記事内容
昨今、サイバーセキュリティ対策が不十分な中小企業がサイバー攻撃に狙われ、サプライチェーン全体に問題が波及する事態が発生していることを受け、経済産業省と公正取引委員会は、中小企業におけるセキュリティ対策の強化に向けた方向性を示しました。
「サプライチェーン全体のサイバーセキュリティ向上のための取引先とのパートナーシップの構築に向けて」
https://www.jftc.go.jp/dk/guideline/unyoukijun/cyber_security.html
(2022/11/30 引用)
同文書の内容としては、特に発注事業者に向けた提言となっています。サプライチェーンの保護に向けて、取引先のサイバーセキュリティ対策の強化を促しつつ、サプライチェーン全体での付加価値の向上に取り組み、取引先とのパートナーシップの構築を目指すよう求めています。そして行動に繋げられるよう、具体的な情報の提供によって構成されています。
- 中小企業等におけるサイバーセキュリティ対策に関する支援策の紹介
- 取引先への対策の支援・要請に係る関係法令(独占禁止法・下請法)の適用関係についての整理
サイバーセキュリティ対策に関する支援策
サイバーインシデントによってサプライチェーンが分断され、物資やサービスの安定供給に支障が生じることのないよう、中小企業等におけるサイバーセキュリティ対策を支援する為の具体的な施策を示しています。
経済産業省および独立行政法人情報処理推進機構(IPA)は、中小企業等がサイバーセキュリティ対策を講じることを支援する施策を整備しています。政府としても、民間の取引において、発注事業者が取引先にこうした施策の活用を促して行くことを期待しています。
[1]サイバーセキュリティお助け隊サービス
中小企業等に対するサイバー攻撃への対処として不可欠なサービス(見守り、駆付け、保険、等)をワンパッケージで安価に提供します。
政府としても、サービスの利用料をIT導入補助金の対象とする等、普及を後押しすると共に利用促進を期待しています。
[2]セキュリティアクション(SECURITY ACTION)
中小企業等が情報セキュリティ対策に取り組むことを宣言することで、サイバーセキュリティ対策に積極的に取り組んでいることを広く社会にアピールすることが可能となります。
政府としても、IT導入補助金等において同宣言を申請要件とすることで、中小企業等におけるサイバーセキュリティ対策の取り組みを推進する一方、民間の取引においても、同宣言の有無を取引や入札の条件の一つに含めるといった取り組みが図られることを期待しています。
[3]中小企業の情報セキュリティ対策ガイドライン
全ての業種の中小企業等を対象に、情報セキュリティ対策に取り組む際の、経営者が認識し実施すべき方針、対策を実践する際の手順や手法をまとめたものです。
発注事業者からも、同ガイドライン等を活用したサイバーセキュリティ対策に取り組もうとしている取引先へのセキュリティプレゼンター[1](情報処理安全確保支援士等を含む)の紹介等が期待されます。
[4]サプライチェーン・サイバーセキュリティ・コンソーシアム(SC3)
同組織(Supply Chain Cybersecurity Consortium / SC3)は、産業界が一体となって中小企業を含むサプライチェーン全体でのサイバーセキュリティ対策の推進運動を進めて行くことを目的として、2020年11月に設立されました。
「サプライチェーン・サイバーセキュリティ・コンソーシアム」
https://www.ipa.go.jp/security/sc3/
(2022/11/30 引用)
中小企業等のサイバーセキュリティ対策の意識啓発や、中小企業等に対する支援策の普及促進に取り組んでおり、発注事業者・取引先の双方による同組織の取り組みへの積極的な参加が期待されます。
[5]パートナーシップ構築宣言
発注事業者が取引先との間でパートナーシップを構築することを宣言するものです。
「パートナーシップ構築宣言」
https://www.biz-partnership.jp/index.html
(2022/11/30 引用)
同宣言の中で、取引先にサイバーセキュリティ対策の助言・支援を行うことを取組例として記載することが期待されています。
サイバーセキュリティ対策の要請に係る独占禁止法・下請法の考え方
発注事業者が取引先に対してサイバーセキュリティ対策を取引条件としたり、サイバーセキュリティ対策を要請することが、独占禁止法の優越的地位の濫用や下請法違反にあたるのではないか?との懸念の声もあることから、独占禁止法や下請法における考え方の整理が行われています。
まず、強調されているのは次の考え方です。
サイバーセキュリティ対策の必要性が高まる中、サプライチェーン全体のサイバーセキュリティ対策強化は重要な取り組みである。サイバーセキュリティ対策の実施を要請すること自体が直ちに問題となるものではない。
但し、「要請の方法や内容によっては問題となることもある」と指摘しており、問題となるケースの例を示しています。
[1]取引の対価の一方的決定
取引上の地位が優越している事業者が、サイバーセキュリティ対策の実施によって取引の相手方に生じる(人件費を含む)コスト上昇分を考慮することなく、一方的に著しく低い対価を定める場合
[2]セキュリティ対策費の負担の要請
取引上の地位が優越している事業者が、サイバーセキュリティ対策の実施において、取引の相手方が得る直接の利益等を勘案して合理的と認められる範囲を超えた負担を強いることで、取引の相手方に不利益を与えることになる場合
[3]購入・利用強制
取引上の地位が優越している事業者が、取引の相手方が新たなセキュリティサービスを利用する必要がないにもかかわらず、指定事業者の高価なセキュリティサービスを購入したり、利用するように要請した場合
例示されたように、サイバーセキュリティ対策の内容や費用負担の在り方を一方的に決定したり強制することは、独占禁止法や下請法における違反行為と見なされます。
違反行為を未然に防止する観点からは、取引の相手方と十分に協議を行うことを疎かにしてはいけません。例えば積極的に価格交渉の機会を設ける等、合意して決定するプロセスを踏むことが望まれます。
連携したサイバーセキュリティ対策でサプライチェーン全体を保護
サプライチェーンは、企業活動における商品の企画・開発から、調達、製造、在庫管理、物流、販売までの一連のプロセスおよび、この商流に関わる組織群によって成り立っています。
デジタル化の進展によって、モノと情報が繋がるインターフェースが増加しており、サプライチェーンにおいても、全てITで繋がることで効率的に管理運用を行うことが一般的になりました。
しかし一方では、IT連携したサプライチェーンが情報セキュリティ上の脆弱性となる可能性を持っていることに注意しなければなりません。
サプライチェーン全体のセキュリティ強度は、サプライチェーンの最も弱い部分で決まってしまいます。サプライチェーンの構成者の中にサイバーセキュリティ対策が不十分なところがあれば、サイバー犯罪者から攻撃対象として狙われ、踏み台にされてサプライチェーン全体へ被害が広がってしまうのです。
例えば、強固なサイバーセキュリティ対策を実施している企業であったとしても、取引先や委託先に預けた機密情報が漏えいした場合、その情報を利用されてサイバー犯罪者の侵入を許してしまう恐れがあるのです。
一方で、機密情報を漏えいさせてしまった側は、信用の失墜等の様々な被害が発生するだけでなく、取引相手にも損害を与えてしまうことで取引相手を失ったり、場合によっては損害賠償を要求される恐れがあるでしょう。
こうしたリスクに備える為には、自社のみならずサプライチェーン全体において組織的なセキュリティ体制を構築し、厳格なガバナンスの下でサプライチェーンリスクマネジメント(SCRM)[2]を実施して行く必要があります。
なお「サプライチェーン全体のサイバーセキュリティ向上のための取引先とのパートナーシップの構築に向けて」においては、SCRMの実践手法については踏み込んでいません。
同文書では、前述のサプライチェーン・サイバーセキュリティ・コンソーシアム(SC3)等を利用して、(SCRM等のような)より実践的な対策に取り組むことを期待しているものと思われます。
それは、サプライチェーンの保護に向けては、サプライチェーンの全ての構成者が連携してサイバーセキュリティ対策に取り組まなければ、SCRM等のような実践的な対策を推進することが困難である為、サプライチェーン全体での意識啓発を最優先としているのでしょう。
関係法令(独占禁止法・下請法)の適用関係に留意しつつ、取引先とのパートナーシップを構築することが、サプライチェーン全体で連携してサイバーセキュリティ対策を推進する為の基盤となり、サプライチェーンによるモノやサービスの安定供給の維持に繋がると言えるでしょう。
参考までに、SCRMに関してはIPAが調査結果や報告を公開していますので、ご紹介しておきます。
「サプライチェーンリスクマネジメント」
https://www.ipa.go.jp/security/economics/scrm/index.html
(2022/11/30 引用)
もう一つ情報を追加します。
2023年3月に改訂された「サイバーセキュリティ経営ガイドライン Ver3.0」では、サイバー攻撃の巧妙化やサプライチェーン経由の被害拡大など、昨今の動向を踏まえ、サプライチェーン全体のセキュリティ対策に配慮を求める内容となっています。
経済産業のサイトから「サイバーセキュリティ経営ガイドライン Ver3.0」を入手できます。
「サイバーセキュリティ経営ガイドラインと支援ツール」
https://www.meti.go.jp/policy/netsecurity/mng_guide.html
(2023/5/5 引用)
この記事のまとめ
- サプライチェーンにおけるサイバーインシデントの増加を受け、政府がサイバーセキュリティ対策の方向性を示した
- サプライチェーン全体のサイバーセキュリティ対策強化は重要な取り組みである
- 取引先とのパートナーシップ構築による、連携したサイバーセキュリティ対策がサプライチェーンの保護に繋がる