自動車業界のサプライチェーンは、一社のセキュリティ事故が全体に波及するほど密接に結びついています。これを背景に、日本自動車工業会（JAMA）と日本自動車部品工業会（JAPIA）は、業界共通の基準として「自工会/部工会・サイバーセキュリティガイドライン」を策定しています。

初版は2020年に公開され、2022年のVer2.0から3年計画として段階的な対応が進められてきました。特に「2025年3月までにレベル1到達を目標」とする方針が示され、ガイドラインの実質的な必須化（取引上の前提条件化）が進みつつあります。

2026年以降は、経済産業省が策定を進めている「サプライチェーンセキュリティ評価制度（仮称）」との連携も見据え、自己評価から第三者評価へ移行する可能性が注目されています。こうした流れの中で、企業は監査対応やチェックシート提出をスムーズに行えるよう、事前に体制を整えることが重要です。

1. 自工会/部工会 サイバーセキュリティガイドラインとは？

正式名称：自工会/部工会・サイバーセキュリティガイドライン（自動車産業向け）
策定：日本自動車工業会（JAMA） / 日本自動車部品工業会（JAPIA）（共同）
最新版：Ver2.3（2025年9月1日公開）

ガイドラインでは、37の要求事項と153の達成条件を整理し、自己評価用のチェックシートも付属しています。

Lv1〜Lv3の概要（記事内定義）

• Lv1：最低限の土台を整備（抜け漏れなく実装）
• Lv2：標準的なセキュリティ水準を拡張
• Lv3：最終到達点としての高度レベルを目指す

対象は主にエンタープライズ領域（OA環境）ですが、工場領域（OT）のドラフトも別途進行中です。

2. 「2026年に向けた準備」が現実味を帯びる理由

ガイドラインの目的は、業界共通の基準で“信頼のサプライチェーン”を構築すること。
JAMAは各社に対し、毎年度の自己評価と結果提出への協力を促しています。

加えて、経済産業省が検討中の「サプライチェーンセキュリティ評価制度（仮称）」では、一部企業を対象に試行的な第三者評価が始まる可能性があり、これが将来的に本格導入される見込みもあります。
そのため、「証跡を示し、説明できる状態」を先行して作っておくことが、取引先からの信頼につながります。

3. 対応を後回しにすることで起こりやすい3つの実務リスク

• セルフチェックの回答が抽象的になり、証跡を示せない。
• 監査や問い合わせ時に、ログや権限棚卸の整備が追いつかない。
• 「対応済み」と誤解され、事故時の説明責任が重くなる。

特に弱点になりやすい領域は「ID・認証」と「証跡（ログ管理）」です。

4. 多要素認証と証跡管理が鍵

ガイドラインでは、

多要素認証を導入すべき範囲・強度

リモートアクセスの許可条件、未承認機器の管理

などが論点として挙げられています。
また、SaaSやVPN、社内Webのように利用範囲が広がるほど、「システムごとの棚卸・設定・ログ管理」が複雑化します。

5. GMOトラスト・ログインでの実務的な軽減策

ガイドライン準拠を進める現場では、「すべてを一度に」整えるより、監査で問われやすい領域（認証・アクセス・ログ）」から段階的に強化するのが現実的です。

主な対策例

• 認証の強化（MFAの適用範囲を整理）
• アクセス制御（端末・場所・時間による制限）
• 証跡・ログ整備（操作履歴を可視化）

GMOトラスト・ログインは、これらの中核領域を統合的に運用することで、自己評価・監査対応の負担を軽減できます。
※ ただし、ガイドラインの全要件を単独で満たすものではありません。

6. 現実的な90日ロードマップ

• Week 1–2（7‐14日）：対象システムの棚卸（SaaS / VPN / 社内Web / リモート保守等）
• Month 1（30日）：MFA適用方針を決定（対象範囲と強度）
• Month 2（60日）：アクセス制御とログ管理の整備
• Month 3（90日）：チェックシート回答に紐づく証跡提出の仕組みを構築

FAQ

まとめ：2026年以降に備え、「説明できるサプライヤー」になる準備を

自工会/部工会ガイドライン対応は、単なるルール遵守ではなく、取引先に安心と信頼を証明するための基盤づくりです。
現場では、まず「認証」と「証跡」から整備を始めることが、今後の評価制度への最良の備えになります。