てしまいます。
だから、私立学校の事務員にとって早めに理解しておくことが重要だと感じています。
またそうした営業への対応だけでなく、制度の運用開始に備えて、委託業者の選定や情報管理の基準づくりなどを進めるためにも知っておいて損はないと考えております。
この記事では、事務員の方でも理解できるように、制度のポイントと学校現場での活用方法をわかりやすく解説します。
一応、私「情報セキュリティマネジメント試験」に合格しているので、多少なりともこの手の知識は持っていると思っています。
少しでも制度の理解の一助になれば幸いです。
なお、興味のある方は経済産業省やIPA(独立行政法人 情報処理推進機構)のサイトを見ていただければと思います。
個人的には難解な内容なのでおすすめしません。だからあえてリンクは貼りません。
【とりあえずここだけ】制度の趣旨と制定の背景
SCS評価制度とは、外部業者の“安全性レベル”を星(★)で示す仕組みで、学校が安心して委託先を選べるようにする新しい基準です。
ざっくり言うと、「松・竹・梅」のような設定になっています。
昭和の人間なので表現が古くて申し訳ありません。
★3:最低限のセキュリティ対策ができていますよ(梅)
★4:★3より高度な対策ができていますよ(竹)
★5:最上位レベルの対策ができていますよ(「最上位」の内容については国が検討中)(松)
これにより学校が委託先を選ぶ際に、
この会社は★3だから基本対策はできている。
この会社は★4だからより安心できるわ。
と判断しやすくなります。
学校側は「どの会社が安全か」を客観的に判断しやすくなり、外部委託に伴うリスクを大幅に減らすことができますね。
では、なぜこの制度が必要なのでしょうか。
理由は大きく3つありますので、学校目線で整理してみましょう。
① 学校を狙うサイバー攻撃が増えている
近年、学校を含む多くの組織が、外部の業者やクラウドサービスを利用して業務を行っています。
便利な一方で、委託先の弱点を狙ったサイバー攻撃が増えています。
実際、国内外で「委託先のシステムが突破され、学校の情報が漏えいした」という事例が増えています。
この記事を書いているのは2026年ですが、2月にとある大学の情報漏洩に関する調査報告が発表されていましたね。
これに関連しますが、以前の記事で、学校アカウントのメールアドレスにフィッシング詐欺メールが届いた話を紹介しました。
この類のメール、今も同じアカウントに届き続けています。
本当にこのサービスやクレジットカードの使用者だったら、思わずメール文面に記載のURLをクリックしてしまいそうになりますよ。
こんな感じで、学校法人の周りにはたくさんの情報セキュリティの脅威がひそんでいるわけです。
教育機関は個人情報の宝庫であり、攻撃者にとって魅力的なターゲットです。
そして、インターネットなしではあらゆる活動が制限されてしまうこのご時世、学校が被害者側になるこうしたトラブルは今後さらに増加することが予想されます。
そのため、国としても何らかの対策を講じる必要性が生じたというわけです。
② 委託先の安全性は学校側では判断しにくい
業務を委託する学校側からすれば、委託先に「セキュリティ対策をしています」と言われても、どこまで対策しているかは見えません。
しかし、学校の事務員が専門的なチェックをするのは現実的ではありません。
私の勤め先のような都会から離れた小規模な高校には、そんな専門家いませんからね。
情報の先生を探すだけでも一苦労なのに・・・。
そうなると、地域や規模に関わらず、安全に業務の委託先が選定できる仕組みが必要になってきます。
逆に委託される側も以下のような問題を抱えています。
- 発注元ごとに違う基準を求められる負担が大きい
- 何をどこまで対策すればよいか分かりにくい
こうした問題を解消するために検討されているのがこの制度というわけです
③ 国として“安全な取引”を広げたい
これまで見てきたように、サイバー攻撃のリスクは増加傾向にある一方で、学校単体のセキュリティ対策だけではどうにもならない状況にあります。
このような状況を放置していると、学校や企業などの健全な取引に悪影響を及ぼす可能性があるわけです。
ただ、国としては活発な経済活動を期待しています。
国の発展には経済成長が欠かせませんからね。
だから国は、企業や学校が安心して外部委託できる環境を整えるため、取引相手の安全性を見える化する仕組みを整備しようとしているわけです。
【実務の参考に】想定される事務員の関わり方
ここからは、私立学校の事務員が実務でどのように関わるのか、具体的にイメージできるように解説します。
●例1:システム会社や購買先の選定
学校では、以下のような業務を外部に委託することが多いです。
- 校務支援システムの運用
- ネットワーク管理
- 経理・給与計算などのバックヤード業務
さらに物品の購入・調達の際にはネット通販サイトを利用することもあり、これらの取引先がサイバー攻撃を受けると、学校の情報が漏れる可能性があります。
私の個人的な推測ですが、前述のフィッシング詐欺メールはネット通販サイトから流出しているのではと思っています。
同じサービスを利用している別の学校法人に勤める知人も同様のメールが届くと言ってましたので。
SCS評価制度が始まれば、その会社がどのレベルの対策をしているかを星の数で確認できるため、委託先選定の判断材料になります。
こうした部分での関わりがメインになると考えられます。
●例2:契約書や仕様書の作成
実際に取引先を選定した後、契約書や仕様書を取り交わすケースもあると思います。
規模の大きな学校法人であれば、それこそ企業でいうところの「法務部」的な部署がこれらの書類をチェックすると考えられます。
しかし、規模の小さな学校法人であればそんな専門部署を設けている余裕はありません。
多分、普通の高校は事務室の事務員が対応することになるんでしょうね。
私かな・・・。
だからある日突然、このような書類の作成担当に当たることも想定されます。
そのような事態に備えて、SCS評価制度を踏まえた対応ができるようになっておく必要があります。
例えば、
「★3レベルの対策を満たすこと」
「★4レベルの対策を求める」
といった形で、明確な基準を契約書に盛り込むといったことが考えられます。
担当になることに備えて覚えておきましょう。
●例3:学校内の情報管理ルール等の整備
SCS評価制度の要求事項は、学校の情報管理にも応用できます。
例えば、IPAの資料では★3の対応例として次のような対策が求められています。
- パスワードの管理ルールの制定
- 情報機器やOS、ソフトウェアの把握
- データの適切なバックアップ
- 従業員に対する教育の実施
- インシデント(トラブル)復旧計画の整備
これらは学校でも必要な対策であり、制度を参考にすることで校内のルール整備がしやすくなります。
もちろん、こうした要求事項を踏まえて、学校へサービスや機器を売り込みに来る会社に対応することも整備の一環だと考えられます。
冒頭で述べたように、こうしたサービスや機器は導入時だけでなくランニングコストも膨れ上がるケースが多いです。
学校法人の財政面も意識しながら、適切な情報セキュリティ体制を整えることが事務員には求められていることを理解しておきましょう。
【おまけ】売り込み対応のために知っておきたい用語
最後に実際に何社か営業を受けてみて、「この言葉よく聞くけど、あまり馴染みがないなぁ」と感じたものを紹介しておきます。
知っておけば、相手の話している内容の理解に役立つと思いますので参考にしていただければと思います。
あと「これって〇〇ですよね」と言えたら、相手に「こいつ、ド素人ではないな」という印象も与えられますよ。
用語①IDSとIPS
情報セキュリティ対策といえば、「外部からの不正な侵入を防ぐ」というイメージが真っ先に頭に浮かぶ人も多いのではないでしょうか。
学校に不審者が入らないようにする仕組みと似てますからね。
だから、普段身の回りで見かける「常駐警備員」や「防犯カメラ」といったものに置き換えて考えれば、馴染みのない情報セキュリティ用語も理解しやすいと思います。
その観点で言えばこの「IDS」と「IDP」は以下のようなものになります。
- IDS:不審者を検知したら鳴るサイレン
- IPS:不審者が侵入したら自動で降りるシャッター
シャッターがあったらサイレンいらないんじゃないの?
そう思ってしまいそうですが、そこはシステムの限界があります。
不審者じゃないのに不審者として認識してしまうというエラーがどうしても発生してしまうのです。
全然関係ない人をシャッターで締めだしたらダメですからね。
この2つ、営業の人が持ってくる資料の中でセットでよく見かけますので覚えておくといいと思います。
用語②WAF
これも身の回りのものに例えると「警備員」のような存在になります。
「F」はファイアウォールという単語ですが、これは聞き覚えがある人も多いでしょう。
このファイアウォールの特別版のようなものになります。
「訓練されたファイアウォール」といったところでしょうか。
- ファイアウォール:入校証のチェックだけ行う警備員
- WAF:手荷物検査や挙動チェックも行う警備員
とりあえずはこんな理解をしておけば、営業マンからなめられることはないと思います。
用語③UTM
これも営業の人が持ってくる資料で頻出の用語です。
先ほどのIDSやIPSなど、個別に導入しようとすると費用が多額になる可能性があります。
極端な例だと、人材派遣会社から警備員を雇い、A社にサイレンを設置してもらい、B社にシャッターをつけてもらうといった感じです。
そこで出番なのがUTM。
これは、様々なセキュリティ対策が一つにまとまった機器になります。
総合セキュリティ会社のようなイメージを持っていただければ十分かと思います。
「これ1台でお悩み解決!」と言わんばかりにどの会社もUTM設置を提案してきます。
もちろん便利なわけですが、オールインワンならではの問題点も。
例えば「IDSは別にいらない」といったカスタマイズが難しいといった点があります。
あと、個別に導入するよりかはましですが、それでも初期費用とランニングコストは結構かかります。
ランニングコストは年間数十万から百万程度といったところでしょうか。
もちろん導入内容によりますが。
知識としておさえておきましょう。
まとめ
SCS評価制度は、学校と委託先の双方が安心して業務を進められるようにするための「共通のものさし」です。
私立学校事務員にとっては、
- 委託先の選定
- 契約書の作成
- 校内の情報管理ルールの整備
など、日常業務に直結する重要な制度です。
制度は2026年度末の開始を目指して準備が進んでいます。
今のうちに概要を理解し、学校としてどのように活用するかを検討しておくことが大切です。
そうした業務にあたるうえでの参考にしていただければと思います。
最後までお読みいただき、ありがとうございました。
