【自工会サイバーセキュリティガイドラインが進化】2026年、サプライヤーに求められる第三者評価への備えとは
自動車業界のサプライチェーンは、一社のセキュリティ事故が全体に波及するほど密接に結びついています。これを背景に、日本自動車工業会(JAMA)と日本自動車部品工業会(JAPIA)は、業界共通の基準として「自工会/部工会・サイバーセキュリティガイドライン」を策定しています。
初版は2020年に公開され、2022年のVer2.0から3年計画として段階的な対応が進められてきました。特に「2025年3月までにレベル1到達を目標」とする方針が示され、ガイドラインの実質的な必須化(取引上の前提条件化)が進みつつあります。
2026年以降は、経済産業省が策定を進めている「サプライチェーンセキュリティ評価制度(仮称)」との連携も見据え、自己評価から第三者評価へ移行する可能性が注目されています。こうした流れの中で、企業は監査対応やチェックシート提出をスムーズに行えるよう、事前に体制を整えることが重要です。
1. 自工会/部工会 サイバーセキュリティガイドラインとは?
- 正式名称:自工会/部工会・サイバーセキュリティガイドライン(自動車産業向け)
- 策定:日本自動車工業会(JAMA) / 日本自動車部品工業会(JAPIA)
- 最新版:Ver2.3(2025年9月1日公開)
ガイドラインでは、37の要求事項と153の達成条件を整理し、自己評価用のチェックシートも付属しています。
Lv1〜Lv3の概要(記事内定義)
- Lv1:最低限の土台を整備(抜け漏れなく実装)
- Lv2:標準的なセキュリティ水準を拡張
- Lv3:最終到達点としての高度レベルを目指す
対象は主にエンタープライズ領域(OA環境)ですが、工場領域(OT)のドラフトも別途進行中です。
2. 「2026年に向けた準備」が現実味を帯びる理由
ガイドラインの目的は、業界共通の基準で“信頼のサプライチェーン”を構築すること。JAMAは各社に対し、毎年度の自己評価と結果提出への協力を促しています。
加えて、経済産業省が検討中の「サプライチェーンセキュリティ評価制度(仮称)」では、一部企業を対象に試行的な第三者評価が始まる可能性があり、これが将来的に本格導入される見込みもあります。そのため、「証跡を示し、説明できる状態」を先行して作っておくことが、取引先からの信頼につながります。
3. 対応を後回しにすることで起こりやすい3つの実務リスク
- セルフチェックの回答が抽象的になり、証跡を示せない。
- 監査や問い合わせ時に、ログや権限棚卸の整備が追いつかない。
- 「対応済み」と誤解され、事故時の説明責任が重くなる。
特に弱点になりやすい領域は「ID・認証」と「証跡(ログ管理)」です。
4. 多要素認証と証跡管理が鍵
ガイドラインでは、以下の点が論点として挙げられています。
- 多要素認証を導入すべき範囲・強度
- リモートアクセスの許可条件、未承認機器の管理
また、SaaSやVPN、社内Webのように利用範囲が広がるほど、「システムごとの棚卸・設定・ログ管理」が複雑化します。
5. GMOトラスト・ログインでの実務的な軽減策
ガイドライン準拠を進める現場では、監査で問われやすい領域から段階的に強化するのが現実的です。
- 認証の強化
- MFA(多要素認証)の適用範囲を整理
- アクセス制御
- 端末・場所・時間による制限
- 証跡・ログ整備
- 操作履歴を可視化し、監査対応を容易に
※GMOトラスト・ログインは中核領域の運用を支援しますが、ガイドラインの全要件を単独で満たすものではありません。
6. 現実的な90日ロードマップ
Week 1–2(7‐14日):対象システムの棚卸(SaaS / VPN / 社内Web / リモート保守等)
Month 1(30日):MFA適用方針を決定(対象範囲と強度)
Month 2(60日):アクセス制御とログ管理の整備
Month 3(90日):チェックシート回答に紐づく証跡提出の仕組みを構築
FAQ
Q. これは法令で義務づけられていますか?
A. 法令ではなく業界ガイドラインです。ただしJAMAは、毎年度の自己評価と結果提出への協力を強く推奨しています。
Q. ガイドラインには何が含まれますか?
A. Lv1〜Lv3で整理された要求事項・達成条件、および自己評価用のチェックシートです。
Q. 多要素認証(MFA)の導入は必要ですか?
A. 解説書内で、導入範囲と強度が重要な検討項目として挙げられています。
Q. 自己評価から第三者評価に代わるのはいつですか?
A. 現時点では明言されていませんが、経済産業省によって26年末に実施が予定されるSCS評価制度(仮称)から第三者評価に代わる可能性が高いと考えられています。