取引先へのセキュリティ対策要請が独占禁止法に抵触する可能性、公取と経産省がガイドライン | ScanNetSecurity
2024.04.16(火)

取引先へのセキュリティ対策要請が独占禁止法に抵触する可能性、公取と経産省がガイドライン

 公正取引委員会と経済産業省は、「サプライチェーン全体のサイバーセキュリティ向上のための取引先とのパートナーシップの構築に向けて」と題するガイドラインを発表した。

製品・サービス・業界動向 業界動向
https://www.jftc.go.jp/dk/guideline/unyoukijun/cyber_security.html
https://www.jftc.go.jp/dk/guideline/unyoukijun/cyber_security.html 全 1 枚 拡大写真

 公正取引委員会と経済産業省は10月28日、「サプライチェーン全体のサイバーセキュリティ向上のための取引先とのパートナーシップの構築に向けて」と題するガイドラインを発表した。近年、サプライチェーン攻撃が顕在化・高度化している。

 これを背景に、サイバー攻撃対策が不十分なサプライチェーンパートナーである中小企業などに対し、上流にある企業がサイバーセキュリティ対策の支援・要請を行うケースが増えている。一方、要請の方法や内容によっては、独占禁止法上の優越的地位の濫用として問題となることもあるため、指針を打ち出した形となる。

 同ガイドラインは、特に発注者側となる事業者に対し、サプライチェーンの保護に向けて、取引先のサイバーセキュリティ対策の強化を促しつつ、サプライチェーン全体での付加価値の向上に取り組み、取引先とのパートナーシップの構築を目指すための参考情報としている。

 ガイドラインでは、「中小企業等におけるサイバーセキュリティ対策」として、経済産業省および独立行政法人情報処理推進機構(IPA)が、中小企業などがサイバーセキュリティ対策を講じることを支援するために整備している施策として、「サイバーセキュリティお助け隊サービス」「セキュリティアクション」「中小企業の情報セキュリティ対策ガイドライン」「サプライチェーン・サイバーセキュリティ・コンソーシアム」を紹介している。

 また「取引先との関係構築」として「パートナーシップ構築宣言」を取り上げている。これは、サプライチェーンの取引先などとの連携・共存共栄を進めることで、新たなパートナーシップを構築することを、「発注者」側の立場から企業の代表者の名前で宣言するもの。

 この宣言には、発注側企業の取引先に対するサイバーセキュリティ対策の助言・支援などは、サプライチェーン全体の共存共栄と規模・系列等を超えた新たな連携の一つとして例示されるとともに、下請振興基準にも記載されており、前述の施策の活用促進をはじめ、「発注者」側の立場の企業の積極的な対応が期待されるとしている。


 要請の方法や内容によって、独占禁止法上の優越的地位の濫用として問題となる可能性のあるものについては、「取引先への対策の支援・要請についての考え方」にまとめられている。具体的には、「取引の対価の一方的決定」「セキュリティ対策費の負担の要請」「購入・利用強制」の3つを挙げている。

独占禁止法上の優越的地位の濫用として問題となる可能性のあるもの
(1)取引の対価の一方的決定
(2)セキュリティ対策費の負担の要請
(3)購入・利用強制

(1)取引の対価の一方的決定
 取引の対価の一方的決定とは、取引上の地位が相手方に優越している事業者が、取引の相手方に対し、サイバーセキュリティ対策の要請を行い、サイバーセキュリティ対策の実施によって取引の相手方に生じるコスト上昇分を考慮することなく、一方的に著しく低い対価を定める場合には、独占禁止法上問題となるとしている

 具体例として、「取引の相手方に対し、有償のセキュリティサービスの利用やセキュリティの認証の取得を要請したにもかかわらず、コスト上昇分の取引価格への反映の必要性について、価格の交渉の場において明示的に協議することなく、従来どおりに取引価格を据え置くこと」や、要請に対応したことで人件費などのコスト上昇を理由に取引価格の引き上げを求めたのに、応じない理由を書面やメールで回答することなく、取引価格を据え置くことが挙げられている。

(2)セキュリティ対策費の負担の要請
 セキュリティ対策費の負担の要請については、セキュリティ対策費などの名目で金銭の負担を要請し、その負担額およびその算出根拠等について、取引の相手方との間で明確になっておらず、取引の相手方にあらかじめ計算できない不利益を与えることとなる場合や、取引の相手方が得る直接の利益等を勘案して合理的であると認められる範囲を超えた負担となり、取引の相手方に不利益を与えることとなる場合には、独占禁止法上問題となる。また、下請法に抵触するケースもあるとしている。

(3)購入・利用強制
 購入・利用強制では、サイバーセキュリティ対策の実施の要請に際して、合理的な必要性がないにもかかわらず、自己の指定する商品の購入や役務の利用を強制する場合には、独占禁止法上問題となる。すでに同等あるいはそれ以上の対策を相手方が講じているのに、より高価なセキュリティサービスの利用を要請する場合も同様に、独占禁止法上問題となる。

 サプライチェーンリスクは企業におけるリスクでも優先度が高くなっており、PCI DSSやいわゆる個人情報保護法、NIST SP800-171などでもサプライチェーンパートナーに対するセキュリティ対策の監査などの対応が求められている。しかし、独占禁止法に抵触するケースもあり得るため、同ガイドラインの参照も重要といえるだろう。なお、ガイドラインは随時、必要な拡充や見直しを行うとしている。

《吉澤 亨史( Kouji Yoshizawa )》

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 東芝テックが利用するクラウドサービスに不正アクセス、取引先や従業員の個人情報が閲覧された可能性

    東芝テックが利用するクラウドサービスに不正アクセス、取引先や従業員の個人情報が閲覧された可能性

  2. マリンネットサイトに SQL インジェクション攻撃、メールアドレス流出

    マリンネットサイトに SQL インジェクション攻撃、メールアドレス流出

  3. 「引っかかるのは当たり前」が前提、フィッシングハンターが提案する対策のポイント ~ JPAAWG 6th General Meeting レポート

    「引っかかるのは当たり前」が前提、フィッシングハンターが提案する対策のポイント ~ JPAAWG 6th General Meeting レポート

  4. 山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

    山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

  5. プルーフポイント、マルウェア配布する YouTube チャンネル特定

    プルーフポイント、マルウェア配布する YouTube チャンネル特定

  6. 警察庁、サイバー事案通報の統一窓口を設置

    警察庁、サイバー事案通報の統一窓口を設置

  7. 委託事業者が回収処理した国民健康保険証、拾得物として警察署に届く

    委託事業者が回収処理した国民健康保険証、拾得物として警察署に届く

  8. チラシ記載の QR コードを誤って管理者用 URL から作成、申込者の個人情報が閲覧可能に

    チラシ記載の QR コードを誤って管理者用 URL から作成、申込者の個人情報が閲覧可能に

  9. マイクロソフトが 4 月のセキュリティ情報公開、悪用の事実を確認済みの脆弱性が 1 件

    マイクロソフトが 4 月のセキュリティ情報公開、悪用の事実を確認済みの脆弱性が 1 件

  10. 日水コン コーポレートサイトに不正アクセス、個人情報一部流出の可能性

    日水コン コーポレートサイトに不正アクセス、個人情報一部流出の可能性

ランキングをもっと見る