安全がタダでない時代に取引先に求める情報セキュリティ水準と独禁法・下請法

Masatoshi Adachi / 足立昌聰

【この記事は法務系 Advent Calendar 2024 (表)における11日目のエントリーです。Amiさんにバトンをつないで頂きました。】


はじめに

参加5回目の #legalAC ともなると、キャリア考も書いた、法務のべき論も書いた、仕事の進め方も書いた、意識高い系も書いたと、ネタが枯渇気味で何を書こうかと思いながら、結局、今年も前日に筆をとっています。

何かあるかなぁと思いながら、ちょうど、SC3(サプライチェーン・サイバーセキュリティ・コンソーシアム)という、官民連携の団体の中で、私が委員を務めさせて頂いていた中小企業対策強化ワーキンググループが法人化に向けた改組で一旦終了となったので、その振り返りを兼ねて、取引先に求める情報セキュリティ対策にかかる独禁法・下請法上の課題について、すこしご紹介したいと思います。

取引先への対策の支援・要請についての考え方

SC3は、サイバーセキュリティリスクへの対応をサプライチェーン全体で進めるために、主に伝統的な製造業の業界団体を中心として、発注者側や業界団体のリーダーシップとして期待される共通ガイドラインの整理や、現場レベルで中小企業のサイバーセキュリティ対策を支援する「サイバーセキュリティお助け隊サービス」(ネーミングセンスぇ……)の検討などを行っています。

企業にとって機密情報を狙ったサイバー攻撃は大きな脅威であり、近年、大企業から中小企業までを含む一連の商流(サプライチェーン)上の弱点を狙って攻撃対象への侵入を図るサイバー攻撃が顕在化・高度化しています。
……このような背景のもと、2020年11月1日に、産業界が一体となって中小企業を含むサプライチェーン全体でのサイバーセキュリティ対策の推進運動を進めていくことを目的とした「サプライチェーン・サイバーセキュリティ・コンソーシアム(SC3)」が設立されました。

https://www.ipa.go.jp/security/sc3/about/

その中で、中小企業対策強化ワーキンググループは、中小企業のサイバーセキュリティ対策強化のために、現状の課題や官民が取り組むべき施策や方向性について幅広く検討するために設置されていました。

当時、私は(一社)情報処理安全確保支援士会の理事として参加していたので、特に法的な課題が回ってくることは想定していなかったのですが、ある日突然、経済産業省(IPAを所管)と公正取引委員会から「サプライチェーン全体のサイバーセキュリティ向上のための取引先とのパートナーシップの構築に向けて」(以下「本文書」といいます。)という文書の文案が分科会に回ってきました。

分科会に他に法律家もいなかった中、「急にボールが来たので」的なイケていないコメントをしたような苦い記憶があります。
議事は非公開なので、最終的な文書を見つつ、法的な側面に絞って、実務上の課題感について整理してみたいと思います。

サプライチェーン全体のサイバーセキュリティ向上のための取引先とのパートナーシップの構築に向けて(概要)

Q サイバー攻撃による被害によってサプライチェーンが分断され、物資やサービスの安定供給に支障が生じることのないよう、取引先の事業者に対し、サイバーセキュリティ対策の実施(例:有償のセキュリティサービスの利用、セキュリティの認証の取得、セキュリティ体制の構築)を要請することを検討していますが、独占禁止法又は下請法上、どのような行為が問題となりますか。

経済産業省・公正取引委員会「サプライチェーン全体のサイバーセキュリティ向上のための 取引先とのパートナーシップの構築に向けて」

サイバーセキュリティ対策の要請「自体」の適法性

本文書は、「発注側となる事業者が、取引の相手方に対し、サイバーセキュリティ対策の実施を要請すること自体が直ちに独占禁止法上問題となるものではない」としています。
これは環境や人権等の他のサイバーセキュリティ以外のサプライチェーンリスクでも同様であり、基本的に、誰もが「やった方が良い」ことを「お願い」することに問題はないことになります。

しかし、この「やった方が良い」ことと「やらなければいけない」ことの間は結構ファジーですし、これまでは大企業と中小企業のサイバーセキュリティ対策については、企業規模に応じた期待水準に差があるのがこれまでの当然の前提であったことを考えると、「独占禁止法上の優越的地位の濫用や下請法上問題とならないかどうかについて懸念」があるということになります。

取引の対価の一方的決定

ところで、個人情報保護などの一環で、取引先に対して質問するセキュリティチェックシートの中に、よく以下のような項目を見かける方も多いと思います。これらの項目に「対応していない」という回答が返ってきたとき、皆さんはどうされていますか?

・○○レベルゲートウェイ(ファイアウォール)は入れていますか?
・システムに対して脆弱性診断はしていますか?
・脆弱性情報に対して5営業日以内に対応していますか?
・破棄する記録媒体は電磁的に破壊していますか?
・セキュリティ対策責任者は設置していますか?
・従業員へのセキュリティ教育の実施はしていますか?
・インシデント発生時は24時間以内に連絡可能な体制ですか?

情報セキュリティ部門や個人情報保護部門などは、保守的に構えるほど、一定の項目については「○がつかないと発注不可」という返事をしてしまうこともあるかと思いますが、この返事を踏まえて価格交渉があったかどうかまで見届けている担当者もほぼいないのではないでしょうか。

当然ですが、これらの情報セキュリティ対策の導入や維持はコスト負担を生じます。そうであるならば、「サイバーセキュリティ対策の実施によって取引の相手方に生じるコスト上昇分を考慮することなく、一方的に著しく低い対価を定める場合には、独占禁止法上問題」であったり、「下請法上の『買いたたき』として問題」となるわけです。
意外なのが、技術的な対策の導入だけでなく、「セキュリティ対策責任者の設置、従業員へのセキュリティ教育の実施」といった組織的安全管理措置の要請も問題になり得る点です。

いや、そうは言っても、うちの業界ならこのくらいのセキュリティ水準を達成していないのはそもそも問題だろ!という場合もありますよね?
では、「このくらいのセキュリティ水準」というのはどこにあるのでしょうか。



横山光輝「三国志」(希望コミックス版 18巻 147頁)

そうです、ないんですよ(みんな、横山光輝三国志を読もう)。
法律の世界だと、「当業者の水準」や「社会通念上の一般人の基準」という概念がありますがありますが、どれも多くの場合はぼんやりとしか存在せず、はっきりどドキュメント化されたもの、特に具体的な箸の上げ下げレベルで「やるやら」が明言されたサイバーセキュリティ対策の準則的なものは存在しないのです。

もちろん、NIST SP-800やJIS Q 27001:2023(ISMS)など、標準規格やガイドラインは種々ありますが、いずれも最近のトレンドはリスクベース・アプローチを採用しているため、ある対策を講じていないと不可という基準はどんどん減ってきているのです(一方、従来型のあれをしきゃダメという手法は、ルールベース・アプローチです)。
最近でもないですが、医療情報システム向けの、いわゆる3省2ガイドラインというものはありますが、こちらもルールベースでは特定の技術的安全管理措置が必須のような誤解を生むという理由で、リスクベースに変更されています。

こうなってくると、原則どおり、「積極的に価格の交渉の機会を設け、取引の相手方と十分に協議を行い、サイバーセキュリティ対策の内容や費用負担の在り方を決定する」というプロセスを経るのが一番妥当です。
大切なことは、見積の提示や契約締結の後に、要求すべきサイバーセキュリティ対策を相手方に示すことがないようにするということです。予め要求水準が示されていれば、対策の実施にどの程度のコストがかかるかを相手も試算して見積もりが出せますし、そもそも対応が困難なものは断ることも出来るからです。

一方で注意が必要なのは、新規の取引先よりも、既存の継続的な取引先の同種取引について、新たにセイバーセキュリティ対策の要求事項を追加するケースです。
サイバーセキュリティの脅威の内容や深刻度は日々変化するので、ある時期には過剰な要求であった対策も、時間の経過とともに合理的な要求に達し、さらに時間が経つことで不十分な対策となり得ます。
担当者としては、定期的な取引先監査や品質確認の中で、将来的に脅威の深化が予想される部分については、まずはベストプラクティス水準(best)の対策を早期に示しつつ、当該対策の実施の有無は取引に影響させない当たりから「予告」をすることが重要です。
その後、脅威の顕在化の蓋然性が高くなる都度、「実施が好ましい」水準(nice-to-have)、最低水準(must)と段階的に実施要求を上げていくことで、悪いサプライズを防ぐことが出来ます。

このような観点では、既存の標準規格やガイドラインも、各分野毎の取るべき対策をレベル毎に具体的に紹介しているので、脅威のトレンドなども参考しつつ、現況の認識を取引先と同じ目線にするのが大切です。

再度の注意喚起ですが、組織的安全管理措置の充実の要請も独禁法・下請法の問題になり得ます
脆弱性情報への対応やインシデント発生時の報告の時間的制限などは、どうしても発注者側の内部ルールの時間的制限を相手方に求めがちですが、24時間365日の対応などは過分な人的コストを要しますし、そもそも発注者側も実際には対応できていないこともありますので、報告を接受する自分たちの体制も踏まえて、本当に必要な要求かを見返しましょう。

以前、ある自治体からインシデント発生時に休日でも24時間以内の報告を求められたところ、誰に連絡をすれば良いかを尋ねたら、実は自治体側で休日に報告を接受する体制がなかったという残念な話もありました。
何でも、高い球を投げておけばいいわけではないわけではないと、肝に銘じましょう。

例えば、取引上の地位が相手方に優越している事業者が、次のような方法で取引価格を据え置くことは、独占禁止法上問題となるおそれがあるため注意が必要です。
○取引の相手方に対し、有償のセキュリティサービスの利用やセキュリティの認証の取得を要請したにもかかわらず、コスト上昇分の取引価格への反映の必要性について、価格の交渉の場において明示的に協議することなく、従来どおりに取引価格を据え置くこと
○取引の相手方に対し、セキュリティ対策責任者の設置、従業員へのセキュリティ教育の実施、サイバー攻撃による被害発生時における自らが定めた対処フローの遵守など、セキュリティ体制の構築を要請した結果、人件費などのコスト上昇を理由とする取引価格の引上げを求められたにもかかわらず、それに応じない理由を書面、電子メール等で取引の相手方に回答することなく、従来どおりに取引価格を据え置くこと

セキュリティ対策費の負担の要請

逆に、取引上の地位が相手方に優越している事業者や親事業者が、相手方に一定のセキュリティ対策費の負担を強要するケースもあり得ます。

例えば、異なる複数の業種にサービスを提供している事業者は、サービスに対するサイバーセキュリティ対策の水準は、自然と要求水準が高い業種に合わせていくことになります。

典型的に高水準になりがちなのは、金融・医療セクターです。
例えば、クレジットカード決済と前払式決済手段でないポイントでは全くサイバーセキュリティ対策の要求水準が異なるにも拘わらずに、単なるポイント発行事業者に、PCI-DSS(カード情報セキュリティの国際統一基準)相当の対策費を価格転嫁したりすることがあり得、違法の疑いが生じ得ます。
一方で、医療機関など、市場の実際の需要者(医療機関)の要求水準が法令が要求する水準を下回っているようなパターンもあり、このような場合は実際には不要な押し売りとは言えないでしょう(案件がとれるかは別ですが)。

取引上の地位が相手方に優越している事業者が、取引の相手方に対し、セキュリティ対策費などの名目で金銭の負担を要請し、当該セキュリティ対策費の負担額及びその算出根拠等について、取引の相手方との間で明確になっておらず、取引の相手方にあらかじめ計算できない不利益を与えることとなる場合や、取引の相手方が得る直接の利益等を勘案して合理的であると認められる範囲を超えた負担となり、取引の相手方に不利益を与えることとなる場合には、独占禁止法上問題となります。
また、下請法の規制対象となる取引において、親事業者が下請事業者に対し、自己のために金銭、役務その他の経済上の利益を提供させることによって、取引先の利益を不当に害する場合には、下請法上の「不当な経済上の利益の提供要請」として問題となります。

購入・利用強制

サイバーセキュリティ対策の購入・利用強制って、今ひとつ想像できないですよね。典型的な購入・利用強制って、取引上の地位が相手方に優越している事業者や親事業者への一種の利益誘導なので、親事業者がサイバーセキュリティ対策の商品・サービスを取り扱ってるようなケースしか想定できないようにも思います。

ただ、購入・利用強制は、「給付の内容を均質にし又はその改善を図るため必要がある場合その他正当な理由がある場合を除き、自己の指定する物を強制して購入させ,又は役務を強制して利用させること」と、幅のある定義になっています。
例えば、共同で利用するクラウドストレージを想定したときに、親事業者はクラウドストレージAを、下請事業者がクラウドストレージBを使用していて、それぞれの情報セキュリティ機能が同等であるときに、親事業者が下請事業者にクラウドストレージAの使用を強制的に利用させることも含まれ得ます。新しくクラウドストレージBを評価・検証して導入するのが面倒とか言ってはいけないのです。

取引上の地位が相手方に優越している事業者や親事業者側の社内のホワイトリストに載っているサービスというのは、あくまで一方都合で選択されたものであり、社外の誰かに利用を強制できるものではないことに注意しましょう。

他にも、取引アカウントを開けるために締結すべき取引基本契約に、取引の性質上は全く適用余地のないセキュリティ対策の実施を求めるケースも、外資系企業を中心に散見されます。
例えば、単なる一方向のデータ納品について、発注元の営業秘密や個人情報を預けることを前提としたセキュリティ要件を課し、製品導入を求めるケースなどがあります。交渉でしっかり適用を外せれば良いですが……。

取引の相手方が、サイバーセキュリティ対策の実施の要請を受け、当該要請と同等又はそれ以上のサイバーセキュリティ対策を講じているため、新たなセキュリティサービスを利用する必要がないにもかかわらず、自己の指定する事業者が提供するより高価なセキュリティサービスを利用することを要請し、当該事業者から利用させることは、独占禁止法上問題となります。

最後に

もはや「水と安全はタダではない」といわれて久しいにもかかわらず、情報セキュリティや個人情報保護の話になると、サイバーセキュリティ対策はやって当然(タダ)と考える風潮は強く残っています。
しかし、現実には、大手の国際的な損害保険会社各社がサイバー保険の引受を縮小する傾向にあるほど、対策費の高騰とリスク顕在化の蓋然性の高まりは避けられない状況です。

適切な水準のサイバーセキュリティ対策の費用を価格に転嫁することや、取引の実態に照らして合理性のない対策を求めないこと
いずれも、合理性をしっかり議論できる土壌は日常的なサプライチェーン全体での現状認識の目線合わせであり、改めて、業界団体の機能とTier 1の事業者のリーダシップが期待されます。

そういえば、よく聞く「うちはGoogle系がセキュリティ上の都合で使えないんだよね」というやつ。
あれに続けて、「だから○○にして」まで言うべきか。なんかコワくなってきましたね……。

それでは、良いクリスマス&よいお年を!

【この記事は法務系 Advent Calendar 2024 (表)における11日目のエントリーでした。次は、leiwさんにバトンをつなぎます!】



いいなと思ったら応援しよう!