調達プロセス

ベンダー評価べんだーひょうか

ベンダー評価サプライヤー評価ベンダー選定調達リスク与信管理

ベンダー評価について教えて

簡単に言うとこんな感じ！

「提案書は良かったのに、契約後に担当者がほぼ来なくなった…」なんて経験、IT調達あるあるだよね。ベンダー評価は、提案の中身だけじゃなく「この会社、本当に大丈夫？」を確認するプロセスなんだ。財務体力・実績・サポート体制・文化的な相性まで総合的に見て、長期的に信頼できる相手かを見極めるってこと！

ベンダー評価とは

ベンダー評価（Vendor Evaluation） とは、システム発注先候補のIT企業（ベンダー）を、提案内容だけでなく企業としての信頼性・能力・安定性という視点から総合的に審査するプロセスです。「提案評価」が出してきた文書の中身を採点するのに対し、「ベンダー評価」はその提案を実行できる会社かどうかを見ます。

特にシステム開発・保守契約は数年単位の長期関係になることが多いため、財務健全性・セキュリティ対応・情報管理体制といったリスク面の確認が欠かせません。中小のSIer（システムインテグレーター）では、契約後に会社が吸収合併されたり、キーパーソンが離職してしまうケースも起こりえます。事前のベンダー評価がリスクヘッジになります。

また、選定後も定期的にベンダーを評価し続ける「継続的ベンダー管理（VMO: Vendor Management）」を実施する企業も増えています。年1回程度の定期評価を通じて、契約更新時の交渉材料にしたり、課題の早期発見に役立てたりするのが目的です。

ベンダー評価の主な評価軸

ベンダー評価の切り口は大きく5つに分けられます。案件の規模・重要度に応じて調査の深さを調整してください。

評価軸	確認内容	主な確認手段
財務安定性	資本金・売上・営業利益率・自己資本比率・倒産リスク	決算公告、帝国データバンク等の信用調査
技術力・実績	類似プロジェクトの実績件数、使用技術・資格保有者数	実績リスト、技術者スキルシート
プロジェクト管理力	PMOの有無、品質管理プロセス、進捗管理ツール	過去プロジェクトのレビュー、参照先ヒアリング
情報セキュリティ	ISMS認証（ISO 27001）、プライバシーマーク、社内ルール	認証書確認、セキュリティチェックシート
サポート・保守体制	障害対応時間・エスカレーション体制・担当者の継続性	SLA案の確認、ヘルプデスク体制説明

リファレンスチェック（参照先確認）

ベンダーが提示した過去の顧客企業に直接問い合わせる手法を「リファレンスチェック」と言います。「実際に使ってみてどうでしたか？」「トラブル時の対応はどうでしたか？」と生の声を聞くことで、提案書には書かれない実態がわかります。手間はかかりますが、大規模案件では非常に有効な手段です。

歴史と背景

1980年代：製造業のサプライチェーン管理の発展とともに「サプライヤー評価（Supplier Evaluation）」が体系化。品質・コスト・納期の「QCD」評価が基本となる
1990年代：IT調達の拡大に伴い、「技術力」「セキュリティ」が評価軸として加わる。大手企業での「承認ベンダー制度（Approved Vendor List）」が普及
2000年代：情報漏洩事件の頻発を受け、委託先のセキュリティ評価が義務的な取り組みになる。ISO 27001（ISMS）認証の確認が標準化
2005年：個人情報保護法施行により、個人情報を扱う委託先の管理・評価が法的義務に
2010年代：クラウド・SaaSの普及で海外ベンダー評価の機会が増加。SOC 2レポートなど国際的な評価基準が重視される
2020年代：サプライチェーン攻撃の増加を受け、委託先・再委託先（二次委託）まで含めたセキュリティ評価が求められるように

規格・ガイドライン	内容
ISO/IEC 27001（ISMS）	情報セキュリティ管理体制の国際認証。委託先確認の標準指標
SOC 2（米国）	SaaSなどクラウドサービスの内部統制・セキュリティを第三者が評価したレポート
プライバシーマーク（Pマーク）	個人情報保護体制の認証（JIPDEC）。国内委託先の確認指標
個人情報保護法（日本）	委託先の選定・監督義務を規定（第25条）
NIST SP 800-161	サプライチェーンリスク管理のフレームワーク（米国政府）

ベンダー評価べんだーひょうか

ベンダー評価とは

ベンダー評価の主な評価軸

リファレンスチェック（参照先確認）

歴史と背景

ベンダー評価の全体像

関連する規格・ガイドライン

関連用語