取引先へのセキュリティ対策要請が独占禁止法に抵触する可能性、公取と経産省がガイドライン | ScanNetSecurity
2022.12.10(土)

取引先へのセキュリティ対策要請が独占禁止法に抵触する可能性、公取と経産省がガイドライン

 公正取引委員会と経済産業省は、「サプライチェーン全体のサイバーセキュリティ向上のための取引先とのパートナーシップの構築に向けて」と題するガイドラインを発表した。

製品・サービス・業界動向 業界動向

 公正取引委員会と経済産業省は10月28日、「サプライチェーン全体のサイバーセキュリティ向上のための取引先とのパートナーシップの構築に向けて」と題するガイドラインを発表した。近年、サプライチェーン攻撃が顕在化・高度化している。

 これを背景に、サイバー攻撃対策が不十分なサプライチェーンパートナーである中小企業などに対し、上流にある企業がサイバーセキュリティ対策の支援・要請を行うケースが増えている。一方、要請の方法や内容によっては、独占禁止法上の優越的地位の濫用として問題となることもあるため、指針を打ち出した形となる。

 同ガイドラインは、特に発注者側となる事業者に対し、サプライチェーンの保護に向けて、取引先のサイバーセキュリティ対策の強化を促しつつ、サプライチェーン全体での付加価値の向上に取り組み、取引先とのパートナーシップの構築を目指すための参考情報としている。

 ガイドラインでは、「中小企業等におけるサイバーセキュリティ対策」として、経済産業省および独立行政法人情報処理推進機構(IPA)が、中小企業などがサイバーセキュリティ対策を講じることを支援するために整備している施策として、「サイバーセキュリティお助け隊サービス」「セキュリティアクション」「中小企業の情報セキュリティ対策ガイドライン」「サプライチェーン・サイバーセキュリティ・コンソーシアム」を紹介している。

 また「取引先との関係構築」として「パートナーシップ構築宣言」を取り上げている。これは、サプライチェーンの取引先などとの連携・共存共栄を進めることで、新たなパートナーシップを構築することを、「発注者」側の立場から企業の代表者の名前で宣言するもの。

 この宣言には、発注側企業の取引先に対するサイバーセキュリティ対策の助言・支援などは、サプライチェーン全体の共存共栄と規模・系列等を超えた新たな連携の一つとして例示されるとともに、下請振興基準にも記載されており、前述の施策の活用促進をはじめ、「発注者」側の立場の企業の積極的な対応が期待されるとしている。


 要請の方法や内容によって、独占禁止法上の優越的地位の濫用として問題となる可能性のあるものについては、「取引先への対策の支援・要請についての考え方」にまとめられている。具体的には、「取引の対価の一方的決定」「セキュリティ対策費の負担の要請」「購入・利用強制」の3つを挙げている。

独占禁止法上の優越的地位の濫用として問題となる可能性のあるもの
(1)取引の対価の一方的決定
(2)セキュリティ対策費の負担の要請
(3)購入・利用強制

(1)取引の対価の一方的決定
 取引の対価の一方的決定とは、取引上の地位が相手方に優越している事業者が、取引の相手方に対し、サイバーセキュリティ対策の要請を行い、サイバーセキュリティ対策の実施によって取引の相手方に生じるコスト上昇分を考慮することなく、一方的に著しく低い対価を定める場合には、独占禁止法上問題となるとしている

 具体例として、「取引の相手方に対し、有償のセキュリティサービスの利用やセキュリティの認証の取得を要請したにもかかわらず、コスト上昇分の取引価格への反映の必要性について、価格の交渉の場において明示的に協議することなく、従来どおりに取引価格を据え置くこと」や、要請に対応したことで人件費などのコスト上昇を理由に取引価格の引き上げを求めたのに、応じない理由を書面やメールで回答することなく、取引価格を据え置くことが挙げられている。

(2)セキュリティ対策費の負担の要請
 セキュリティ対策費の負担の要請については、セキュリティ対策費などの名目で金銭の負担を要請し、その負担額およびその算出根拠等について、取引の相手方との間で明確になっておらず、取引の相手方にあらかじめ計算できない不利益を与えることとなる場合や、取引の相手方が得る直接の利益等を勘案して合理的であると認められる範囲を超えた負担となり、取引の相手方に不利益を与えることとなる場合には、独占禁止法上問題となる。また、下請法に抵触するケースもあるとしている。

(3)購入・利用強制
 購入・利用強制では、サイバーセキュリティ対策の実施の要請に際して、合理的な必要性がないにもかかわらず、自己の指定する商品の購入や役務の利用を強制する場合には、独占禁止法上問題となる。すでに同等あるいはそれ以上の対策を相手方が講じているのに、より高価なセキュリティサービスの利用を要請する場合も同様に、独占禁止法上問題となる。

 サプライチェーンリスクは企業におけるリスクでも優先度が高くなっており、PCI DSSやいわゆる個人情報保護法、NIST SP800-171などでもサプライチェーンパートナーに対するセキュリティ対策の監査などの対応が求められている。しかし、独占禁止法に抵触するケースもあり得るため、同ガイドラインの参照も重要といえるだろう。なお、ガイドラインは随時、必要な拡充や見直しを行うとしている。

《吉澤 亨史( Kouji Yoshizawa )》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×