サプライチェーン全体のサイバーセキュリティ向上のための取引先とのパートナーシップの構築に向けて - Business & Law(ビジネスアンドロー)

© Business & Law LLC.

はじめに

独立行政法人情報処理推進機構は、2024年1月24日、「情報セキュリティ10大脅威 2024」注1 を決定し、公開しました。組織向け脅威の第1位は「ランサムウェアによる被害」、第2位は「サプライチェーンの弱点を悪用した攻撃」でした。

ランサムウェア攻撃はサプライチェーン全体に影響を与えることが多いことが知られています。実際に2022年に報道された大阪急性期・総合医療センターの被害もサプライチェーンを構成する業務委託先の給食センターを経由したランサムウェア攻撃によるものでした注2

このような脅威が指摘される中、欧州刑事警察機構は、2024年2月20日、ランサムウェア集団「LockBit」のインフラを無効化し、関係者2人を逮捕したことなどを発表しました注3。この「LockBit」による被害は、日本でも数年前から確認されており、2023年には名古屋港のコンテナターミナルを機能不全に陥れたことが大きく報道されました注4
この度の「LockBit」の摘発は、快挙であり、「Lockbit」のみならず、ほかのランサムウェア集団に対しても、大きな抑止力になると思われます。

しかし、これによってランサムウェア攻撃が根絶されたわけではなく注5、企業は、引き続き、ランサムウェア攻撃を始めとしたサプライチェーン攻撃に備える必要があり、サプライチェーン全体のサイバーセキュリティ向上のために取引先とのパートナーシップを構築することが求められます。

独占禁止法にまつわるさまざまな話題をわかりやすく紹介する「ワンポイント 独禁法コラム」第8回の今回は、サプライチェーン全体のサイバーセキュリティ向上のための取引先とのパートナーシップの構築に向けて、その独占禁止法上の論点などを御紹介します。

サプライチェーン全体のサイバーセキュリティ向上のための取引先とのパートナーシップの構築に向けて

原油価格・物価高騰等に関する関係閣僚会議注6は、2022年4月26日、「コロナ禍における『原油価格・物価高騰等総合緊急対策』」を策定し、その柱の一つとしてエネルギー、原材料、食料等の安定供給対策を掲げ、その中で「サイバーセキュリティ対策の強化等」を挙げて、「サイバーインシデントによってサプライチェーンが分断され、物資やサービスの安定供給に支障が生じることのないよう、中小企業等におけるサイバーセキュリティ対策を支援するとともに、取引先への対策の支援・要請に係る関係法令の適用関係について整理を行う」としました。

これを受けて、経済産業省は、公正取引委員会と連名で、2022年10月28日、「サプライチェーン全体のサイバーセキュリティ向上のための取引先とのパートナーシップの構築に向けて」と題する文書(以下「本文書」といいます)を公表しました。
本文書は、特にサプライチェーンにおける発注側企業に向けた内容となっており、取引先への対策の支援・要請にあたっての独占禁止法および下請法の考え方を、下記のとおり、Q&Aの形で示しています注7

 サイバー攻撃による被害によってサプライチェーンが分断され、物資やサービスの安定供給に支障が生じることのないよう、取引先の事業者に対し、サイバーセキュリティ対策の実施(例:有償のセキュリティサービスの利用、セキュリティの認証の取得、セキュリティ体制の構築)を要請することを検討していますが、独占禁止法又は下請法上、どのような行為が問題となりますか。
 昨今、サイバーセキュリティ対策の必要性が高まる中、サプライチェーン全体としてのサイバーセキュリティ対策の強化は、サイバー攻撃による被害によってサプライチェーンが分断され、物資やサービスの安定供給に支障が生じないようにするために重要な取組であり、発注側となる事業者が、取引の相手方に対し、サイバーセキュリティ対策の実施を要請すること自体が直ちに独占禁止法上問題となるものではありません。ただし、要請の方法や内容によっては、独占禁止法上の優越的地位の濫用として問題となることもあるため、注意が必要です。

このような考え方が示された背景には、発注側企業が取引先に対しサイバーセキュリティ対策の実施を要請するにあたって、一定のサイバーセキュリティ対策を実施していることを取引の条件とすることや、一定のサイバーセキュリティ対策を実施することを求めることについて、発注側企業の中には、独占禁止法上の優越的地位の濫用や下請法上問題とならないかどうかについて懸念を示すところがあるという事情があったようです。

このQ&Aのポイントは、

① サプライチェーン全体としてのサイバーセキュリティ対策強化が重要な取組みであること

② その対策の実施要請自体が直ちに独占禁止法上問題となるものではないこと

が明確にされた点です。

サプライチェーン全体のサイバーセキュリティのレベルは、基本的に、サプライチェーンを構成する最もサイバーセキュリティのレベルが低い組織のレベルと等しくなります。
そのため、発注側企業は、サプライチェーン全体としてのサイバーセキュリティ対策を強化するにあたって、まずはサプライチェーンを構成する組織についてサイバーセキュリティ対策の状況を把握したうえで、特にサイバーセキュリティのレベルの低い組織に対してサイバーセキュリティ対策の実施を要請することが肝要となります。

この点については、経済産業省が策定している「サイバーセキュリティ経営ガイドライン Ver3.0」(2023年3月24日公開)注8も、経営者が情報セキュリティ対策を実施するうえでの責任者となる担当幹部(CISO等)に指示すべき項目の一つとして、「ビジネスパートナーや委託先等を含めたサプライチェーン全体の状況把握及び対策」を挙げています。
サプライチェーン全体としてのサイバーセキュリティ対策を強化しようとする発注側企業は、そのサプライチェーンを構成する取引の相手方に対して、まずはその対策の状況を把握したうえで、必要があれば、過度に萎縮することなく、その対策の実施を要請していただきたいと思います。

ただし、このQ&Aは、その要請の方法や内容によっては、独占禁止法上の優越的地位の濫用として問題となることもあることを注意喚起しています。具体的には、次の(1)(2)(3)の三つの場合を挙げています。

(1)取引の対価の一方的決定

取引上の地位が相手方に優越している事業者が、取引の相手方に対し、サイバーセキュリティ対策の要請を行い、サイバーセキュリティ対策の実施によって取引の相手方に生じるコスト上昇分を考慮することなく、一方的に著しく低い対価を定める場合には、独占禁止法上問題となります。
このため、違反行為の未然防止を図る観点からは、積極的に価格の交渉の機会を設け、取引の相手方と十分に協議を行い、サイバーセキュリティ対策の内容や費用負担の在り方を決定することが望まれます。
例えば、取引上の地位が相手方に優越している事業者が、次のような方法で取引価格を据え置くことは、独占禁止法上問題となるおそれがあるため注意が必要です。

○ 取引の相手方に対し、有償のセキュリティサービスの利用やセキュリティの認証の取得を要請したにもかかわらず、コスト上昇分の取引価格への反映の必要性について、価格の交渉の場において明示的に協議することなく、従来どおりに取引価格を据え置くこと

○ 取引の相手方に対し、セキュリティ対策責任者の設置、従業員へのセキュリティ教育の実施、サイバー攻撃による被害発生時における自らが定めた対処フローの遵守など、セキュリティ体制の構築を要請した結果、人件費などのコスト上昇を理由とする取引価格の引上げを求められたにもかかわらず、それに応じない理由を書面、電子メール等で取引の相手方に回答することなく、従来どおりに取引価格を据え置くこと

また、下請法の規制対象となる取引において、親事業者が下請事業者に対し、下請事業者に生じるコスト上昇分を考慮することなく、著しく低い下請代金の額を不当に定めた場合には、下請法上の「買いたたき」として問題となります。


(2)セキュリティ対策費の負担の要請

取引上の地位が相手方に優越している事業者が、取引の相手方に対し、セキュリティ対策費などの名目で金銭の負担を要請し、当該セキュリティ対策費の負担額及びその算出根拠等について、取引の相手方との間で明確になっておらず、取引の相手方にあらかじめ計算できない不利益を与えることとなる場合や、取引の相手方が得る直接の利益等を勘案して合理的であると認められる範囲を超えた負担となり、取引の相手方に不利益を与えることとなる場合には、独占禁止法上問題となります。
また、下請法の規制対象となる取引において、親事業者が下請事業者に対し、自己のために金銭、役務その他の経済上の利益を提供させることによって、取引先の利益を不当に害する場合には、下請法上の「不当な経済上の利益の提供要請」として問題となります。


(3)購入・利用強制

取引上の地位が相手方に優越している事業者が、取引の相手方に対し、サイバーセキュリティ対策の実施の要請に際して、合理的な必要性がないにもかかわらず、自己の指定する商品の購入や役務の利用を強制する場合には、独占禁止法上問題となります。例えば、取引の相手方が、サイバーセキュリティ対策の実施の要請を受け、当該要請と同等又はそれ以上のサイバーセキュリティ対策を講じているため、新たなセキュリティサービスを利用する必要がないにもかかわらず、自己の指定する事業者が提供するより高価なセキュリティサービスを利用することを要請し、当該事業者から利用させることは、独占禁止法上問題となります。
また、下請法の規制対象となる取引において、親事業者が下請事業者に対し、正当な理由がある場合を除き、自己の指定する物を強制して購入させ、又は役務を強制して利用させる場合には、下請法上の「購入・利用強制」として問題となります。

いずれの場合についても御注意いただきたいところですが、「(1)取引の対価の一方的決定」には特に注意が必要です。
なぜなら、サプライチェーン全体としてのサイバーセキュリティ対策の実施要請は、前述のとおり、特にサイバーセキュリティのレベルの低い組織に対して行うことが肝要となるため、その要請に係るサイバーセキュリティ対策の実施によって取引の相手方に相応のコスト上昇を生じさせる可能性が高いからです。
したがって、サプライチェーン全体としてのサイバーセキュリティ対策の実施を要請する場合、違反行為の未然防止を図る観点からは、積極的に価格の交渉の機会を設け、取引の相手方と十分に協議を行い、サイバーセキュリティ対策の内容や費用負担のあり方を決定することが望ましく、その中で、

① その対策に要するコスト上昇分を取引価格に反映させる

② 従来どおりに取引価格を据え置くときにはコスト上昇分の取引価格への反映の必要性について価格の交渉の場において明示的に協議する

③ コスト上昇を理由とする取引価格の引上げを求められてそれに応じないときにはその理由を書面、電子メール等で取引の相手方に回答する

などという対応が求められます。

なお、「(1)取引の対価の一方的決定」、「(2)セキュリティ対策費の負担の要請」および「(3)購入・利用強制」のいずれの場合についても、自らの取引上の地位が相手方に優越している事業者による行為であることや下請法の規制対象となる取引における親事業者の下請事業者に対する行為であることが前提とされていますので、この前提が欠けるときには、独占禁止法上も下請法上も問題となりません。

取引先がサイバーセキュリティ対策に協力的でない場合

サプライチェーンを構成する取引の相手方が、さまざまな理由から、サイバーセキュリティ対策に協力的でなく、発注側企業からサプライチェーン全体としてのサイバーセキュリティ対策の実施要請を受けてもこれに応じない場合は、どうしたらよいでしょうか。

このような場合について、独立行政法人情報処理推進機構が発行した「サイバーセキュリティ経営ガイドラインVer3.0/実践のためのプラクティス集第4版」(2023年10月31日公開)は、取引の相手方が自分事として対策を進めてくれるよう工夫や配慮を実践するという取組みを紹介しています。

このような取組みの中で、発注側企業は、相手方のIT・セキュリティ人材が不足していてサイバーセキュリティ対策を強化することが現実的ではないときには、「サイバーセキュリティお助け隊サービス」注9の導入を勧めることも有用です。

しかし、このような取組みは相当の時間を要するおそれがあります。
前述のとおり、サプライチェーン全体のサイバーセキュリティのレベルが、基本的に、サプライチェーンを構成する最もサイバーセキュリティのレベルが低い組織のレベルと等しくなることを考えると、個々の企業がサイバーセキュリティのレベルをどれほど向上させようとも、そのサプライチェーンにサイバーセキュリティのレベルが低い組織が存在すれば、それによって、そのサプライチェーン全体のサイバーセキュリティのレベルがその低いレベルと等しくなってしまうリスクがあります。

そうしますと、発注側企業は、サプライチェーン全体のサイバーセキュリティのリスクを検討したうえで、サイバーセキュリティ対策に協力的でない取引先との取引を停止せざるを得ないことがあるかもしれません。

この点に関して、公正取引委員会の担当官は、本文書の説明会などの場において、

「取引先の対策が自社の要求するレベルに達しておらず、取引を停止する場合、優越的地位の濫用に当たるか」

との問いに対し、

「事業者間の取引は基本的には自由であるが、個別の状況に照らして判断することとなる。一概には言えないが、(1)両者で協議を重ね、合理的な範囲の要請がされているか否か(2)取引を打ち切ることを示唆して問題となるような行為を実行に移そうとしているのか――などが重要なポイントである。判断に迷うケースがあれば、取引先との具体的な状況を含めて、ぜひ相談窓口を活用してほしい」

と回答しています注10

発注側企業は、サイバーセキュリティのレベルが低いにもかかわらずサイバーセキュリティ対策に協力的でない取引先について取引を停止する際には、その前提として、両者で協議を重ねて上記で述べたような合理的な範囲の要請を行うことが望ましいといえるでしょう。

最後に

サプライチェーンに対するサイバーセキュリティの脅威は常に存在しています。
発注側企業は、今後も、本文書を参照のうえ、サプライチェーン全体のサイバーセキュリティ向上のために取引先とのパートナーシップを構築し、脅威に備えていただくことが期待されます。

→この連載を「まとめて読む」

[注]
  1. なお、その解説書が2024年2月29日に公開されました。独立行政法人情報処理推進機構セキュリティセンター「情報セキュリティ10大脅威 2024~脅威に呑まれる前に十分なセキュリティ対策を~」(2024年2月)[]
  2. このランサムウェア攻撃は、感染した端末のランサムノート(身代金要求文書)から、ランサムウェア集団「Phobos(フォボス)」によるものである可能性が高いとされています(地方独立行政法人大阪府立病院機構 大阪急性期・総合医療センター 情報セキュリティインシデント調査委員会「調査報告書」(2023年3月28日))。[]
  3. Europo「Law enforcement disrupt world’s biggest ransomware operation」.[]
  4. 「名古屋港にサイバー攻撃か システム障害、搬出入中止」(日本経済新聞2023年7月5日)[]
  5. 2024年2月27日、「LockBit」は閉鎖に追い込まれたウェブサイトを再開させ、「FBIはうそつきだ。米政府機関への攻撃を強化する」旨掲載するなどして報復を表明しています(2024年2月27日共同通信「ハッカー集団ロックビットが再開 米政府に「報復」表明」)。[]
  6. ウクライナ情勢に伴う原油価格や物価の高騰による国民生活や経済活動への影響に緊急かつ機動的に対応し、コロナ禍からの経済社会活動の回復を確かなものとすべく、関係行政機関の緊密な連携の下、総合的な検討を行うことを目的として、2022年4月5日および同月26日に開催された関係閣僚会議。「原油価格・物価高騰等に関する関係閣僚会議の開催について」[]
  7. 「取引先への対策の支援・要請についての考え方」(本文書第3の2)。なお、公正取引委員会はこの項についてのみ連絡先として記載されています。[]
  8. 経済産業省が、独立行政法人情報処理推進機構とともに、大企業および中小企業(小規模事業者を除く)のうち、ITに関するシステムやサービス等を供給する企業および経営戦略上ITの利活用が不可欠である企業の経営者を対象に、経営者のリーダーシップの下で、サイバーセキュリティ対策を推進するために策定しているガイドライン。サイバー攻撃から企業を守る観点で、経営者が認識する必要のある「3原則」および経営者が情報セキュリティ対策を実施するうえでの責任者となる担当幹部(CISO等)に指示すべき「重要10項目」をまとめています。[]
  9. 「サイバーセキュリティお助け隊サービス」(本文書第2の1)。[]
  10. 「「サイバーセキュリティ懇談会」を開催」(週刊 経団連タイムス 2023年3月2日 No.3581)第9回 産業サイバーセキュリティ研究会 ワーキンググループ2(経営・人材・国際)資料3 事務局説明資料[]

笠置 泰平

八雲法律事務所 弁護士

2009年中央大学法科大学院修了。2010年弁護士登録。2014~2017年国土交通省大臣官房監察官、2017~2019年公正取引委員会事務総局審査局審査専門官(主査)。独占禁止法/競争法案件のほか、サイバーインシデントやシステム開発紛争対応などのIT関連案件を多数取り扱っている。

この記事に関連するセミナー