取引先へのセキュリティ対策要請が独占禁止法に抵触する可能性、公取と経産省がガイドライン | ScanNetSecurity
2024.04.23(火)

取引先へのセキュリティ対策要請が独占禁止法に抵触する可能性、公取と経産省がガイドライン

 公正取引委員会と経済産業省は、「サプライチェーン全体のサイバーセキュリティ向上のための取引先とのパートナーシップの構築に向けて」と題するガイドラインを発表した。

製品・サービス・業界動向 業界動向
facebookLINE
https://www.jftc.go.jp/dk/guideline/unyoukijun/cyber_security.html
https://www.jftc.go.jp/dk/guideline/unyoukijun/cyber_security.html 全 1 枚 拡大写真

 公正取引委員会と経済産業省は10月28日、「サプライチェーン全体のサイバーセキュリティ向上のための取引先とのパートナーシップの構築に向けて」と題するガイドラインを発表した。近年、サプライチェーン攻撃が顕在化・高度化している。

 これを背景に、サイバー攻撃対策が不十分なサプライチェーンパートナーである中小企業などに対し、上流にある企業がサイバーセキュリティ対策の支援・要請を行うケースが増えている。一方、要請の方法や内容によっては、独占禁止法上の優越的地位の濫用として問題となることもあるため、指針を打ち出した形となる。

 同ガイドラインは、特に発注者側となる事業者に対し、サプライチェーンの保護に向けて、取引先のサイバーセキュリティ対策の強化を促しつつ、サプライチェーン全体での付加価値の向上に取り組み、取引先とのパートナーシップの構築を目指すための参考情報としている。

 ガイドラインでは、「中小企業等におけるサイバーセキュリティ対策」として、経済産業省および独立行政法人情報処理推進機構(IPA)が、中小企業などがサイバーセキュリティ対策を講じることを支援するために整備している施策として、「サイバーセキュリティお助け隊サービス」「セキュリティアクション」「中小企業の情報セキュリティ対策ガイドライン」「サプライチェーン・サイバーセキュリティ・コンソーシアム」を紹介している。

 また「取引先との関係構築」として「パートナーシップ構築宣言」を取り上げている。これは、サプライチェーンの取引先などとの連携・共存共栄を進めることで、新たなパートナーシップを構築することを、「発注者」側の立場から企業の代表者の名前で宣言するもの。

 この宣言には、発注側企業の取引先に対するサイバーセキュリティ対策の助言・支援などは、サプライチェーン全体の共存共栄と規模・系列等を超えた新たな連携の一つとして例示されるとともに、下請振興基準にも記載されており、前述の施策の活用促進をはじめ、「発注者」側の立場の企業の積極的な対応が期待されるとしている。


 要請の方法や内容によって、独占禁止法上の優越的地位の濫用として問題となる可能性のあるものについては、「取引先への対策の支援・要請についての考え方」にまとめられている。具体的には、「取引の対価の一方的決定」「セキュリティ対策費の負担の要請」「購入・利用強制」の3つを挙げている。

独占禁止法上の優越的地位の濫用として問題となる可能性のあるもの
(1)取引の対価の一方的決定
(2)セキュリティ対策費の負担の要請
(3)購入・利用強制

(1)取引の対価の一方的決定
 取引の対価の一方的決定とは、取引上の地位が相手方に優越している事業者が、取引の相手方に対し、サイバーセキュリティ対策の要請を行い、サイバーセキュリティ対策の実施によって取引の相手方に生じるコスト上昇分を考慮することなく、一方的に著しく低い対価を定める場合には、独占禁止法上問題となるとしている

 具体例として、「取引の相手方に対し、有償のセキュリティサービスの利用やセキュリティの認証の取得を要請したにもかかわらず、コスト上昇分の取引価格への反映の必要性について、価格の交渉の場において明示的に協議することなく、従来どおりに取引価格を据え置くこと」や、要請に対応したことで人件費などのコスト上昇を理由に取引価格の引き上げを求めたのに、応じない理由を書面やメールで回答することなく、取引価格を据え置くことが挙げられている。

(2)セキュリティ対策費の負担の要請
 セキュリティ対策費の負担の要請については、セキュリティ対策費などの名目で金銭の負担を要請し、その負担額およびその算出根拠等について、取引の相手方との間で明確になっておらず、取引の相手方にあらかじめ計算できない不利益を与えることとなる場合や、取引の相手方が得る直接の利益等を勘案して合理的であると認められる範囲を超えた負担となり、取引の相手方に不利益を与えることとなる場合には、独占禁止法上問題となる。また、下請法に抵触するケースもあるとしている。

(3)購入・利用強制
 購入・利用強制では、サイバーセキュリティ対策の実施の要請に際して、合理的な必要性がないにもかかわらず、自己の指定する商品の購入や役務の利用を強制する場合には、独占禁止法上問題となる。すでに同等あるいはそれ以上の対策を相手方が講じているのに、より高価なセキュリティサービスの利用を要請する場合も同様に、独占禁止法上問題となる。

 サプライチェーンリスクは企業におけるリスクでも優先度が高くなっており、PCI DSSやいわゆる個人情報保護法、NIST SP800-171などでもサプライチェーンパートナーに対するセキュリティ対策の監査などの対応が求められている。しかし、独占禁止法に抵触するケースもあり得るため、同ガイドラインの参照も重要といえるだろう。なお、ガイドラインは随時、必要な拡充や見直しを行うとしている。

《吉澤 亨史( Kouji Yoshizawa )》

この記事の写真

/

関連リンク

特集

PageTop

アクセスランキング

  1. 訃報:セキュリティの草分けロス・アンダーソン氏 死去 67 歳、何回分かの生涯に匹敵する業績

    訃報:セキュリティの草分けロス・アンダーソン氏 死去 67 歳、何回分かの生涯に匹敵する業績

  2. セキュリティにおける効果は実感できるのか ~ SECURITY ACTION 宣言「得られた効果はない」最多

    セキュリティにおける効果は実感できるのか ~ SECURITY ACTION 宣言「得られた効果はない」最多

  3. NDIソリューションズの RAG サービスに不正アクセス、個人情報を格納するサービスへの痕跡は確認されず

    NDIソリューションズの RAG サービスに不正アクセス、個人情報を格納するサービスへの痕跡は確認されず

  4. Acompany で 4 件の Google フォーム誤設定、最大 164 名の個人情報が閲覧可能に

    Acompany で 4 件の Google フォーム誤設定、最大 164 名の個人情報が閲覧可能に

  5. LINEヤフー委託先への不正アクセス、報告書を受け 2 度目の行政指導

    LINEヤフー委託先への不正アクセス、報告書を受け 2 度目の行政指導

  6. 笛吹市商工会へのサポート詐欺被害、調査結果公表

    笛吹市商工会へのサポート詐欺被害、調査結果公表

  7. 東芝テックが利用するクラウドサービスに不正アクセス、取引先や従業員の個人情報が閲覧された可能性

    東芝テックが利用するクラウドサービスに不正アクセス、取引先や従業員の個人情報が閲覧された可能性

  8. 「相鉄ポイント」引き継ぎで会員情報を取り違え、他の顧客の個人情報が閲覧可能に

    「相鉄ポイント」引き継ぎで会員情報を取り違え、他の顧客の個人情報が閲覧可能に

  9. 東京高速道路のメールアカウントを不正利用、大量のメールを送信

    東京高速道路のメールアカウントを不正利用、大量のメールを送信

  10. 社員のセキュリティ意欲高める施策とは? 罰則は逆効果 ~ プルーフポイント「2024 State of the Phish」日本語版公表

    社員のセキュリティ意欲高める施策とは? 罰則は逆効果 ~ プルーフポイント「2024 State of the Phish」日本語版公表

ランキングをもっと見る
ホーム 製品・サービス・業界動向 業界動向 記事
TOP