有効？

ないよりはいいけど、この手の格付け制度ってビミョウですよね。
全然ダメって企業を排除するにはいいけど、特にセキュリティとかはやっぱり実績が重視されるのかなとか。

経済産業省が「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ」を公表。
2026年度の制度開始予定だそうです。
既に「SECURITY ACTION」制度が設けられていて二つ星まであるため、今回の制度では三つ星から五つ星を作るのだそうです。ちなみに前者は自己評価で、後者は第三者評価を予定。

この分野ではグローバルで「ISMS適合性評価」がありますが、どうなんでしょうね。

IT関係の専門家マターでしょうから、私のようななんちゃってコンサルにはちょっと絡みにくいのかなと思いつつ、具体的な評価項目を覗いてみました。

ガバナンス（3★:4項目,4★:7項目）、取引先管理（2,5）、リスク特定（4,5）、攻撃等の防御（13,22）、攻撃等の検知（1,3）、インシデントへの対応（1,1）、インシデントからの復旧（0,1）
※要求一覧は3-4★共通リストと4★単独リストで抜け漏れあり、事務方もまだ混乱してる？
となっていました。
半分くらいは私でも支援できそうかな。あまり役立ちませんかね。

それはさておき、この評価が高いからといって、顧客が、「セキュリティ対策が十分な企業のサービスや商品だ」（もしくは逆）って捉えてくれるのかな、というところが難しい気もします。
評価制度を設定することで、企業側に最低限の対応はやってね、という底上げと考えた方がよいのかも。