ホーム >独占禁止法 >法令・ガイドライン等(独占禁止法) >運用基準関係 >

サプライチェーン全体のサイバーセキュリティ向上のための 取引先とのパートナーシップの構築に向けて

サプライチェーン全体のサイバーセキュリティ向上のための 取引先とのパートナーシップの構築に向けて

令和4年10月28日
経済産業省
公正取引委員会

第1 はじめに

 企業にとって、機密情報を狙ったサイバー攻撃は大きな脅威であり、近年、大企業から中小企業までを含むサプライチェーン上の弱点を狙って、攻撃対象への侵入を図るサイバー攻撃が顕在化・高度化している。また、こうした企業への攻撃原因の一つとして、情報システムのサプライチェーン/商流上において、脆弱な機器が放置されてしまい、その弱点を突かれた攻撃が発生していることにも留意する必要がある。
 サプライチェーンのビジネスパートナーである中小企業等がサイバー攻撃に対する対策が不十分である場合、当該中小企業等の事業活動に支障が生じ得ることに加えて、自社が提供した重要な情報が流出してしまうおそれや、当該企業を踏み台にして自社が攻撃されるおそれなどが考えられる。
 そのため、中小企業等におけるサイバー攻撃による被害によってサプライチェーンが分断され、物資やサービスの安定供給に支障が生じることのないよう、中小企業等におけるサイバーセキュリティ対策や、発注側企業の取引先に対するサイバーセキュリティ対策の支援・要請に関する考え方について、以下のとおり整理する。特に発注者側となる事業者におかれては、以下を参考に、サプライチェーンの保護に向けて、取引先のサイバーセキュリティ対策の強化を促しつつ、サプライチェーン全体での付加価値の向上に取り組み、取引先とのパートナーシップの構築を目指していただきたい。
 
<参考>
〇「コロナ禍における「原油価格・物価高騰等総合緊急対策」」(令和4年4月26日原油価格・物価高騰等に関する関係閣僚会議決定)
「サイバーインシデントによってサプライチェーンが分断され、物資やサービスの安定供給に支障が生じることのないよう、中小企業等におけるサイバーセキュリティ対策を支援するとともに、取引先への対策の支援・要請に係る関係法令の適用関係について整理を行う。」
 

第2 中小企業等におけるサイバーセキュリティ対策

 経済産業省及び独立行政法人情報処理推進機構(IPA)は、中小企業等がサイバーセキュリティ対策を講じることを支援するため、以下の施策を整備している。政府としても、民間の取引において、発注側企業が取引先にこうした施策の活用を促していくことを期待している。
 

1 サイバーセキュリティお助け隊サービス

 「サイバーセキュリティお助け隊サービス」制度は、中小企業等に対するサイバー攻撃への対処として不可欠なワンパッケージのサービスを要件としてまとめ、所定の審査機関により当該要件を満たすことが確認された民間サービスについて、IPAが登録・公表する制度である。
 具体的には、①見守り(24 時間監視し挙動や問題のある攻撃を検知)、②駆付け(問題が発生したときに地域の IT 事業者等が駆付け対応)、③保険(簡易サイバー保険で駆付け支援等のサイバー攻撃による被害対応時に突発的に発生する各種コストを補償)等をワンパッケージで安価に提供するサービスとなっている。
 政府としても、「サイバーセキュリティお助け隊サービス」の利用料をIT導入補助金の対象とするなど普及を後押ししている。民間の取引においても、本サービスの利用を推奨する事例も見られるようになってきたところであり、一層の利用促進が期待される。
 

2 セキュリティアクション

 「セキュリティアクション」は、中小企業等が、自ら情報セキュリティ対策に取り組むことを自己宣言する制度である。本宣言を通じて、サイバーセキュリティ対策に取り組んでいる中小企業等が、サイバーセキュリティ対策に積極的に取り組んでいることを広く社会にアピールすることが可能となる。
 政府としても、IT導入補助金等において本宣言を申請要件とするなど、中小企業等がサイバーセキュリティ対策に取り組むインセンティブを高めているところである。
 民間の取引においても、宣言の有無を取引や入札の条件の一つに含めるといった取組が図られることが期待される。
 

3 中小企業の情報セキュリティ対策ガイドライン

 「中小企業の情報セキュリティ対策ガイドライン」は、全ての業種の中小企業等を対象に、情報セキュリティ対策に取り組む際の、①経営者が認識し実施すべき指針、②社内において対策を実践する際の手順や手法をまとめたものである。
 情報セキュリティ対策を実践するため、自社の情報資産に想定されるリスクを特定し、対策を検討するために用いることができる「リスク分析シート」や、クラウドサービスの安全利用の手引き等も付録としている。
 IPAでは、全国の中小企業等における情報セキュリティ対策水準の向上を目的に、情報処理安全確保支援士等を含むセキュリティプレゼンターによる普及啓発活動を推進している。発注側企業からも、「中小企業の情報セキュリティ対策ガイドライン」等を活用したサイバーセキュリティ対策に取り組もうとしている取引先へのセキュリティプレゼンターの紹介等が期待される。
(※)セキュリティプレゼンター制度は、IPAのセキュリティ対策資料等を活用して、中小企業等に対して情報セキュリティの普及啓発を行う人材を「セキュリティプレゼンター」として登録する制度。
 

4 サプライチェーン・サイバーセキュリティ・コンソーシアム

 産業界が一体となって中小企業を含むサプライチェーン全体でのサイバーセキュリティ対策の推進運動を進めていくことを目的として、2020年11月に「サプライチェーン・サイバーセキュリティ・コンソーシアム(SC3)」が設立された。2022年9月時点で、本コンソーシアムには175の業界団体等が参加している。
 本コンソーシアムの下に設置しているワーキンググループにおいて、中小企業のサイバーセキュリティ対策やインシデント対応について、経営者へのインタビュー形式でまとめた事例集を作成し、中小企業の経営者の意識改革に取り組んでいる。
 また、地域のセキュリティ・コミュニティの取組を横展開するため、ワークショップの開催等を通じた地域間の情報共有の促進、共通課題の解決に向けた検討に取り組んでいるところである。
 これらを通じて中小企業等のサイバーセキュリティ対策の意識啓発や中小企業等に対する支援策の普及促進に取り組んでおり、本コンソーシアムの取組に、発注側企業・取引先の双方が積極的に参加いただくことを期待する。
 

第3 取引先との関係構築

1 パートナーシップ構築宣言

 「パートナーシップ構築宣言」は、サプライチェーンの取引先や価値創造を図る事業者の皆様との連携・共存共栄を進めることで、新たなパートナーシップを構築することを、「発注者」側の立場から企業の代表者の名前で宣言するものである。
 宣言に際し、発注側企業の取引先に対するサイバーセキュリティ対策の助言・支援等は、サプライチェーン全体の共存共栄と規模・系列等を超えた新たな連携の一つとして例示されていることに加え、下請振興基準にも記載されており、「第2」に示した施策の活用促進をはじめとして、「発注者」側の立場の企業の積極的な対応が期待される。
 

2 取引先への対策の支援・要請についての考え方

 発注側企業が取引先へのサイバーセキュリティ対策の実施を要請するに当たって、一定のサイバーセキュリティ対策を実施していることを取引の条件とすることや、一定のサイバーセキュリティ対策を実施することを求めることについて、発注側企業の中には、独占禁止法上の優越的地位の濫用や下請法上問題とならないかどうかについて懸念を示すところもある。そのため、以下のとおり、取引先への対策の支援・要請に当たっての独占禁止法及び下請法の考え方をQ&Aの形で示す。
 

Q サイバー攻撃による被害によってサプライチェーンが分断され、物資やサービスの安定供給に支障が生じることのないよう、取引先の事業者に対し、サイバーセキュリティ対策の実施(例:有償のセキュリティサービスの利用、セキュリティの認証の取得、セキュリティ体制の構築)を要請することを検討していますが、独占禁止法又は下請法上、どのような行為が問題となりますか。

 

A 昨今、サイバーセキュリティ対策の必要性が高まる中、サプライチェーン全体としてのサイバーセキュリティ対策の強化は、サイバー攻撃による被害によってサプライチェーンが分断され、物資やサービスの安定供給に支障が生じないようにするために重要な取組であり、発注側となる事業者が、取引の相手方に対し、サイバーセキュリティ対策の実施を要請すること自体が直ちに独占禁止法上問題となるものではありません。ただし、要請の方法や内容によっては、独占禁止法上の優越的地位の濫用として問題となることもあるため、注意が必要です。
 以下では、取引の相手方に対し、サイバーセキュリティ対策の実施を要請する場合において、優越的地位の濫用として問題となるおそれがある行為について、その考え方を示します(注1)。また、下請法の規制対象となるもの(注2)については、その考え方も明らかにします。下請法と独占禁止法のいずれも適用可能な行為については、通常、下請法が適用されます。

(注1)独占禁止法上問題となるのは、行為者の取引上の地位が相手方に優越していること、また、取引の相手方が今後の取引に与える影響等を懸念して、行為者による要請等を受け入れざるを得ないことが前提となります。

(注2)下請法にいう親事業者と下請事業者の取引に該当する場合であって、下請法第2条第1項から第4項までに規定する①製造委託、②修理委託、③情報成果物作成委託、④役務提供委託に該当する場合には、下請法の規制の対象となります。

(参考1)優越的地位の濫用規制に関する独占禁止法上の基本的な考え方は、「優越的地位の濫用に関する独占禁止法上の考え方」(平成22年公正取引委員会)で示しているとおりです。

(参考2)下請法の運用に関する基本的な考え方は、「下請代金支払遅延等防止法に関する運用基準」(平成15年公正取引委員会事務総長通達第18号)で示しているとおりです。

 

(1)取引の対価の一方的決定

 取引上の地位が相手方に優越している事業者が、取引の相手方に対し、サイバーセキュリティ対策の要請を行い、サイバーセキュリティ対策の実施によって取引の相手方に生じるコスト上昇分を考慮することなく、一方的に著しく低い対価を定める場合には、独占禁止法上問題となります。
 このため、違反行為の未然防止を図る観点からは、積極的に価格の交渉の機会を設け、取引の相手方と十分に協議を行い、サイバーセキュリティ対策の内容や費用負担の在り方を決定することが望まれます。
 例えば、取引上の地位が相手方に優越している事業者が、次のような方法で取引価格を据え置くことは、独占禁止法上問題となるおそれがあるため注意が必要です。
○ 取引の相手方に対し、有償のセキュリティサービスの利用やセキュリティの認証の取得を要請したにもかかわらず、コスト上昇分の取引価格への反映の必要性について、価格の交渉の場において明示的に協議することなく、従来どおりに取引価格を据え置くこと
○ 取引の相手方に対し、セキュリティ対策責任者の設置、従業員へのセキュリティ教育の実施、サイバー攻撃による被害発生時における自らが定めた対処フローの遵守など、セキュリティ体制の構築を要請した結果、人件費などのコスト上昇を理由とする取引価格の引上げを求められたにもかかわらず、それに応じない理由を書面、電子メール等で取引の相手方に回答することなく、従来どおりに取引価格を据え置くこと
 

 また、下請法の規制対象となる取引において、親事業者が下請事業者に対し、下請事業者に生じるコスト上昇分を考慮することなく、著しく低い下請代金の額を不当に定めた場合には、下請法上の「買いたたき」として問題となります。

 

(2)セキュリティ対策費の負担の要請

 取引上の地位が相手方に優越している事業者が、取引の相手方に対し、セキュリティ対策費などの名目で金銭の負担を要請し、当該セキュリティ対策費の負担額及びその算出根拠等について、取引の相手方との間で明確になっておらず、取引の相手方にあらかじめ計算できない不利益を与えることとなる場合や、取引の相手方が得る直接の利益等を勘案して合理的であると認められる範囲を超えた負担となり、取引の相手方に不利益を与えることとなる場合には、独占禁止法上問題となります。
 また、下請法の規制対象となる取引において、親事業者が下請事業者に対し、自己のために金銭、役務その他の経済上の利益を提供させることによって、取引先の利益を不当に害する場合には、下請法上の「不当な経済上の利益の提供要請」として問題となります。

 

(3)購入・利用強制

 取引上の地位が相手方に優越している事業者が、取引の相手方に対し、サイバーセキュリティ対策の実施の要請に際して、合理的な必要性がないにもかかわらず、自己の指定する商品の購入や役務の利用を強制する場合には、独占禁止法上問題となります。例えば、取引の相手方が、サイバーセキュリティ対策の実施の要請を受け、当該要請と同等又はそれ以上のサイバーセキュリティ対策を講じているため、新たなセキュリティサービスを利用する必要がないにもかかわらず、自己の指定する事業者が提供するより高価なセキュリティサービスを利用することを要請し、当該事業者から利用させることは、独占禁止法上問題となります。
 また、下請法の規制対象となる取引において、親事業者が下請事業者に対し、正当な理由がある場合を除き、自己の指定する物を強制して購入させ、又は役務を強制して利用させる場合には、下請法上の「購入・利用強制」として問題となります。
 

第4 おわりに

 経済社会のデジタル化が広範かつ急速に進展する中で、サイバー攻撃も急速に、複雑化・高度化・巧妙化している。また、昨今の情勢を受けて、サイバー攻撃の脅威はますます高まっている。
 産業界においては、以上の「第1」から「第3」の事項を参考にサプライチェーン全体でサイバーセキュリティ対策の強化を進めていただくとともに、政府としても、状況の変化に対応し、それぞれの事項について、必要な拡充・見直しを図ることとする。
 

 各連絡先について

第2 中小企業等におけるサイバーセキュリティ対策

経済産業省
商務情報政策局サイバーセキュリティ課 TEL 03-3501-1253(直)
独立行政法人情報処理推進機構(IPA)
セキュリティセンター 企画部
中小企業支援グループ
TEL 03-5978-7508(直)
 

第3 取引先との関係構築

1 パートナーシップ構築宣言

中小企業庁
事業環境部企画課 TEL 03-3501-1765(直)
 

2 取引先への対策の支援・要請についての考え方

(1)独占禁止法の優越的地位の濫用規制に関する相談窓口
公正取引委員会
〇事務総局 経済取引局 取引部 企業取引課
〇北海道事務所 取引課
〇東北事務所 取引課
〇中部事務所 取引課
〇近畿中国四国事務所 取引課
〇近畿中国四国事務所 中国支所 取引課
〇近畿中国四国事務所 四国支所 取引課
〇九州事務所 取引課
〇沖縄総合事務局 総務部 公正取引室
TEL 03-3581-3375(直)
TEL 011-231-6300(代)
TEL 022-225-7096(直)
TEL 052-961-9423(直)
TEL 06-6941-2175(直)
TEL 082-228-1501(代)
TEL 087-811-1750(代)
TEL 092-431-6031(直)
TEL 098-866-0049(直)

(2)下請法に関する相談窓口
公正取引委員会 中小企業庁
〇事務総局 経済取引局 取引部 企業取引課
TEL 03-3581-3375(直)
〇北海道事務所 下請課
TEL 011-231-6300(代)
〇東北事務所 下請課
TEL 022-225-8420(直)


〇中部事務所 下請課
TEL 052-961-9424(直)

〇近畿中国四国事務所 下請課
TEL 06-6941-2176(直)

〇近畿中国四国事務所 中国支所 下請課
TEL 082-228-1501(代)

〇近畿中国四国事務所 四国支所 下請課
TEL 087-811-1758(直)
〇九州事務所 下請課
TEL 092-431-6032(直)

〇沖縄総合事務局 総務部 公正取引室
TEL 098-866-0049(直)
〇事業環境部 取引課
TEL 03-3501-1732(直)
〇北海道経済産業局 産業部中小企業課
TEL 011-700-2251(直)
〇東北経済産業局 産業部中小企業課
TEL 022-221-4922(直)
〇関東経済産業局 産業部適正取引推進課
TEL 048-600-0325(直)
〇中部経済産業局 産業部中小企業課
取引適正化推進室
TEL  052-951-2860 (直)
〇近畿経済産業局 産業部中小企業課
下請取引適正化推進室
TEL 06-6966-6037(直)
〇中国経済産業局 産業部中小企業課
取引適正化推進室
TEL 082-224-5745(直)
〇四国経済産業局 産業部中小企業課
TEL 087-811-8564(直)
〇九州経済産業局 産業部中小企業課
取引適正化推進室
TEL 092-482-5450(直)
〇沖縄総合事務局 経済産業部中小企業課
TEL 098-866-1755(直)


 

関連ファイル

(印刷用)サプライチェーン全体のサイバーセキュリティ向上のための取引先とのパートナーシップの構築に向けて(概要)(PDF:96KB)
(印刷用)サプライチェーン全体のサイバーセキュリティ向上のための取引先とのパートナーシップの構築に向けて(本体)(PDF:137KB)

ページトップへ