取引先から突然、「セキュリティチェックシートを提出してください」と連絡が入る。製造業の現場では、こうした場面が増えていると聞きます。提出期限は2〜3週間後。社内に情報セキュリティを専任で担当する人間はおらず、ISMSもプライバシーマークも取得していない。何から手をつければいいか、わからない——。

いま、業種や企業規模に関わらず、多くの中小製造業が直面しているのはこういった状況ではないでしょうか。

チェックシートを受け取った担当者が最初に感じるのは「うちは認証を持っていないから、正直に書いたら取引を切られるのでは」という不安です。しかし実際には、認証の有無だけが評価されるわけではありません。現状の対策内容を正確に・誠実に示すことが、発注側の求めていることです。

この記事では、製造業の中小企業がセキュリティチェックシートに回答する際に問われやすい設問カテゴリと、ISMS未取得でも実態を正確に伝えるための考え方を解説します。あわせて、今回の対応を機に最低限整えておきたい社内の体制についても触れます。

製造業にセキュリティチェックシートが届く背景

サプライチェーン対策の強化が求める「証拠」

近年、大手メーカーやOEMメーカーがサイバー攻撃を受けたケースの多くで、侵入経路が取引先・外注先であったことが明らかになっています。攻撃者は防御が手厚い発注元を直接狙うより、セキュリティ対策が手薄な中小の協力会社を経由してシステムに侵入する手口（サプライチェーン攻撃）を選ぶ傾向があります。こうした背景から、発注側は一次・二次サプライヤーに対して、セキュリティ対策状況の確認を義務付ける方向に動いています。

経済産業省の「サイバーセキュリティ経営ガイドライン」（Ver3.0）でも、サプライチェーン全体での対策推進が経営者の重要10項目のひとつとして位置づけられており、チェックシートの送付はその実践的な手段として定着しつつあります。サプライチェーン攻撃の背景と中小企業が問われる説明責任についても、別記事で詳しく解説しています。

「うちには関係ない」が通じなくなった理由

設計図面・部品仕様・試作データ・顧客の注文情報など、製造業の現場には機密性の高い情報が日常的に流通しています。取り扱う情報の性質上、製造業は標的型攻撃の対象になりやすく、発注側もそのリスクを認識しています。従業員が数名規模であっても、技術情報を扱う事業者であれば、セキュリティ対応を求められる場面はこれからも増えていく傾向があります。

「うちは小さいから関係ない」という判断が通用しなくなったのは、攻撃者の視点からすれば規模より情報の価値が優先されるからです。製造業特有の事情として、このことは特に意識しておく必要があります。

チェックシートで問われやすい設問カテゴリと回答の考え方

組織・体制に関する設問（責任者の有無・規程の整備）

「情報セキュリティ責任者を設置していますか」「セキュリティポリシーを策定していますか」という設問は、ほぼすべてのチェックシートに含まれています。ISMS未取得でも、代表者や総務担当者を責任者として任命し、「情報セキュリティ基本方針」を1〜2ページで文書化してあれば、「設置している（認証なし）」として記載できます。

何も整備していない状態で「なし」と書くより、最低限の対応状況を正確に伝えることが重要です。認証の有無とは別に、取り組みの実態を言葉にして示すことが、発注側との信頼関係を維持するための基本です。情報セキュリティ基本方針の作り方については、中小企業が情報セキュリティポリシーを作る手順で詳しく解説しています。

技術的対策に関する設問（パスワード・アップデート・アクセス管理）

「OSやソフトウェアは定期的に更新していますか」「パスワードポリシーを定めていますか」といった設問は、独立行政法人 情報処理推進機構（IPA）の「情報セキュリティ6か条」に準拠した基本対策で対応できます。工場の生産設備に接続するPCや、設計データを扱う端末については、更新作業の計画的な実施とアクセス権限の整理が特に問われやすいポイントです。

「運用している」と回答する場合は、その実態が伴っているかを先に確認しておく必要があります。書面と現場のギャップがあると、取引先からの追加確認や差し戻しにつながるおそれがあります。

外注先・サプライチェーンに関する設問

「外注先のセキュリティ対策を確認していますか」「業務委託契約に機密保持条項を設けていますか」という設問は、製造業特有の難所です。加工・組み立てを外注している場合、その先のセキュリティ状況を把握していないことが多いからです。

NDA（秘密保持契約）や業務委託契約にセキュリティ条項を追加することで、「契約上の要求事項として定めている」と記載できる状態を作ることが、実務的な対応の第一歩になります。既存の契約書を見直し、条項が不足していれば追加・修正することを、今回のチェックシート対応と並行して検討することをお勧めします。

「認証なし」でも正確に・適切に回答するための考え方

「なし」と「未整備」を区別して現状を正確に伝える

ISMS・プライバシーマーク未取得であっても、何らかの対策を講じていれば、その実態を具体的に記載することができます。「認証取得なし」はあくまで認証の有無であり、対策の有無とは別の話です。

「ウイルス対策ソフトを全端末に導入しており、定義ファイルは自動更新で管理している」「入退室は社員証によるICカード管理を行っている」といった形で実態を文章として記述することが、発注側への誠実な回答になります。設問に対して「なし」の一言で済ませてしまうと、実際には対策を講じていても、何もしていない事業者と同じ評価を受けるおそれがあります。

SECURITY ACTIONを活用した自己宣言の方法

IPAが運営するSECURITY ACTIONは、中小企業が自己宣言する形式のセキュリティ取り組み認定制度です。審査は不要で、「情報セキュリティ6か条」（一つ星）への取り組み宣言であれば、今すぐにでも対応に向けて動き出すことができます。チェックシートの「セキュリティに関する取り組み・認定」欄に記載でき、「認証なし」から「自己宣言あり」に変わるだけで、回答の厚みが出ます。

一つ星と二つ星の違いや、どちらを選ぶべきかについては、SECURITY ACTIONの一つ星と二つ星の違いと目的別の選び方で整理しています。チェックシート提出の前後を問わず、登録しておく価値のある制度です。

回答と並行して整備すべき最低限の対策

「情報セキュリティ基本方針」の文書化

1〜2ページの文書でも、策定・公開していれば組織体制に関する設問の大半に対応できます。記載すべき内容は、対策の目的・責任者・主な対策方針・見直しの周期の4点です。テンプレートを流用する場合も、自社の事業内容・規模・扱う情報の種類に合わせて書き直すことが必要です。

他社からコピーした文書では、審査の過程で「実態を反映していない」と判断されるリスクがありますし、何より万が一の事故発生時に文書と実態のズレが判明し、取引先からの信用を失いかねません。文章の精度よりも、自社の実態に即した内容になっているかどうかが、発注側の判断基準になります。

生産設備と事務系システムが混在する環境の整理

製造業のセキュリティ対応で見落とされやすいのが、工場内の生産設備（OT環境）と事務系ネットワーク（IT環境）が混在した状態です。設備制御用のPCが社内LANと同じセグメントに置かれている、製造ラインに接続された端末が長年OSのアップデートを行えていない、設計データのNASに全員がアクセスできる状態になっている。こうした実態は、製造業の現場では珍しくありません。

OT/IT混在環境はサイバー攻撃の侵入経路として狙われやすく、発注側も近年この点を設問に盛り込む傾向があります。棚卸しの手順として、端末の一覧化・OSバージョンの確認・ネットワーク構成の把握・共有フォルダのアクセス権限の見直しを行うだけでも、次のチェックシート回答時の状況は変わります。チェックシート対応を機に着手することが、この問題への最短経路となります。

提出前に確認するセルフチェックリスト

1. 情報セキュリティ基本方針が文書化され、社内で共有されているか確認する
2. 情報セキュリティ責任者（または担当者）の氏名と役職が明確に特定されているか確認する
3. すべてのPC・サーバーにウイルス対策ソフトが導入され、定義ファイルが最新の状態に保たれているか確認する
4. 主要なシステムのIDとパスワードが個人任せになっておらず、変更ルールや複雑性の基準が定められているか確認する
5. 外注先との契約書に機密保持条項またはセキュリティ条項が含まれているか確認する
6. 生産設備に接続されたPC・端末のOSバージョンと更新状況を把握しているか確認する
7. 重要データ（設計図面・顧客情報等）へのアクセス権限が必要最小限の担当者に限定されているか確認する
8. インシデント発生時の連絡先と対応手順を担当者が把握しているか確認する
9. 回答内容が現在の実態と一致しているか（誇張・過小申告がないか）最終確認する

まとめ

セキュリティチェックシートへの対応は、「提出するために書く」で終わらせないことが重要です。回答の過程で自社の現状を棚卸しすることで、次の取引先要求に備えた体制整備の起点にできます。認証を持たない段階でも、実態を正確に示し、継続的な改善の意志を文書で示すことが、発注側との信頼関係を維持する実務的な方法です。

なお、取引先からのセキュリティ確認は一度提出して終わりではなく、契約継続や新規取引の都度、定期的に届くのが実態です。今回の対応内容と整備した文書を社内に記録として残しておくことが、次回以降の対応工数を大きく削減します。製造業固有のOT/IT混在環境の整理は、チェックシート対応を機に着手するのが最短経路となります。

ご相談について

セキュリティチェックシートへの回答に不安がある場合や、回答前に自社の対策状況を整理したい場合は、一度ご相談ください。情報処理安全確保支援士（登録セキスペ）として、製造業の現場実態に即した回答支援と体制整備のサポートを行っています。

初回のご相談では、以下を確認しながら対応方針をお伝えします。

• 受け取ったチェックシートの設問内容と回答期限
• 現状の対策状況（書面・口頭どちらでも可）
• 取引先との関係性・契約状況

まずはお気軽にお問い合わせください

この記事でわかること

• チェックシートを「送るだけ」にすると委託先管理として不十分になる理由
• 機能するチェックシートに必要な4つの要素（設問・評価・証跡・契約接続）
• 設問例をもとにした「何を・どう確認するか」の具体的なイメージ
• 自社で作ろうとしたときに詰まりやすいポイント
• 専門家に依頼した場合に何が納品され、何が楽になるか

ーー”取引先に送るセキュリティチェックシートが必要になった。でも、何をどう聞けばいいのか、よくわからない。”

この記事は、そういう状況にある担当者の方に向けて書いています。

業務を外部に委託している、またはこれから委託しようとしている企業において、「セキュリティ上の確認が必要」という場面は確実に増えています。大手取引先や官公庁から「チェックシートを整備してほしい」と求められるケースもありますし、自社が新しい委託先を選定するにあたって送る必要が生じることもあります。

ただ、チェックシートは「送った事実」に意味があるのではありません。評価できる形で確認できているかどうかが重要です。

この記事では、機能するチェックシートに必要な要素と、自社で設計しようとしたときに詰まりやすいポイントを整理します。

「送るだけ」で終わるチェックシートの実態

チェックシートを作成して取引先に送ること自体は、難しいことではありません。ネットで検索すれば、それらしいテンプレートもすぐに見つかります。

しかし、こんな経験はないでしょうか？

• 返ってきた回答が全部「はい」で、何も判断できない
• 会社ごとに回答の粒度がバラバラで、比較できない
• 証跡を求めていないため、回答が正しいかどうか確認する術がない
• 結局、法務・情シス・現場で再確認が発生する
• インシデント発生時の連絡ルールや再委託の扱いが、契約内容とズレていた

これらはいずれも、「送った」という事実はあるのに、実効性のある確認にはなっていない状態です。

個人データの取り扱いを委託する場合、委託元には委託先の安全管理状況を確認し監督する義務（個人情報保護法25条）があります。チェックシートを送付した事実だけで、その責任が果たされるわけではありません。

重要なのは「送ること」ではなく、「評価できる形で確認できていること」です。

機能するチェックシートに必要な4つの要素

機能するチェックシートは、以下の4点がセットで設計されていることが多いです。

① 設問の設計

何を・どの粒度で・どの優先度で聞くか。

単に「対策していますか？」と聞くのではなく、「何について・どこまで・どんな形式で」確認するかを決める必要があります。全企業共通で確認すべき項目だけで約30問あり、取引形態や業種によってさらに追加されます。

② 回答の評価基準

返答をどう判定するか（合格／要改善／不明）。

回答を集めたあと、それをどう評価するかの基準がなければ、結局「なんとなく大丈夫そう」という判断になってしまいます。評価基準は設問ごとに決めておく必要があります。

③ 証跡・裏付け資料の要求

文書・設定・ログ・監査報告書のどれを、どの形式で提出してもらうか。

証跡の要求がなければ、回答はいくらでも「はい」にできます。何を根拠として提示してもらうかを、あらかじめ設計しておくことが重要です。

④ 契約・是正・定期見直しへの接続

確認した内容を契約条項に落とし、問題があれば是正を求め、定期的に更新する運用まで設計する。

チェックシートは「単なる質問票」ではなく、委託先管理フロー全体の一部です。一度確認して終わりではなく、是正の合意・定期的な再評価まで含めて設計しないと、管理として機能しません。

チェックシートを送ることと、委託先管理が機能していることは、イコールではありません。

設問例：何をどう確認するのか

「4つの要素がセットで必要」と言われても、具体的にどういうことか、設問例でイメージしてもらうのが早いと思いますので、サンプルとして一部を紹介します。

例①：多要素認証（MFA）の導入状況

「導入していますか？」という問いでは不十分です。

「どの範囲に適用しているか」「証跡として何を提示できるか」「未導入の場合の代替統制は何か」といった、もう少し踏み込んだ情報がセットで確認できて初めて、適切に評価できます。全社導入と特権IDのみでは、リスクの大きさが全く異なるからです。

例②：委託先・再委託先の管理

「管理しています」という回答では検証できません。

「再委託先の一覧を開示できるか」「監督の記録があるか」「契約条項にセキュリティ要件が明記されているか」まで確認する必要があります。自社への委託先が、さらに別の会社に業務を流している場合のリスクまで把握できているかが問われます。

例③：インシデント発生時の通知ルール

「対応しています」では判断できません。

「第一報をいつまでに・どの手段で・何を含めて連絡するか」が契約条項と運用手順の両面で定義されているかを確認する必要があります。これが曖昧なまま事故が起きると、対応が後手に回るおそれがあります。

例④：個人データ・機密情報の取扱範囲

どんな種類のデータをどの範囲で扱っているかが特定できないと、他の設問の深さを決めることができません。そういった意味では、最初に確認すべき前提項目です。

なお、これらはあくまで一部です。設問の適切な粒度や優先順位は、取引形態・業種・取り扱うデータの種類によって変わります。

「自分で作ればいい」と思う前に

設問のイメージが少しつかめたところで、「であれば自社で作ればいい」と思われた方もいるかもしれません。

作ること自体は、それほど難しいものではありません。ただ、機能する形にすることは、別の話です。

実際に自社で取り組んだ担当者が詰まりやすい場面を5つ挙げてみます。

場面①：設問を作れても、返ってきた回答を比較・評価できない

評価基準が定まっていなければ、回答が集まっても「どう判断するか」が毎回属人的な判断になってしまいます。

場面②：個人情報を扱う委託かどうかで、確認の深さが全く変わる

何を取り扱っているかによって、設問のボリュームも優先度も異なります。一律のテンプレでは、過不足が生じます。

場面③：取引先に要求しすぎると回答率が落ち、甘くすると意味が薄れる

「どこまで求めるか」のバランスは、実務上判断が難しいところです。

場面④：契約条項と設問内容が噛み合っていない

確認した内容と契約内容の整合性が低いと、万が一事故が起きたときに「確認した」という事実が活かせません。

場面⑤：毎年見直せる設計になっておらず、1年後には陳腐化している

チェックシートは一度作って終わりではなく、継続的に更新する運用が必要です。

難しいのは「設問を作ること」ではなく、「委託先管理として機能させること」です。

専門家に依頼すると何が変わるか

ビーンズセキュリティサービスにご依頼いただいた場合、以下を整理・納品します。

• 自社の取引形態・業種・取扱データに合わせた設問リスト（全企業共通＋業種別追加項目の構成）
• 返答をどう判定するかの回答評価表（合格／要確認／要是正）
• 何をどの形式で提出してもらうかの証跡依頼テンプレート
• 再委託・事故時通知・個人情報取扱に関する重点確認項目
• 回収後の評価から是正合意・定期更新までの社内運用フロー

単なるセキュリティ技術の観点だけでなく、委託管理・契約条項・個人情報の安全管理・事故時通知ルールまで接続した設計ができることが、当サービスの特徴です。

「チェックシートを送って終わり」にしない。実務で機能する形に整えることが、私たちの役割です。

まとめ

• 取引先へのチェックシートは「送った事実」ではなく、「評価できる形で確認できているか」が重要
• 機能するチェックシートには設問・評価基準・証跡要求・契約との適合の4要素がセットで必要
• 自社で作ること自体は可能だが、「委託先管理として機能させること」には専門的な設計が求められる
• テンプレの流用では、業種・取引形態・取扱データに応じた過不足が生じやすい

既存のシートを見直したい方・これから作る方へ

既存のセキュリティチェックシートの診断、叩き台の整理、回収後の評価方法の設計など、どの段階からでも対応しています。まずは現状をお聞かせください。30分で、何が足りないかをお伝えします。

→ 現状を無料で確認する

関連記事

• セキュリティチェックシートとは？届いたときの見方・よくある項目・対応の流れ
• サプライチェーン攻撃とは？取引先からチェックシートが届く理由と、中小企業が問われる説明責任
• セキュリティチェックシートの”証跡”とは？提出を求められたときの考え方・具体例・ない場合の対応

この記事でわかること

• サプライチェーン攻撃とは何か、なぜ中小企業が「踏み台」にされるのか
• 取引先からセキュリティチェックシートが届く理由の本質
• 「もらい事故でした」では済まない、中小企業に問われる3つの説明責任
• 取引先に”説明できる状態”を作るための3つの視点

近年、自社のセキュリティ対策はきちんとやっているが、取引先経由で被害が及ぶといった事故が増えています。

原因は、企業活動の構造そのものが変わったことにあると考えられます。これは、自社ネットワークだけを守っていれば安全、という前提が崩れたことによるものです。

この記事では、その背景にある「サプライチェーン攻撃」の仕組みと、取引先からセキュリティチェックシートが届く理由の本質、そして事故が起きたときに中小企業に問われる説明責任を整理します。

「自社は対策している」のになぜ被害に遭うのか

かつての企業のセキュリティ対策は、「自社のネットワークを守る」ことが中心でした。自社内のシステムを整備し、社員のリテラシーを高めれば、一定の安心感が得られる時代があったのは事実です。

しかし現在、多くの企業は業務の一部をクラウドサービスや外部委託先に依存しています。ITベンダー、業務委託先、SaaS、取引先など、これらなしに事業を回すことはもはや困難な時代です。

問題は、こうした外部とのつながりが、自社では直接コントロールできないリスクを生んでいる、ということです。
自社の対策がどれだけ充実していても、つながっている先の1社で事故が起きれば、その影響が自社に波及します。

サプライチェーン攻撃とは：中小企業が「入口」にされる構図

「サプライチェーン攻撃」とは、攻撃者が標的企業を直接狙うのではなく、その取引先や委託先を経由して侵入を試みる手法です。

攻撃者の視点から見ると、セキュリティが強固な大企業に直接侵入するより、取引関係にある中小企業を踏み台にする方がはるかに効率的です。
中小企業は、大企業と比べてセキュリティ対策が手薄になりやすい一方で、大企業のシステムやデータ、そしてその”中の人”への接続点を持っています。
この非対称性が、中小企業が狙われる理由です。

IPA（独立行政法人 情報処理推進機構）の「情報セキュリティ10大脅威」でも、サプライチェーンを悪用した攻撃は毎年上位に挙げられています。詳細はIPAの公式ページをご参照ください。

※なお、この記事で取り上げるのは一般的な解説です。個別の技術的対策については、各種ガイドラインや専門家にご相談ください。

「もらい事故でした」では済まない、問われる3つの説明責任

サプライチェーン攻撃による事故は、「自社ではなく取引先に原因がある」というケースが少なくありません。しかし現実には、「うちは直接攻撃されたわけではない」という説明は、取引先や顧客に対してほとんど通用しないといえます。

問われるのは、次の3つです。

① 初動対応の説明責任

取引先や顧客が最初に見るのは「事故の内容」より「御社がどう動いたか」です。連絡が遅い、説明がかみ合わない、状況把握ができていない・・・こうした初動の乱れは、事故そのもの以上に信頼を損なうおそれがあります。

「対応の姿勢」が問われる場面で、準備がないと致命的な遅れにつながります。

② 委託先管理の義務（個人データを扱う場合）

個人データの取扱いを外部に委託している場合、個人情報保護法は委託元に対して委託先への「必要かつ適切な監督」を求めています（個人情報保護法25条）。

「委託先が事故を起こした」のだとしても、委託元としての管理責任が免除されるわけではありません。御社が個人データを「送る側」でも「受ける側」でも、この観点は無関係ではありません。

③ サプライチェーン管理の不備としての経営責任

経済産業省「サイバーセキュリティ経営ガイドライン Ver3.0」では、経営者に対してサプライチェーン全体のセキュリティ対策推進を求めています。
つまり、「取引先で起きたことだから」は経営上の言い訳にはなりません。事前にどう備えていたか、事後にどう対応したかが、経営者として問われます。

経営者が具体的に問われる法的リスクの詳細は、セキュリティ対策に消極的な経営者が問われる責任とは？任せるだけでは守れない法的リスクで整理しています。

なぜ今、取引先からセキュリティチェックシートが届くのか

「長年の取引がある会社からセキュリティチェックシートが届いた」という状況は、ここ数年で急増しているようです。

この背景には、大手企業側の事情があると考えられます。

大手企業は「サイバーセキュリティ経営ガイドライン」や個人情報保護法上の委託先監督義務を踏まえ、取引先のセキュリティ状況を定期的に確認する仕組みを整えています。また、ISMS（ISO 27001）等の認証を取得している企業は、認証維持の要件として委託先管理が求められます。チェックシートの送付は、こうした仕組みの一環です。

つまり、チェックシートが届くのは「御社を疑っているから」ではなく、大手企業が自社のサプライチェーン全体のリスクを管理するために必要な確認をしているからです。

そして重要なのは、チェックシートへの回答が「御社のセキュリティ対策の状態を説明できるかどうか」を問うものだという点です。

実際のところ、「対策はしているが、文書化・言語化されていない」というケースは中小企業に非常に多いのではないでしょうか。

設問に答えられないのは、対策が何もないからではなく、対策を「説明できる状態」に整えていないことが原因であるケースが大半です。

チェックシートの全体像・届いたときの対応ステップは、セキュリティチェックシートとは？届いたときの見方・よくある項目・対応の流れで詳しく解説しています。

取引先に”説明できる状態”を作る3つの視点

チェックシートへは、事前の準備なしでは対応・回答できない問いを突きつけてくるものも少なくありません。

逆に言えば、日頃から以下の3点を整えておくだけで、回答精度と対外説明力は大きく変わるといえます。

① 何を持っていて、どこにつながっているかを把握する

「御社が取り扱っている情報の種類と保管場所を教えてください」
「利用しているクラウドサービスや委託先を教えてください」

チェックシートでは、こうした設問が必ずと言っていいほど登場します。

この問いに答えられない会社は、他の設問にも一貫して答えられません。なぜなら、何をどこで扱っているかが分からないと、「どこまで対策しているか」も整理できないからです。

情報資産（顧客情報、契約情報、業務データ等）の保管場所と、外部との接点（利用中のSaaS、委託先、クラウド等）を一覧化することが、説明できる状態への第一歩です。

② 「やっている」を「証明できる」に変える

セキュリティ対策を実施していても、証跡（裏付け資料）がなければ取引先には伝わりません。「パスワードポリシーはありますか？」という設問に「あります」と答えても、規程も設定画面も示せない状態では、取引先は評価のしようがありません。

「やっている」と「証明できる」は別物です。

対策を実施しているのであれば、その根拠となる資料を示せる状態に整えることが、チェックシート対応の実質的な作業の多くを占めます。

証跡の考え方・具体例・ない場合の対処は、セキュリティチェックシートの”証跡”とは？提出を求められたときの考え方・具体例・ない場合の対応で解説しています。また、頻出する設問とその書き方は取引先セキュリティチェックシートの頻出質問20選：中小企業の”迷わない書き方”例を参照してください。

③ 事故が起きたときの「最初の動き」を決めておく

サプライチェーン攻撃の被害が及んだとき、御社に最初に求められるのは「状況の説明」と「初動の連絡」です。

誰に・何を・いつ報告するか。

これが決まっていない会社は、取引先への連絡が遅れ、「対応の遅さ」で信頼を失いかねません。

見落としやすい点かもしれませんが、事故の内容より「対応の姿勢」で評価が下がるケースは現実に起こり得ます。
だからこそ、初動の型を事前に決めておくことが、事故発生時の被害を最小化する最も確実な方法です。

初動整備を60分で行うサービスについては、取引先対応・初動整備60分｜30分で答えられる状態へをご覧ください。

こんな状態なら、一度整理することをお勧めします

上記の3点を踏まえたうえで、なぜ「説明できない状態」が生まれるのかを考えると、多くの場合は「対策が属人化している」「担当者が決まっていない」「文書として残っていない」といった構造的な問題に行き着くことが多いと思います。

以下のような点で、御社に当てはまるものがあれば、一度立ち止まって考えることが求められます。

• 取引先ごとにチェックシートの回答内容がブレている
• 証跡を求められると、何を出せばよいか分からず混乱する
• 「Yesと書いていいか」の判断基準が社内に誰もいない
• 差し戻しを受けたが、何が不十分だったのかが分からない
• 事故が起きたとき、誰に・何を・いつ連絡するかが決まっていない
• 「はい」と回答したが、後から聞かれたら答えられる自信がない

これらは対策の意欲や能力の問題ではなく、「整理・文書化・言語化」が追いついていないことから生まれます。

そして、整理することは一から作り直すことではなく、今ある対策を「説明できる状態」に整えることであり、それこそが多くの場合において必要なものだといえます。

まとめ

• サプライチェーン攻撃とは、取引先を踏み台にして標的企業に侵入する手法。防御が手薄な中小企業が「入口」にされやすい
• 取引先からチェックシートが届くのは、大手企業がサプライチェーン全体のリスクを管理するための仕組みの一環
• 他社起因の事故でも、初動対応・委託先管理義務・経営者の備えという3つの観点から説明責任が問われる
• 「対策していない」のではなく「説明できる状態になっていない」ケースが多く、整理することで対応できる

チェックシートが届いていて対応に困っている方は、まず30分の無料相談で現状をお聞かせください。登録セキスペ＆行政書士が、回答の進め方から優先すべきポイントまで整理します。

→ 無料相談を予約する

まだ時間に余裕があり、自社の現状を確認したい方は、こちらからどうぞ。

→ 超簡易セキュリティチェックを試す

関連記事

• セキュリティチェックシートとは？届いたときの見方・よくある項目・対応の流れ
• 取引先セキュリティチェックシートの頻出質問20選：中小企業の”迷わない書き方”例
• セキュリティチェックシートの”証跡”とは？提出を求められたときの考え方・具体例・ない場合の対応
• セキュリティ対策に消極的な経営者が問われる責任とは？任せるだけでは守れない法的リスク
• 取引先対応・初動整備60分｜30分で答えられる状態へ

この記事でわかること

• セキュリティチェックシートとは、取引先が自社のセキュリティ対策状況を確認するための質問票
• 届いたらまず①期限の確認 ②設問全体の把握 ③証跡提出の要否を確認
• 設問は大きく7カテゴリに集約でき、対応は5つのステップで進められる
• すべてを「はい」にする必要はない。大事なのは正直に現状を伝えること

ーー”取引先から突然「セキュリティチェックシート」が届いた。何ページもある設問に、回答期限まで付いている。何をどう答えればいいのか、そもそもこれは何なのか・・・。”

この記事は、チェックシートが届いて「まず何を知ればいいか」を整理するための入門記事です。専門知識がなくても読める構成にしていますので、全体像をつかんだうえで、具体的な対応は各テーマの詳細記事で深掘りしてください。

セキュリティチェックシートとは何か

セキュリティチェックシートとは、取引先が自社に対して、情報セキュリティ対策の実施状況を確認するために送付する質問票のことです。

正式な名称が統一されているわけではなく、「セキュリティアンケート」「情報セキュリティ確認書」「セキュリティ調査票」など、取引先によって呼び方はさまざまです。形式もExcel、Webフォーム、PDFなど多様ですが、聞いていることの本質は共通しています。

サプライチェーン全体でのセキュリティ管理が重視される中、中小企業にもセキュリティ確認が及ぶ場面は確実に増えています。チェックシートの回答内容は、取引開始・継続の判断材料として扱われることがあります。

ただし、すべての設問に「はい」と答える必要はありません。むしろ虚偽の回答というのは最も避けるべきです。 大事なのは正直に現状を伝え、必要に応じて改善の意思を示すことです。この点は記事の後半でも繰り返しお伝えしますが、最初に知っておいていただきたいポイントです。

なぜ取引先がチェックシートを送ってくるのか

では、なぜ取引先は自分の会社にチェックシートを送ってきたのでしょうか。

ここを理解しておくと、設問の意図が読み取りやすくなり、回答の方針も立てやすくなります。背景には、大きく2つの理由があります。

理由①：サプライチェーン攻撃のリスク

サイバー攻撃者は、セキュリティが強固な大企業を直接狙うのではなく、取引先である中小企業を踏み台にして侵入する手法を取ることがあります。IPA（独立行政法人 情報処理推進機構）の「中小企業の情報セキュリティ対策ガイドライン 第3.1版」でも、サプライチェーンを構成する中小企業が攻撃の足掛かりにされるリスクが明記されています。

また、経済産業省の「サイバーセキュリティ経営ガイドライン Ver3.0」では、重要10項目の一つとして、ビジネスパートナーや委託先を含めたサプライチェーン全体でのセキュリティ対策推進が求められています。取引先がチェックシートを送るのは、こうしたリスク管理の実践の一環です。

つまり、チェックシートは取引先が「御社のセキュリティに問題がないか」を確認するための手段であると同時に、取引先自身がサプライチェーン全体のリスクを管理するための手段でもあるのです。

なお、サプライチェーン攻撃の仕組みと、中小企業に問われる説明責任については、「サプライチェーン攻撃とは？取引先からチェックシートが届く理由と、 中小企業が問われる説明責任」で詳しく解説しています。

理由②：法令上の義務

個人データを取り扱う業務を委託する場合、個人情報保護法やそのガイドライン上、委託元には委託先の安全管理状況を確認し監督する義務が課されています。チェックシートは、この確認を行うための手段の一つです。

すべてのチェックシートがこの法令を直接の根拠としているわけではありませんが、個人データの受け渡しが発生する取引関係では、この法的背景があることが多いです。

※参考：個人情報保護法25条（委託先の監督）。個人データを取り扱う場合に適用される法的根拠です。

補足：認証制度が背景になる場合も

なお、取引先がISMS（ISO 27001）やプライバシーマーク等の認証を取得している場合は、認証の維持要件として委託先の管理が求められるため、チェックシート送付の背景になることがあります。

チェックシートでよく聞かれる項目の全体像

チェックシートを初めて見ると、設問の多さに圧倒されるかもしれません。しかし、聞かれていることを整理すると、実は大きく7つのカテゴリに集約されます。

① 組織体制・方針

情報セキュリティの責任者は誰か、基本方針は策定しているか、といった設問です。取引先は「この会社は組織としてセキュリティに取り組んでいるか」を確認しています。

② アクセス管理

誰がどのデータにアクセスできるか、退職者のアカウント管理はしているか、といった設問です。「必要な人だけが必要な情報にアクセスできる状態か」を確認するために重要なものです。

③ 技術的対策

ウイルス対策ソフト、ファイアウォール、OSやソフトウェアの更新状況などです。「基本的な技術的防御ができているか」の確認です。

④ データ管理

個人データや機密情報の保管場所、バックアップの有無など、「大事なデータがどこにあり、守られているか」を確認しています。

⑤ 委託先管理

外部サービスやクラウドの利用状況、委託先の管理体制を問うものです。「さらにその先の取引先にもリスクが広がっていないか」を確認する設問です。

⑥ インシデント対応

情報漏洩等が起きた場合の対応手順、報告体制などで、「万が一のときに、迅速に動ける体制があるか」を確認しています。

⑦ 教育・研修

従業員に対するセキュリティ教育の実施状況を問う設問で、「人的なミスを減らす取り組みをしているか」の確認です。

これらのカテゴリは、IPAの「中小企業の情報セキュリティ対策ガイドライン 第3.1版」が示す対策項目とも概ね対応しています。また、上記のうち個人データに関わる項目（特に②③④⑤）は、個人情報保護法のガイドラインでも安全管理措置として求められている対策です。

※参考：個人情報保護法23条（安全管理措置）。個人データを取り扱う場合に適用される法的根拠です。

各カテゴリの代表的な設問と具体的な書き方については、取引先セキュリティチェックシートの頻出質問20選で詳しく解説しています。

チェックシート対応の全体ステップ

全体像がつかめたら、次は「どう進めるか」を考えます。
対応は大きく5つのステップで進められます。

ただし、その前に対応すべき点があります。

届いたらまず対応すべき３つの重要事項

チェックシートが届いたら、対応の全体ステップに入る前に、まず以下の3点だけでも早急に確認してください。

① 回答期限を確認する
いつまでに提出する必要があるか。期限によって対応の進め方が変わります。期限が1週間以内なら優先度を上げて取り掛かる必要がありますし、1か月以上あればじっくり進められます。

② 設問の全体像を把握する
設問数、回答形式（Yes/No、自由記述、選択式等）をざっと確認します。全部読む必要はありません。まずはボリューム感をつかみ、「自社に関係がありそうなカテゴリ」と「よくわからないカテゴリ」を大まかに仕分けるだけで十分です。

③ 証跡の提出が求められているかを確認する
回答だけでよいのか、裏付け資料（証跡）も一緒に出す必要があるのかで、準備の負担が大きく変わります。証跡の提出が求められている場合は、早めに準備に取り掛かる必要があります。

まずは上記3点を確認した上で、実際の回答に向けてのステップに進むことをお勧めします。

ステップ①：自社の現状を棚卸しする

設問に答える前に、自社がどんなセキュリティ対策を実施しているかを整理します。

「やっているがルール化されていない」「ツールは入れているが運用が曖昧」など、こうした状況を可視化するだけで、回答の方針が格段に立てやすくなります。

IPAが公開している「5分でできる！情報セキュリティ自社診断」は、自社の状況を手軽に把握するのに役立ちます。また、当サイトでも超簡易セキュリティチェックを用意していますので、まずはそちらから試してみてください。

ステップ②：回答を作成する

設問の意図を読み解き、自社の実態に即した回答を作成します。「はい」と書いていいか迷う設問への対処法や、「いいえ」の場合にどう書けば取引先に伝わるかなど、回答作成のポイントがあります。

詳しくは以下の記事をご覧ください。

• 【中小企業向け】セキュリティチェックシート対応手順｜取引先への回答の書き方と例
• 取引先セキュリティチェックシートの頻出質問20選：中小企業の”迷わない書き方”例

ステップ③：証跡を準備する

回答の裏付けとなる資料（証跡）を準備します。「証跡」とは、チェックシートの回答が事実であることを示す裏付け資料のことです。

取引先への提出が不要な場合であっても、確認のためだったり、後日問い合わせがあった場合の対応のためなど、参照する機会は意外とあります。

どんな種類の証跡があるか、ない場合はどうするかについては、以下の記事で詳しく解説しています。

→ セキュリティチェックシートの”証跡”とは？提出を求められたときの考え方・具体例・ない場合の対応

ステップ④：提出前の最終確認

提出前に、回答と証跡の整合性を確認します。よくあるのは、回答では「全社導入済み」と書いているのに、添付した証跡が一部端末だけのスクリーンショットになっているケースです。こうした矛盾は、取引先に「回答の信頼性に疑問がある」と判断される原因になります。

ステップ⑤：提出・差し戻し対応

件数自体は多くないと思いますが、提出後に「不十分」だとして差し戻されることもあります。

この差し戻しは「全否定」ではなく、「もう少し補足してほしい」というサインであることが多いようです。差し戻しへの対応方法は、以下の記事で詳しく解説しています。

→ セキュリティチェックシートが差し戻された！よくある原因と再提出で通すための5つのポイント

補足

各ステップは必ずしも順番通りに進むわけではありません。証跡を準備しながら回答を修正することもありますし、棚卸しの結果を見て対応の優先順位が変わることもあります。

また、すべてを一度に完璧にする必要はありません。IPAのガイドラインでも、中小企業が段階的に対策を進めることが前提とされています。まずはできるところから取り掛かり、次回以降の対応で改善していくというアプローチも有効です。

チェックシート対応で避けるべき3つのこと

対応の全体像がつかめたところで、「これだけは避けてください」という3つのポイントをお伝えします。

NG①：全項目を「はい」にしてしまう

「取引を切られたくない」という気持ちから、実態に合わないにも関わらず「はい」と答えたくなる場合もあるかもしれません。しかし、取引先によっては提出後にヒアリングや実地確認を行うことがあり、そこで矛盾が発覚すれば、かえって信頼を損ないます。

正直に「いいえ」と答えたうえで、改善の意思を示す方が、長期的には取引先との信頼関係を守ることにつながるのではないでしょうか。

NG②：内容を確認せずに提出してしまう

設問の意図を読み違えたまま回答すると、差し戻しの原因になります。特に「アクセス制御を実施していますか？」「インシデント対応体制はありますか？」といった設問は、言葉の印象と取引先が期待する対策のレベルにギャップが生じやすい箇所です。

回答前に、設問が「何のリスクを確認しようとしているのか」を考える習慣をつけると、回答の精度が上がります。

NG③：期限を過ぎても放置してしまう

未回答は、取引先にとって「セキュリティ対策に無関心」と映る可能性があります。回答が不十分であっても、未回答のまま放置するより、現時点で回答可能な範囲を示す方が望ましい場合が多いです。

期限に間に合わない場合は、取引先に事前に連絡し、期限延長を相談するのも一つの手です。「確認に時間がかかっており、○日までに提出予定です」と伝えるだけで、印象は大きく変わります。

法的リスクについて

上記のNG①に関連して、個人情報保護法やそのガイドラインでは、事業者に対して安全管理措置を講じることが求められています。実態と異なる回答をした状態でインシデントが発生した場合、法的な責任や契約的な問題に発展する可能性があります。

特に経営層の法的リスクについては、セキュリティ対策に消極的な経営者が問われる責任とは？で整理しています。

対応に困った場合の相談先の選び方

「自社だけで対応できそうにない」と感じたら、外部の力を借りることも選択肢です。相談先にはいくつかの種類があり、それぞれ特徴が異なります。

選択肢①：社内のIT担当者・情シス部門

社内にITに詳しい人がいれば、まずはその人に相談するのが手軽です。ただし、チェックシートの設問はセキュリティの技術面だけでなく、組織体制や法務的な観点も含まれるため、IT知識だけではカバーしきれない場面もあります。

選択肢②：セキュリティベンダー・ITコンサル

体系的な支援が受けられます。費用体系は事業者によって大きく異なるため、事前に見積もりを取ることをお勧めします。製品導入を前提としたサービスもあれば、コンサルティングのみの支援を提供する事業者もあります。自社が求める支援の範囲と予算に合うかを確認することが重要です。

選択肢③：登録セキスペ（情報処理安全確保支援士）

サイバーセキュリティ分野の国家資格を持つ専門家です。登録者の多くは企業のセキュリティ部門等に所属していますが、中小企業向けに個別支援を行っている登録セキスペもいます。弊所もその一つで、行政書士の資格もあわせて保有しています。

まとめ

• セキュリティチェックシートとは、取引先が自社のセキュリティ対策の実施状況を確認するための質問票
• 背景にはサプライチェーン攻撃のリスクと、法令上の委託先監督義務がある
• 設問は大きく7カテゴリに集約でき、対応は5つのステップで進められる
• すべてを「はい」にする必要はない。大事なのは正直に現状を伝え、改善の意思を示すこと

---

提出期限が近い方へ

チェックシートの期限が迫っている方は、まずは無料相談でご状況をお聞かせください。登録セキスペ＆行政書士が、回答の進め方から優先すべきポイントまで、30分で整理します。

→ 無料相談を予約する

まず自社の状況を整理したい方へ

まだ時間に余裕がある方は、まず自社のセキュリティ対策の現状を把握するところから始めてみてください。

→ 超簡易セキュリティチェックを試す

関連記事

• 【中小企業向け】セキュリティチェックシート対応手順｜取引先への回答の書き方と例
• 取引先セキュリティチェックシートの頻出質問20選：中小企業の”迷わない書き方”例
• セキュリティチェックシートの”証跡”とは？提出を求められたときの考え方・具体例・ない場合の対応
• セキュリティチェックシートが差し戻された！よくある原因と再提出で通すための5つのポイント
• セキュリティ対策に消極的な経営者が問われる責任とは？任せるだけでは守れない法的リスク
• サプライチェーン攻撃とは？取引先からチェックシートが届く理由と、 中小企業が問われる説明責任

取引先から届いたセキュリティチェックシート。回答を作成して提出したら、「証跡も一緒に提出してください」と言われたことはありませんか？

「証跡」という言葉は、日常業務ではあまり耳にしないかもしれません。そのため、何を出せばいいのか、どこまで出せばいいのか、見当がつかないという方も多いのではないでしょうか。

簡単にいえば、「証跡」とは、チェックシートの回答内容が事実であることを示す裏付け資料のことです。

求められている内容は、実はそこまで難しいものではありません。この記事では、登録セキスペ（情報処理安全確保支援士）・行政書士の観点から、証跡の考え方、具体例、そして証跡がない場合の対応まで、全体像をわかりやすく解説します。

→セキュリティチェックシート対応の全体像はこちら

取引先は証跡で「何を」確認しようとしているのか

証跡の具体例に入る前に、まず「なぜ取引先が証跡を求めるのか」を理解しておくことが大切です。
ここを押さえておくと、何を準備すればいいかの判断がしやすくなります。

チェックシートだけでは「確認できない」

チェックシートの回答が「はい」だけでは、取引先からすると「本当に？」という疑念が生じやすいです。証跡は、その「本当に？」に答えるための資料です。

背景には、サプライチェーン全体でのセキュリティ管理という考え方があります。経済産業省の「サイバーセキュリティ経営ガイドライン Ver3.0」では、重要10項目の一つとして、ビジネスパートナーや委託先を含めたサプライチェーン全体での対策推進が求められています。取引先がチェックシートや証跡を求めるのは、このガイドラインが示すリスク管理の実践の一環です。

また、IPA（独立行政法人 情報処理推進機構）の「中小企業の情報セキュリティ対策ガイドライン 第3.1版」でも、中小企業がサプライチェーン上の攻撃の足掛かりにされるリスクが明記されています。

つまり、証跡の提出は単なる書類仕事ではなく、取引先のリスク判断材料なのです。

取引先が見ている3つの観点

取引先が証跡を通じて確認したいことを、実務上わかりやすく整理すると、以下の3つの観点に集約できます。

① 対策が「実在する」こと
導入済み・設定済みであるという事実の確認です。「ウイルス対策ソフトを入れています」と回答したなら、実際に入っていることを示す資料が求められます。

② 対策が「機能している」こと
形だけでなく、実際に運用されているかの確認です。ソフトを入れているだけでなく、定義ファイルが更新されているか、スキャンが実行されているかといった点です。

③ 対策が「継続している」こと
一時的ではなく、定常的に行われているかの確認です。「1年前に設定しました」ではなく、今も継続していることを示す資料が有効です。

なお、ここで挙げている「実在・機能・継続」は、特定のガイドラインが定めた公式な分類ではありません。 経済産業省やIPAのガイドラインが求める対策や記録の考え方を、チェックシート対応の実務に即してわかりやすく整理したものです。以降のセクションでは、この3つの観点に沿って証跡の具体例を見ていきます。

「証跡の型」別・具体例一覧

ここからは、証跡の具体例を紹介します。

チェックシートの「設問ごと」ではなく、「証跡の型ごと」に整理しました。こうすることで、「自社にどんな証跡があり得るか」を全体的に把握しやすくなります。

各設問に対応する具体的な書き方や証跡例については、取引先セキュリティチェックシートの頻出質問20選で詳しく解説していますので、あわせてご覧ください。

型①：画面スクリーンショット系

具体例：
ウイルス対策ソフトの管理画面、クラウドサービスの権限設定画面、バックアップ設定画面、パッチ適用状況の画面など。

3観点との対応： 主に「実在」と「機能」の裏付けになります。

撮影時のポイント：
スクリーンショットは、ただ画面を撮ればいいわけではありません。取引先が確認したいのは「何を使っているか」「いつ時点の情報か」「どの範囲が対象か」です。

そのため、以下の点を意識してください。

• 製品名が映り込んでいること — 何のツールを使っているかがわかるように
• 日付が映り込んでいること — 定義ファイルの更新日、スキャンの実行日時など
• 対象範囲がわかること — 全端末が対象なのか、一部なのか
• 個人情報はマスキングすること — ユーザー名やメールアドレスが不必要に映り込んでいないか確認

※個人データを取り扱う場合の法的根拠として、個人情報保護委員会のガイドライン（通則編）別添「講ずべき安全管理措置の内容」では、技術的安全管理措置として「アクセス制御」「不正ソフトウェア対策」等の措置と手法例が具体的に示されています。スクリーンショットは、これらの措置の実施状況を示す資料としての機能が期待できます。チェックシートの設問のうち、個人データに直接関係しない技術的設問については、IPAの「中小企業の情報セキュリティ対策ガイドライン」の対策項目が参考になります。

型②：規程・ポリシー文書系

具体例：
情報セキュリティ基本方針、個人情報取扱規程、インシデント対応手順書など。

3観点との対応： 主に「実在」の裏付けになります。規程が文書として存在すること自体が証跡です。

提出時のポイント：
全文を提出する必要はありません。表紙＋目次＋該当ページの抜粋で十分です。取引先が確認したいのは「組織としてルールを定めているかどうか」であって、規程の細部まで精査したいわけではありません。

「うちにはまだ規程がない……」という場合でも、IPAがサンプルとして「情報セキュリティ関連規程」や「情報セキュリティ基本方針」を無料で公開していますので、これらをベースに自社の状況に合わせてカスタマイズすることで、規程の整備を始めることができます。

※個人データを取り扱う場合の法的根拠として、個人情報保護法ガイドライン（通則編）では、「個人データの適正な取扱いの確保について組織として取り組むために、基本方針を策定することが重要である」と明記されています。取扱規程の整備も、組織的安全管理措置として求められています。情報セキュリティ全般の規程整備については、IPAガイドラインでも対策の基本として位置づけられています。

型③：運用記録・ログ系

具体例：
パッチ適用履歴、アクセスログ、バックアップ実行ログなど。

3観点との対応： 主に「機能」と「継続」の裏付けになります。対策が「動いている」「続いている」ことを示す証跡です。

提出時のポイント：
ログをそのまま提出しても、取引先には読み解けないことがほとんどです。以下の3点を添えて提出すると、伝わりやすくなります。

• 何の記録か — 「バックアップの実行ログです」等の説明
• 対象期間 — 「直近3か月分」等
• 確認した結果 — 「すべて正常に完了しています」等の簡潔なコメント

※個人データを取り扱う場合の法的根拠として、個人情報保護法ガイドライン（通則編）別添では、組織的安全管理措置の「取扱状況の確認のための手段の整備」として、情報システムの利用・アクセス状況の記録が手法例として挙げられています。また、経済産業省の「サイバーセキュリティ経営ガイドライン Ver3.0」でも、重要10項目の中で対策状況のPDCAサイクル（実施・報告・改善）が求められており、運用記録は「PDCAが回っていること」の証跡としての機能が期待できます。

型④：教育・研修実施記録系

具体例：
研修の実施日・参加者リスト・使用資料の表紙など。

3観点との対応： 主に「継続」の裏付けになります。

「大がかりな研修」でなくても大丈夫：
「年1回の全社研修」のような正式なものでなくても、証跡として機能する記録はあります。

• 朝礼でセキュリティに関する注意喚起を行った記録（日付・内容のメモ）
• メールで全社員に周知した履歴（送信日・件名・本文の写し）
• チャットツールでの共有履歴

簡単に言えば、「従業員に対してセキュリティに関する教育・周知を行っている」ことが確認できる記録であれば、形式は問われないケースが多いと考えられます。

IPAも「情報セキュリティハンドブック（ひな形）」を無料で公開しています。従業員向けの周知資料を作る際の参考になります。

※個人データを取り扱う場合の法的根拠として、個人情報保護法ガイドライン（通則編）別添では、人的安全管理措置として「従業者に対する教育」が措置の一つとして挙げられています。中小規模事業者向けの手法例としては、「個人データの取扱いに関する留意事項について、従業者に定期的な研修等を行う」とされています。情報セキュリティ全般の従業員教育については、IPAガイドラインでも基本的な対策として推奨されています。

型⑤：契約・委託管理系

具体例：

• 委託契約書における安全管理条項（個人データの取扱い、再委託の可否、事故時の報告義務等が記載された部分）
• 委託先から取得したセキュリティチェック回答書や自己点検報告書
• 委託先が取得している第三者認証の証明書（ISMS認証、プライバシーマーク等）
• クラウドサービスの利用規約・SLA（セキュリティ関連条項の部分）
• 秘密保持契約（NDA）

3観点との対応： 主に「実在」の裏付けになります。

注意点：
NDAは秘密保持に関する契約であり、それ単体では「委託先を適切に監督している」ことの証跡としては十分とは言えません。取引先がこの領域で確認したいのは、「委託先に丸投げしていないか」「委託先のセキュリティ水準を把握しているか」という点です。そのため、安全管理や再委託、事故時の報告義務等に具体的に触れる契約や、委託先の対策状況を確認した記録のほうが、証跡としての説得力は高くなります。

中小企業では見落としやすい領域ですが、まずは既存の契約書の中に該当する条項がないかを確認するところから始められます。

IPAも「中小企業のためのクラウドサービス安全利用の手引き」を公開しており、クラウドサービス利用時の契約・SLAの確認ポイントがまとめられています。

※個人データを取り扱う場合の法的根拠として、個人情報保護法25条（委託先の監督）では、個人データの取扱いを委託する場合に、委託先に対して必要かつ適切な監督を行う義務が定められています。個人情報保護法ガイドライン（通則編）では、委託契約において安全管理に関する事項を明記することが手法例として示されています。個人データに限らない委託管理全般については、IPAガイドラインも参考になります。

証跡を提出する前に確認すべき4つのポイント

証跡の具体例がわかったら、次は「用意した証跡をそのまま出して大丈夫か」を確認しましょう。ただ集めるだけでは、かえって問題になるケースも考えられますので、以下の点についてあらかじめ確認しておくことが大切です。

ポイント1：日付が古すぎないか

たとえばスクリーンショットの撮影日が半年以上前だと、「今もこの状態なのか？」が取引先に伝わりません。可能な限り、提出時点に近い日付のものを用意してください。

ポイント2：対象範囲がチェックシートの設問と合っているか

たとえば、チェックシートで「全社的にウイルス対策を実施していますか？」と聞かれているのに、提出した証跡が一部の端末だけの設定画面だった場合、「全社対応」の裏付けにはなりません。証跡が示す範囲と、回答で述べている範囲が一致しているかを確認してください。

ポイント3：個人情報や機密情報が不必要に映り込んでいないか

スクリーンショットにユーザーのメールアドレスや氏名が映り込んでいないか、ログにアクセス元のIPアドレスが不必要に含まれていないか。提出前にマスキングが必要な箇所がないか確認してください。

ポイント4：証跡の内容とチェックシートの回答が矛盾していないか

これが最も見落としやすいポイントです。「全社導入済み」と回答しているのに、証跡のスクリーンショットには「対象：5台」と表示されている。こうした矛盾は、取引先に「回答の信頼性に疑問がある」と判断される原因になります。

※個人情報保護法ガイドライン（通則編）でも、安全管理措置は「事業の規模及び性質、個人データの取扱状況に起因するリスクに応じて、必要かつ適切な内容としなければならない」と明記されています（個人データを取り扱う場合の根拠です）。つまり、証跡も画一的に「これを出せばOK」ではなく、自社の状況に合った内容である必要があります。この考え方自体は、IPAガイドラインでもチェックシート全般に共通する原則として示されています。

証跡がない場合の考え方

「証跡を用意しようと思ったが、そもそも該当する資料が社内にない」という状況もあるかと思います。

結論から言うと、証跡がない＝即アウトというわけではありません。

IPAの「中小企業の情報セキュリティ対策ガイドライン 第3.1版」は、中小企業が段階的に対策を進めることを前提として設計されています。「すぐに取り組める対策」から始め、段階的に発展させていくことが推奨されており、すべてを一度に完璧に整える必要はないという考え方が示されています。

対応の方向性は、大きく2つあります。

方向性①：代替的な資料で説明する

正式な証跡がなくても、類似の資料や運用実態を示す情報で代替できるケースがあります。たとえば、正式なセキュリティポリシー文書はなくても、社内で運用しているルールをメールで周知した履歴があれば、それが「ルールの存在」を示す代替的な証跡になり得ます。

方向性②：対応計画を添えて提出する

現時点では未実施の項目について、「現状」「課題認識」「対応予定」の3点を添えて回答する方法です。

記載例1（規程文書がない場合）：

現時点ではセキュリティポリシーとして文書化したものはありませんが、社内ルールとして○○を運用しています。正式な文書化は20xx年x月までに完了予定です。

記載例2（ログが取れていない場合）：

現在のシステム構成ではアクセスログの取得ができていません。x月のシステム更新時にログ取得機能を有効化する予定です。

ただし、これで必ず通るとは限りません

上記の対応で再提出が認められるケースは多いですが、取引先の要求水準や業界によっては、代替資料や改善予定だけでは不十分と判断されることもあります。 特に、金融系や大手SIerが発注元の場合は、具体的な対策完了を求められるケースも珍しくありません。

IPAのガイドラインが段階的対応を前提としているのは事実ですが、それは「どの取引先でも未整備のまま受け入れてもらえる」ことを保証するものではありません。

自社の回答が取引先の期待値に合っているかどうか、判断に不安がある場合は、提出前に専門家に確認しておくことをお勧めします。

証跡がない項目について、どこまで説明すべきか・代替資料で足りるかの判断に迷ったら、まずは無料相談でご状況をお聞かせください。

→ 無料相談を予約する

証跡準備で「やってはいけない」こと

最後に、証跡を準備する際に絶対に避けるべきことを3つお伝えします。

NG①：スクリーンショットの加工・演出

必要なマスキングを施す場合などを除き、設定画面のスクリーンショットを加工して、実態と異なる状態を見せることは避けるべきです。たとえば、実際には無効にしている機能を有効に見せるために画像を編集するような行為です。

NG②：他社テンプレートのそのまま流用

インターネット上で見つけた他社のセキュリティポリシーを、社名だけ差し替えて自社の規程として提出することも避けるべきです。取引先によっては提出後にヒアリングを行うことがあり、そこで「この規程のこの部分は、御社ではどう運用していますか？」と聞かれたときに答えられなければ、かえって信頼を損なってしまうリスクが高いです。

NG③：実態と異なる証跡の提出

実施していない対策を、あたかも実施しているかのように見せる資料を作成・提出するというのは最も深刻です。虚偽報告は絶対に避けるべきです。

法的リスクについて

実態に合わない証跡を提出すること自体が、ただちに特定の法令違反になるわけではありません。しかし、以下の2つの観点からリスクが生じ得ます。

① 安全管理措置の不備が問題になるケース

実態に合わない証跡を出した結果、実際の安全管理措置が不十分な状態のままインシデントが発生した場合、個人情報保護法23条（安全管理措置義務）をはじめとする法的責任が問題になり得ます。ここで問われるのは「虚偽の証跡を出したこと」そのものではなく、「安全管理措置が実際に不十分だったこと」です。しかし、虚偽の証跡を出していたという事実は、「対策の不備を認識しながら放置していた」と評価される材料になりかねません。

※個人情報保護法23条（安全管理措置）、24条（従業者の監督）、25条（委託先の監督）は、いずれも個人データを取り扱う場合に適用される法的根拠です。

② 契約上の表明との不一致が問題になるケース

取引基本契約に表明保証条項やセキュリティに関する遵守事項が含まれている場合、チェックシートの回答と実態が異なることは、契約上の義務違反として問題になり得ます。インシデント発生時に取引先から損害賠償を請求される際、「チェックシートでは対策済みと回答していた」という事実が、責任の範囲を広げる方向に働くリスクがあります。

大切なのは、正直に現状を伝えたうえで、改善の意思を示すことです。「いいえ」と答えることは、取引先からの信頼を失うことではありません。むしろ、実態と異なる「はい」を出すことのほうが、長期的にはるかに大きなリスクを抱えることになります。

セキュリティ対策の不備がもたらす経営者の法的リスクについては、セキュリティ対策に消極的な経営者が問われる責任とは？で詳しく整理しています。

まとめ

• 証跡とは、チェックシートの回答が事実であることを示す裏付け資料のこと
• 取引先は、対策の「実在・機能・継続」の3つの観点で証跡を確認している
• 証跡の準備は、何を出すかよりも「自社の実態に合った形で出せているか」が重要

証跡の準備は、慣れていない方にとっては負担に感じるかもしれません。しかし、証跡を整理する過程で自社のセキュリティ対策の現状が可視化され、結果として今後のチェックシート対応もスムーズになります。

どの証跡を、どこまで準備すればいいかの判断に迷ったら、まずは30分の無料相談でご状況をお聞かせください。

→ 無料相談を予約する

関連記事

• 【中小企業向け】セキュリティチェックシート対応手順｜取引先への回答の書き方と例
• 取引先セキュリティチェックシートの頻出質問20選：中小企業の”迷わない書き方”例
• セキュリティチェックシートが差し戻された！よくある原因と再提出で通すための5つのポイント

参考資料：
※サイバーセキュリティ経営ガイドライン Ver3.0
※中小企業の情報セキュリティ対策ガイドライン 第3.1版
※個人情報保護法ガイドライン（通則編）

ーー取引先に提出したセキュリティチェックシートが「不十分」と返ってきた。
どこを直せばいいのかわからない。そもそも何がダメだったのかもわからない。
しかも、再提出の期限が迫っている・・・。

もしそんな状況にあるなら、まず安心してください。差し戻しは「全否定」ではなく、「もう少し補足してほしい」というサインです。ポイントを押さえて修正すれば、再提出で通るケースがほとんどです。

この記事では、登録セキスペ（情報処理安全確保支援士）・行政書士の観点から、差し戻しの典型パターンと、再提出で通すための具体的な修正ポイントを解説します。

→セキュリティチェックシート対応の全体像はこちら

チェックシートが差し戻される5つの典型パターン

まずは「なぜ差し戻されたのか」を把握するところから始めましょう。差し戻しの原因は、大きく5つのパターンに分類できます。御社の状況がどれに当てはまるか、確認してみてください。

パターン1：「はい」と答えたが、根拠・証跡が示されていない

おそらくこれが最も多いパターンではないでしょうか。

たとえば「ウイルス対策ソフトを導入していますか？」という設問に「はい」とだけ回答した場合、取引先からすると「本当に？　どんなソフトを、どう運用しているの？」がわかりません。

取引先が確認したいのは、「はい」か「いいえ」かではなく、「何を」「どのように」「いつから」運用しているかという具体的な裏付けです。製品名、バージョン、更新頻度、対象範囲（全端末か一部か）など、回答に根拠がなければ「確認できない＝不十分」と判断されます。

パターン2：設問の意図と回答がズレている

設問が聞いている「対策のレベル」を読み違えているケースです。

たとえば「アクセス制御を実施していますか？」という設問に対して、「パスワードをかけています」と回答したとします。パスワード設定はアクセス制御の一部ではありますが、設問が想定しているのは「誰が・どのデータに・どの権限でアクセスできるかを管理しているか」というレベルの話かもしれません。

設問の背景には「取引先は何のリスクを心配してこの質問をしているのか」という意図があります。この意図を読み違えると、回答がズレて「不十分」と評価されます。

パターン3：「いいえ」「未実施」の項目に補足がない

「いいえ」と答えること自体は、問題ではありません。むしろ、実施していないことを正直に回答すること自体は、取引先から見れば誠実な対応です。

問題は、「いいえ」だけで終わっていて、その先が何も書かれていない場合です。取引先からすると「対策していないことを認識しているのか」「今後やる気はあるのか」が判断できません。

「現時点では未実施ですが、○月までに△△の導入を予定しています」——この一文を加えるだけで、回答の印象は大きく変わります。

パターン4：回答の粒度がバラバラ／空欄がある

ある項目は詳細に3行書いているのに、別の項目は「はい」の一言だけ。あるいは、よくわからない設問を飛ばして空欄のままにしてしまう。

このバラつきは、取引先には「一部しかちゃんと確認していないのでは？」と映ります。特に空欄は「回答拒否」と受け取られるリスクがあるため注意が必要です。わからない設問でも「該当なし（理由：○○）」のように、空白にしないことが基本です。

全項目をなるべく同じ粒度で埋めることが、チェックシート全体の信頼性につながります。

パターン5：社内体制（責任者・規程）に関する項目が弱い

「ウイルス対策ソフトを入れている」「バックアップを取っている」といった技術的な対策は書けても、「情報セキュリティの責任者は誰か」「セキュリティに関する基本方針はあるか」といった体制面の設問が空白、または曖昧なままということがあります。

取引先は、個々のツールの有無だけでなく、「この会社は組織として情報を管理しているか」を見ています。体制面の項目が弱いと、技術的な対策がいくらYesでも、全体の信頼度が下がってしまいます。

再提出で通すための5つの修正ポイント

原因が見えたら、次は具体的な修正です。以下の5つのポイントを意識して回答を見直すと、再提出で通る可能性が高くなります。

ポイント1：「はい／いいえ」の後に「なぜなら」を1文加える

チェックシートの回答は、「回答＋根拠」のセットが基本形です。

「はい」の場合は、その対策を「いつから」「何を使って」「どう運用しているか」を加えます。

回答例（はい）： 「はい。○○（製品名）を全社端末に導入しており、定義ファイルは自動更新（日次）で運用しています。導入時期は20XX年○月です。」

「いいえ」の場合も同じです。現状と、今後の対応方針をセットで書きます。

回答例（いいえ）： 「現時点では未導入ですが、20XX年○月までに導入を予定しています。現在は△△によって代替的に対応しています。」

この「なぜなら」の1文を加えるだけで、取引先は回答の信頼性を判断できるようになります。

ポイント2：証跡として添付できるものを洗い出す

回答の裏付けとなる資料（証跡）を求められるケースも増えています。ここで大事なのは、必ずしも「完璧な証跡」が求められているわけではない、ということです。

たとえば以下のようなものが証跡になり得ます。

• ウイルス対策ソフトの管理画面のスクリーンショット（製品名・更新日時が見えるもの）
• クラウドサービスの契約情報ページ（プラン名・セキュリティ機能がわかるもの）
• 社内で作成したセキュリティ関連の規程やルール文書の表紙＋目次
• バックアップ設定画面のスクリーンショット（対象・頻度がわかるもの）

要は、「この対策を実施していることが、第三者にもわかる資料」があれば十分です。何を添付すべきか迷う場合は、設問ごとに「この回答を裏付けるには、何を見せれば相手が納得するか？」と考えると判断しやすくなります。

ポイント3：「未実施」項目は対応計画を書く

前述のとおり、「いいえ」自体が問題なのではなく、「いいえ」で止まっていることが問題です。

未実施項目の回答には、以下の3点を含めると取引先に伝わりやすくなります。

1. 現状：今どうなっているか（未実施、または部分的に実施）
2. 課題認識：対応が必要であることを認識しているか
3. 対応予定：いつまでに、何をするか

記載例： 「現時点では情報セキュリティに関する社内規程は未整備です。本チェックシート対応を機に整備の必要性を認識しており、20XX年○月までに基本方針の策定を予定しています。」

すべてを「はい」にする必要はありません。誠実に現状を伝えたうえで、改善の意思を示すことが、取引先の信頼を得る一番の近道です。

ポイント4：設問の「意図」を読み解いてから回答を修正する

差し戻し後の修正で最もやりがちなのが、「回答の文章を長くすればいいだろう」と情報を足すだけのパターンです。しかし、設問の意図とズレたまま文章量を増やしても、再び差し戻される可能性があります。

修正の前に、まずその設問が「取引先のどんなリスクを確認するために存在しているのか」を考えてみてください。設問文だけでなく、補足説明文や選択肢の文言にヒントがあることも多いです。

設問ごとの意図の読み解き方や回答の考え方については、取引先セキュリティチェックシートの頻出質問20選で詳しく解説しています。

ポイント5：提出前に第三者の目でチェックする

自社だけで回答を完結させると、どうしても「社内の常識」で書いてしまいがちです。社内では当たり前のことを省略していたり、専門用語の使い方が取引先の想定と違っていたりすることがあります。

第三者——たとえば社外の専門家——に見てもらうと、「この書き方だと取引先には伝わらない」「この設問にはこういう趣旨の回答が期待されている」といった気づきが得られます。

社内にセキュリティの専門知識を持つ相談相手がいない場合は、セキュリティの専門資格を持つ第三者にレビューを依頼するのも一つの選択肢です。

チェックシート対応の基本的な流れや回答の書き方については、【中小企業向け】セキュリティチェックシート対応手順の記事もあわせてご覧ください。

差し戻し対応で「やってはいけない」3つのこと

再提出を急ぐあまり、逆効果になる対応をしてしまうケースがあります。以下の3点は避けてください。

失敗例１：実態と異なる回答に書き換えてしまう

差し戻しを受けると、「とにかくYesにしないと取引が切られるのでは」と焦る気持ちは十分わかります。

しかし、実施していない対策を「実施済み」と回答するのは、絶対に避けるべきです。

取引先によっては、チェックシート提出後に実地確認やヒアリングを行うことがあります。そこで回答と実態の矛盾が発覚すれば、単なる「回答ミス」では済まされません。

行政書士の観点から付け加えると、虚偽の回答は取引基本契約上の表明保証違反や、場合によっては損害賠償請求の根拠にもなり得ます。仮にインシデントが発生した際、「チェックシートではYesと回答していた」という事実が、責任の範囲を広げる方向に働くリスクがあります。

正直に「いいえ」と書いたうえで対応計画を示す方が、長期的には取引先との信頼関係を守ることになります。

経営者の法的責任については、セキュリティ対策に消極的な経営者が問われる責任とは？で詳しく整理しています。

失敗例２：取引先に差し戻し理由を確認しないまま修正する

差し戻しの通知に具体的な指摘が書かれていれば、そこに集中して修正すれば済みます。

しかし、「全体的に不十分です」のように理由が不明確な場合は、推測で修正するよりも、取引先に「具体的にどの項目が不十分でしたか？」と確認するのが最短ルートです。

「聞いたら印象が悪くなるのでは？」と心配する方もいますが、むしろ逆です。的確な質問は「この会社はちゃんと対応しようとしている」という印象を与えます。聞くべきことを聞かずに的外れな修正を重ねる方が、かえって信頼を損ないます。

失敗例３：全項目を一から書き直す

差し戻し＝全否定ではありません。

多くの場合、問題があるのは一部の項目です。全部消して一から書き直すと、もともと問題なかった回答まで変わってしまい、取引先を混乱させるおそれがあります。

修正が必要な箇所を特定し、そこに集中して直す。これが最も効率的で、取引先にも伝わりやすいアプローチです。

それでも再提出に不安がある方へ

ここまでの内容で、自力で修正できる部分も多いはずです。

ただ、以下のような状況に当てはまる場合は、一人で抱え込まずに第三者の力を借りることを検討してみてください。

• 差し戻し理由が不明確で、どこを直すべきか特定できない
• 設問の意図が読み取れず、回答の方針が定まらない
• 再提出の期限が迫っていて、試行錯誤する時間がない
• 「はい」と書いて問題ないか、法的な観点が気になる

ビーンズセキュリティサービス（BSS）の無料相談でわかること

当サービスでは、30分の無料相談で以下の4点を整理します。

1. 差し戻し箇所の特定 — どの設問のどの回答が問題になっているかを整理
2. 修正の優先順位 — 全部直す必要があるのか、重点箇所はどこかを判断
3. 追加すべき根拠資料の候補出し — 手元にある資料で証跡として使えるものがないか確認
4. 再提出用の表現チェック — 取引先に伝わる書き方になっているかを確認

「どこを直すべきか整理したい」というご相談だけでも構いません。

当サービスでできること・行わないこと

できること：

• 設問の意図の読み解きと、回答方針の整理
• 回答文案の作成またはレビュー
• 根拠資料（証跡）の洗い出しと整備のアドバイス
• 個人情報保護法など法的要件に関する助言（行政書士として）

行わないこと：

• 実施していない対策を「実施済み」として回答を整えること
• 御社の実態と異なる内容での回答作成

状況に合わせた3つのプラン

自分で書いた回答をチェックしてほしい方
ライトプラン — 回答案のレビュー＋修正ポイントの提示（メール対応）
50,000円（税別）

何を書けばよいかわからない方
標準プラン — 回答方針の策定から回答案の作成まで一式対応
80,000円（税別）

再提出の期限が迫っている方
緊急対応プラン — 24時間以内の初回回答案提示を目標に優先対応
130,000円（税別）

※金額はシートの項目数や御社の状況により変動します。詳細は無料相談にてお見積りいたします。

まずは30分の無料相談で、差し戻しの内容を一緒に確認しましょう →

まとめ

差し戻しは、取引先からの「もう少し詳しく教えてほしい」というリクエストです。全否定ではありません。

多くの場合、回答に根拠を1文加えること、未実施項目に対応計画を書くこと、この2つを行うだけで再提出は通ります。

大事なのは完璧な回答を作ることではなく、誠実に現状を伝え、改善の意思を示すことです。

はじめてのチェックシート対応で戸惑うのは当然です。
一人で抱え込まず、また社内だけで解決するために本業の時間を削るのではなく、必要に応じて専門家の視点も活用してください。

無料相談を予約する →