IT & Information security Journal
サプライチェーン全体のサイバーセキュリティを確保することは、発注側企業における重要な経営課題になっています。もっとも、委託先企業にセキュリティ対策を求めることが、取引上の力関係を背景とした押し付けとなり、取適法(旧下請法)や独占禁止法に違反することのないように注意する必要があります。
本稿では、発注側企業の立場から「委託先に対してどの程度までセキュリティ対策を要請することが許されるのか」「委託先との交渉をどのように行うべきか」「非協力的な委託先にはどのように対処すべきか」といった、委託先にセキュリティ対策を要請するうえでの法的な問題点と実務上の対応策について解説します。
なお、本稿では、ある企業Aが他社Bに何らかの業務を広い意味で委託する場合について、Aを発注側企業、Bを委託先企業と呼称することとします。
小坂 光矢
牛島総合法律事務所 弁護士
宮川 将毅
牛島総合法律事務所 弁護士
この記事のポイント
サプライチェーン全体でのセキュリティリスクの低減に取り組むことは、発注側企業の社会的責務であるとされている。他方で、委託先企業にサイバーセキュリティ対策の実施を要請するうえで、「取適法」や「独禁法」に違反することのないよう注意する必要がある
「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」では、サプライチェーンにおいて想定される脅威等に応じて3段階のセキュリティ対策が示されており、取引先に要請するうえで合理的と考えられるサイバーセキュリティ対策の参考となる
委託先企業にセキュリティ対策を要請するうえで、対策の必要性を伝えるための説明会を開催したり、「サイバーセキュリティお助け隊サービス」などの具体策を紹介したりすることも効果的
現代の企業活動においては、自社単独でセキュリティを強化するだけでは、セキュリティ対策として十分とはいえません。組織間の業務上の繋がりを悪用して攻撃の踏み台とするサプライチェーン攻撃によって、比較的セキュリティレベルの低い取引先や子会社などが受けたサイバー攻撃の被害が自社に波及する可能性があるからです。
委託先企業やサプライチェーンを起点としたサプライチェーン攻撃は、独立行政法人情報処理推進機構(IPA)の「情報セキュリティ10大脅威 2026(組織編)」1 においても、2019年から8年連続(8回目)でランクインするなど、重点的に対処すべき重要なサイバーセキュリティ上の脅威として位置付けられています。
委託先企業にセキュリティ対策を求めることは、発注側企業自身の法的義務を果たすという観点からも必要です。たとえば、個人情報保護法では、個人データの取扱いを「委託」2 する場合、委託元は委託先に対して「必要かつ適切な監督」を行う義務があります 3。委託先が十分なセキュリティ対策を講じていなかったために委託した個人データが漏えいするなどした場合、委託元は委託先の監督を怠ったとして個人情報保護法違反となる可能性があります。そのため、委託先企業が講じているセキュリティ対策を確認することは極めて重要です。
また、サプライチェーン全体でのセキュリティリスク低減に取り組むことは、サプライチェーンにおいて主導的な役割を果たすことの多い、発注側企業の社会的責務であるともされています 4。
委託先企業がセキュリティ対策を怠った場合、委託先企業のみならず、発注側企業にも以下のような企業活動の全体にわたる損害が生じる可能性があります。
情報漏えいリスク
委託先企業で発生したセキュリティインシデントが、発注側企業の顧客情報・従業員情報(個人情報)や、技術情報・営業秘密(機密情報)の漏えいに発展するリスクがあります。
事業継続リスク
発注側企業の事業活動に不可欠である委託先企業の事業活動に支障が生じた場合、サプライチェーンの分断が生じ、発注側企業の事業活動に支障が生じ得ます。その結果、発注側企業の業績に重要な影響が生じる可能性もあります。
対応のためのコストや二次被害発生のリスク
委託先企業を介したサイバー攻撃によって発注側企業が被害を受けた場合、調査・封じ込め・復旧・再発防止といった各種対応のための費用支出が発生します。また、関係する行政機関や投資家等への対外説明のためのコストも発生しますし、レピュテーションリスクや信用毀損等の金銭に換算できない損害も無視することはできません。
法令・契約違反のリスク
発注側企業が顧客・取引先に対して秘密保持義務を負っている情報がサイバー攻撃によって漏えいするなどした場合、契約上の義務違反を理由とした責任追及を受ける可能性があります。また、委託先企業に対して個人データを取り扱う業務を委託している場合、上述のとおり、委託先に対する監督義務違反を理由とした、個人情報保護委員会による行政指導や勧告等の対象となり得ます。
サプライチェーンのサイバーセキュリティの確保は、発注側企業の経営者において、自組織のリスクマネジメント・内部統制として取り扱う必要のある問題です。
一般論として、会社の取締役は、内部統制システムを構築する義務の一環としてサイバーセキュリティ体制を構築する義務を負っているため、サイバーセキュリティ対策が適切でなかったために生じた損害について、善管注意義務 5 への違反や任務懈怠 6 を理由とした損害賠償責任を問われ得ます。また、経済産業省の「サイバーセキュリティ経営ガイドライン Ver 3.0」7 においても、発注側企業における経営者が認識すべき3原則のうちの1つとして、自社のみならず、国内外の拠点、ビジネスパートナーやシステム管理等を含むあらゆる委託先等、サプライチェーン全体にわたるサイバーセキュリティ対策への目配りが必要であるとされています。
上述のとおり、発注側企業は、その果たすべき社会的責務という観点からも、委託先企業に対して、サイバーセキュリティ対策の実施を要請することが期待されます。他方で、そのような要請を行うことで、中小受託取引適正化法(以下「取適法」といいます)8 や、独占禁止法(以下「独禁法」といいます)9 に違反することのないよう注意する必要があります。
取適法は、中小受託事業者の利益を害する行為を類型的に禁止することを通じて、取引の適正化と中小受託事業者の利益保護を図ることを目的とする法律です(同法では、取引当事者について、発注側企業は「委託事業者」、委託先企業は「中小受託事業者」と定義されています)。取適法が適用されるか否かは、以下の2つの観点に応じて決まります。
委託取引の内容
取引当事者の資本金または従業員数
取適法の適用対象となる委託取引は、業務の内容に応じて、5つの類型に整理されています。それぞれの概要は以下のとおりです。
製造委託:物品の製造を請け負っている事業者が、規格、品質、形状、デザインなどを指定して、他の事業者に物品の製造などを委託する取引
修理委託:物品の修理を請け負っている事業者が、その修理を他の事業者に委託するなどの取引
情報成果物作成委託:ソフトウェア、映像コンテンツ、各種デザインなどの情報成果物の作成を行う事業者が、他の事業者にその作成作業を委託する取引
役務提供委託:他社に対して運送やビルメンテナンスなどの各種サービス(役務)を提供する事業者が、提供する役務の全部または一部を他の事業者に委託する取引
特定運送委託:事業者が、販売する物品や製造や修理を請け負った物品等を取引の相手方に対して運送する場合に、当該運送行為を他の事業者に委託する取引
取適法は、上記の5類型の委託取引に応じて、取引当事者がそれぞれ以下の要件を満たす場合に適用されることになります。
(1) 委託取引が以下である場合
① 製造委託
② 修理委託
③ 情報成果物作成委託のうち、プログラムを作成するもの
④ 役務提供委託のうち、運送、物品の倉庫における保管、および情報処理
⑤ 特定運送委託
(2) 委託取引が以下である場合
③ 情報成果物作成委託のうち、プログラム作成でないもの
④ 役務提供委託のうち、運送、物品の倉庫における保管および情報処理でないもの
取適法の下で、委託事業者が中小受託事業者に対して行うことが禁止されている行為は、以下のとおりです。
受領拒否(5条1項1号)
代金の支払遅延(5条1項2号)
代金の減額(5条1項3号)
返品(5条1項4号)
買いたたき(5条1項5号)
購入・利用強制(5条1項6号)
報復措置(5条1項7号)
有償支給原材料等の対価の早期決済(5条2項1号)
不当な経済上の利益の提供要請(5条2項2号)
不当な給付内容の変更及び不当なやり直し(5条2項3号)
協議に応じない一方的な代金決定(5条2項4号)10
独禁法は、市場競争を阻害する行為を幅広く規制の対象とする法律です。サプライチェーンにおけるセキュリティ対策の要請との関係では、「取引上優越した地位」11 にある事業者が、その地位を利用して、取引の相手方に「正常な商慣習に照らして不当に」12 不利益を与える行為が、「優越的地位の濫用」として禁止されます。
法律の適用を受ける取引当事者の規模や委託取引の内容が明確に定められている取適法とは異なり、「取引上優越した地位」という抽象的な要件に該当するか否かが問題となります。そのため、取適法の適用対象とならない委託取引であっても、独禁法上の優越的地位の濫用に該当しないように注意する必要があります。
優越的地位の濫用となる行為類型には、以下のようなものがあります。
購入・利用強制(2条9項5号イ)
協賛金等の負担、従業員等の派遣その他経済上の利益の提供の要請(2条9項5号ロ)
受領拒否、返品、支払遅延、減額、取引の対価の一方的決定(2条9項5号ハ)
公正取引委員会および経済産業省は、発注側企業による取引の相手方に対するサイバーセキュリティ対策の実施要請は、その要請に合理的な必要性がない場合など、要請の方法や内容次第では取適法や独禁法への違反になり得るという考えを示しています 13。具体的には、取適法や独禁法との関係で問題になり得る例として、次の3類型が示されています 14。
委託先企業に対してサイバーセキュリティ対策の要請を行った発注側企業が、対策の実施によって委託先企業に生じるコスト上昇分を考慮することなく、一方的に著しく低い代金の額を定めることは、取適法で禁止されている「買いたたき」や、独禁法において優越的濫用の一類型とされている「取引の対価の一方的決定」にあたると考えられています。
たとえば、取引上の地位が取引相手に優越している発注側企業が、以下のような方法で取引価格を据え置く行為は、独禁法に違反する可能性があると考えられています。
有償のセキュリティサービスの利用やセキュリティ認証の取得を要請したにもかかわらず、コスト上昇分の反映について明示的に協議せず、従来どおり取引価格を据え置く
セキュリティ体制の構築(責任者設置、従業員教育、インシデント時の対処フロー遵守等)を要請し、人件費等のコスト上昇を理由に価格引上げを求められたにもかかわらず、応じない理由を書面・電子メール等で回答せず、従来どおり取引価格を据え置く
また、取適法では新規に「協議に応じない一方的な代金決定の禁止」が設けられたため、委託先企業から価格に関する協議申入れを受けているにもかかわらず、協議に応じることなく代金を一方的に決める行為は、それ自体が取適法に違反する可能性があります。
発注側企業が、セキュリティ対策費などの名目で金銭的な負担を要請し、それによって以下のように委託先企業に不利益を与えることは、取適法において禁止されている「不当な経済上の利益の提供要請」や、独禁法において優越的地位の濫用の一類型とされている「その他経済上の利益の提供の要請」にあたると考えられています。
セキュリティ対策費の負担額およびその算出根拠等を明確にせず、取引の相手方にあらかじめ計算できない不利益を与える場合
取引の相手方が得る直接の利益等を勘案して合理的と認められる範囲を超える負担を課し、取引の相手方に不利益を与える場合
発注側企業が、セキュリティ対策を要請する際に、以下のように合理的な必要性や正当な理由がないにもかかわらず、自己の指定するセキュリティ商品やセキュリティサービスの利用を委託先企業に強制することは、取適法において禁止されている「購入・利用強制」や、独禁法において優越的地位の濫用の一類型とされている「購入・利用強制」にあたると考えられています。
取引先がすでに対策を講じており新たなサービスが不要であるのに、指定した事業者が提供するより高価なセキュリティサービスの利用を要請し、当該事業者から利用させる
上述のとおり、サプライチェーンを構成する委託先企業に対してセキュリティ対策を要請することは、発注元企業の責任を果たすものとして肯定的に評価される一方で、合理的な必要性がないサイバーセキュリティ対策の要請は、取適法や独禁法との関係で問題となり得ます。
サプライチェーンに属する企業にとって必要かつ合理的なサイバーセキュリティ対策として想定されているものとして、「サプライチェーン強化に向けたセキュリティ対策評価制度」(以下「SCS評価制度」といいます)に基づく対策があります 18。SCS評価制度では、サプライチェーンにおいて想定される脅威と、各企業において期待される到達水準に応じて★3・★4・★5の三段階のセキュリティ対策が示されています。
各段階の位置付け 19 は以下のとおりであり、発注側企業は、取引契約等において受注側に適切な段階を提示して、対応するセキュリティ対策の実施を促すとともに、実施状況の確認を行う運用が想定されています 20。
★3:最低限実装すべき対策(基礎的な組織的対策とシステム防御策)
★4:標準的に目指すべき対策(組織ガバナンス、取引先管理、システム防御・検知、インシデント対応等の包括的対策)
★5:さらに目指すべき高度な対策(国際規格等に基づく改善プロセスを整備したうえでの、現時点のベストプラクティスの対策)
SCS評価制度以外にも、たとえば、委託先が中小規模の企業である場合は、セキュリティ対策の「入口」として、IPAが公表している「情報セキュリティ6か条 21」の実践を要請することも考えられます。このような外部の基準や枠組みを踏まえたセキュリティ対策を要請することは、なぜそのセキュリティ対策が必要なのかを委託先企業に説明するうえでも有用です。
委託先企業に対してセキュリティ対策を要請するうえで必要となるのが、委託先企業とのコミュニケーションを通じたパートナーシップの構築です 22。日頃から十分なパートナーシップを構築しておくことで、具体的なセキュリティ対策の要請を行う際にも、その必要性等について、円滑に委託先企業の理解を得ることが期待できます。また、委託先企業との間で適時のタイミングで価格交渉を行うことができるような関係を構築しておくことは、取適法や独禁法違反とならないようにする観点からも有用です。
具体的な方策としては、セキュリティ対策の必要性や内容等に関する説明会を開催することが考えられます 23。IPAが中小企業等を対象として実施した調査の結果によれば、直近過去3期に情報セキュリティ投資を実施していないと回答した中小企業等があげた一番の理由として最も多いのは、「必要性を感じていない」(44.3%)というものでした 24。そのため、説明会を通じて委託先企業にセキュリティ対策の必要性を理解してもらうことが、要請を行う前提として重要になります。
また、取引の相手方との対話・協議を適切に行うことの重要性や、自社の取組方針について、経営トップ自らが、「パートナーシップ構築宣言」等を通じて、その考え方を示しておくことも重要です。
上述したとおり、委託先企業に要請するセキュリティ対策は、必要かつ合理的なものでなければなりません。セキュリティ対策として特定の製品やサービスを「指定」する場合には、取適法や独禁法における購入・利用強制となることのないよう、当該製品やサービスの必要性等をあらかじめ整理しておくなどの対応が必要となります。
また、委託先企業にセキュリティ対策を要請する際には、その必要性や具体的な実施方法、費用負担の考え方等を説明することが重要ですが、それだけではなく発注側企業が価格交渉に積極的に応じる姿勢を示すことも重要です。上述したIPAの調査によれば、直近過去3期に情報セキュリティ投資を実施していないと回答した中小企業等があげる理由として、費用面によるものが約45%存在しました(「費用対効果が見えない」(24.2%)、「コストがかかりすぎる」(21.7%))25。そのため、発注側企業が価格交渉に積極的な姿勢であることを示すことは、委託先企業におけるセキュリティ対策の導入に効果的であると考えられます。
委託先企業が発注側企業の要請を受けて実施するセキュリティ対策にかかるコストは、多くの場合、労務費や一般管理費等の間接経費として計上されることが想定されます 26。発注側企業は、このような間接経費の上昇を理由とする取引価格の見直しを委託先企業から求められた場合、協議の場を設定するなどして、積極的に対応することが重要です。
上述のとおり、取適法の下では、価格協議に応じないままに一方的に代金を決める行為は、それ自体が取適法違反となるリスクがあります。また、独禁法との関係でも、コスト上昇分の取引価格への反映について明示的に協議を行わないままに取引価格を従来どおり据え置く行為は、優越的地位の濫用として問題になり得ます。
協議においては、要請するセキュリティ対策の趣旨・目的やその必要性、導入に伴い想定される費用とその負担についての考え方などをできる限り明確に提示したうえで、協議の記録を残しながら合意形成を図ることが望まれます。また、発注側企業と取引の相手方との間で合意に至ったサイバーセキュリティ対策の内容や価格交渉の結果については、合意事項として書面等に記録して保存しておくことが重要です 27。
上述したとおり、IPAの調査によれば、直近過去3期に情報セキュリティ投資を実施していないと回答した中小企業等があげた理由は、割合が多いものから順番に「必要性を感じていない」(44.3%)、「費用対効果が見えない」(24.2%)、「コストがかかりすぎる」(21.7%)でした。
サプライチェーンを主導する立場にある発注側企業においては、これらの要因も踏まえて、以下のようなセキュリティ対策の導入支援をすることが考えられます。
上述のIPAの調査結果からして、発注側企業が一方的に要請するだけでは、セキュリティ対策の必要性が十分に理解されないことが想定されます。そのため、発注側企業が説明会を開催し、委託先企業に直接対策の必要性等を説明することは、非常に効果的であると考えられます。
委託先企業に対して説明すべき内容としては、以下のようなものが考えられます。
サプライチェーンにおけるサイバーセキュリティ対策が不十分である場合のインパクト(取引先にまで影響が及ぶこと、過去の著名なインシデント事例(特に、発生した損害の程度)の紹介)
SCS評価制度の趣旨・目的、およびSCS評価制度に基づくサイバーセキュリティ対策の概要
サイバーセキュリティ対策の具体的な実装方法(たとえば、IPAの提供する「中小企業の情報セキュリティ対策ガイドライン 第4.0版」等のコンテンツやサイバーセキュリティお助け隊サービス等の紹介)
また、上述の調査結果からして、委託先企業の中には、セキュリティ対策を導入する必要性については理解しているものの、費用的な問題から導入できないという企業も多く存在すると想定されます。そのため、上述のとおり、委託先企業から価格協議の申入れがあった場合に、これに積極的に応じることは、委託先企業にセキュリティ対策を導入してもらう観点からも重要です。
また、多大な費用負担をかけることなく導入できるセキュリティ対策を紹介することも有用と考えられます。紹介すべきセキュリティ対策としては、たとえば、以下のようなものが考えられます 28。
サイバーセキュリティお助け隊サービス
中小企業に対するサイバー攻撃への対処として不可欠なサービス(見守り・駆付け・保険)をワンパッケージにまとめた、民間の事業者が提供するサービス。中小企業等においては、サイバーセキュリティお助け隊サービスの利用にあたってデジタル化・AI導入補助金の活用が可能
サイバーセキュリティお助け隊サービスは、上述したIPAの調査によれば、その認知度は約7%に留まるとのことですので 29、発注側企業が紹介することによって、委託先企業による活用が期待できると考えられます。
委託先企業がセキュリティ対策に協力的でない場合であっても、まずはその理由を把握するよう努めることが重要です。具体的な理由 30 が分かれば、それに応じた対応策を提示することが可能となるためです 31。
他方で、委託先企業とのパートナーシップの構築が難しい場合には、委託範囲の縮小や取引の停止を含む取引条件の見直し等の対応を検討する必要もでてきます。この場合も、一定の場合には取適法や独禁法上の問題が生じ得ることには注意が必要です。
たとえば、中小受託事業者にあたる委託先企業が、発注側企業の不公正な行為を公正取引委員会や中小企業庁などに知らせたことを理由として取引の停止等の不利益な取扱いをすることは、取適法において禁止されている報復措置 32 に該当します。また、上述のとおり、発注側企業が要請しているセキュリティ対策に合理的な必要性がない場合には、優越的地位の濫用に該当し得ます 33。
発注側企業は、自らがサイバーセキュリティ対策を要請していない場合であっても、他社の要請でセキュリティ対策を行った委託先企業から、その対策費用を価格に転嫁してほしいといった価格交渉の申入れを受ける可能性も考えられます。
上述のとおり、価格協議の申入れに対して適切に対応せずに一方的に取引価格を決定することには、取適法や独禁法違反となる可能性があります。そのため、発注側企業は、自らが直接的にサイバーセキュリティ対策の実施要請を行っていない場合であっても、価格交渉に応じる、または応じない理由を書面等で回答するなどの適切な対応をとる必要があります。
委託先企業に要請することが考えられるセキュリティ対策が盛り込まれているSCS評価制度に関しては、2026年3月27日、意見公募手続を経て、★3と★4における要求事項と評価基準が公表されました 34。SCS評価制度自体については、令和8年度(2026年度)末頃に制度(申請の受付)の開始が予定されていますが 35、制度開始前であっても、要求事項や評価基準の内容を理解しておくことは、委託先企業への説明その他の観点から有益であると考えられます。SCS評価制度の要求事項・評価基準を発注側企業と委託先企業における共通のチェックリストとして活用することも想定されます 36。
また、SCS評価制度の開始後になりますが、サイバーセキュリティお助け隊サービス(新類型)の導入の検討が開始されています 37。この新類型は、SCS評価制度の★3と★4における要求事項のうち未達成の項目について、その達成を支援するサービスとなる予定です 38。そのため、SCS評価制度の開始後は、セキュリティ対策を実装するうえでの支援策として、委託先企業に紹介することが考えられます。
この記事は会員限定です。
登録すると続きをお読みいただけます。
このサイトはreCAPTCHAによって保護されており、
Googleの
プライバシーポリシー
と
利用規約
が適用されます。
小坂 光矢
牛島総合法律事務所 弁護士
牛島総合法律事務所 パートナー。情報処理安全確保支援士。Certified Information Privacy Professional/Europe。国内外の各種紛争案件をはじめとする種々の企業法務案件を取り扱う。データプライバシー分野では、パーソナルデータのビジネスへの利活用に関する法的助言やグローバルなデータ移転体制の構築を含む情報管理体制の構築に関する法的助言、情報漏えい事案への対応に関する法的助言等を中心に扱う。
宮川 将毅
牛島総合法律事務所 弁護士
2025年弁護士登録(第二東京弁護士会所属)。牛島総合法律事務所アソシエイト。情報処理安全確保支援士。データ利活用の推進、個人情報保護体制の整備、セキュリティインシデント対応等のデータプライバシー案件を中心に、訴訟その他の紛争対応、独占禁止法や金融商品取引法等の規制法令への対応、M&A等の企業法務全般に幅広く関与する。
UNITISは、IT・セキュリティ担当者へ、実務家・専門家による解説や他社事例等を伝えるメディアです。セキュリティ・法律の専門家による実務解説や分析、第一線の実務家による事例・ノウハウをお届けします。
この記事をシェアする
最新情報をフォローする
