公正取引委員会 経済産業省 サプライチェーン全体のサイバーセキュリティ向上のための取引先とのパートナーシップの構築に向けて
こんにちは、丸山満彦です。
公正取引委員会と経済産業省が、「サプライチェーン全体のサイバーセキュリティ向上のための取引先とのパートナーシップの構築に向けて」という発表をしていますね。。。
サプライチェーン全体でセキュリティを向上する際に、取引先にもセキュリティ対応をしてもらう必要がある場合がありますが、その際に優越的地位の濫用にならないようにしないとね。。。ということで、経済産業省と公正取引委員会が協力して検討してくれたんですかね。。。ホワイトリストは作りにくいので、ブラックになりそうな例の提示という感じですかね。。。(これは、個人情報保護法のガイドラインを最初に作った時の考え方と同じ...)
次は、国税庁と寄附金認定されないようにするためのガイドか...(^^)
● 経済産業省
・[PDF] 「サプライチェーン全体のサイバーセキュリティの向上のための取引先とのパートナーシップの構築に向けて(概要)」
・[PDF] 「サプライチェーン全体のサイバーセキュリティ向上のための取引先とのパートナーシップの構築に向けて」
● 公正取引委員会
・2022.10.28 サプライチェーン全体のサイバーセキュリティ向上のための取引先とのパートナーシップの構築に向けて
興味深いのは、
第3 取引先との関係構築
1 パートナーシップ構築宣言
「パートナーシップ構築宣言」は、サプライチェーンの取引先や価値創造を図る事業者の皆様との連携・共存共栄を進めることで、新たなパートナーシップを構築することを、「発注者」側の立場から企業の代表者の名前で宣言するものである。
宣言に際し、発注側企業の取引先に対するサイバーセキュリティ対策の助言・支援等は、サプライチェーン全体の共存共栄と規模・系列等を超えた新たな連携の一つとして例示されていることに加え、下請振興基準にも記載されており、「第2」に示した施策の活用促進をはじめとして、「発注者」側の立場の企業の積極的な対応が期待される。
というところですかね。。。で、「第2」というのが、次の通りです。
2 取引先への対策の支援・要請についての考え方
...
(1)取引の対価の一方的決定
取引上の地位が相手方に優越している事業者が、取引の相手方に対し、サイバーセキュリティ対策の要請を行い、サイバーセキュリティ対策の実施によって取引の相手方に生じるコスト上昇分を考慮することなく、一方的に著しく低い対価を定める場合には、独占禁止法上問題となります。
このため、違反行為の未然防止を図る観点からは、積極的に価格の交渉の機会を設け、取引の相手方と十分に協議を行い、サイバーセキュリティ対策の内容や費用負担の在り方を決定することが望まれます。
例えば、取引上の地位が相手方に優越している事業者が、次のような方法で取引価格を据え置くことは、独占禁止法上問題となるおそれがあるため注意が必要です。
○ 取引の相手方に対し、有償のセキュリティサービスの利用やセキュリティの認証の取得を要請したにもかかわらず、コスト上昇分の取引価格への反映の必要性について、価格の交渉の場において明示的に協議することなく、従来どおりに取引価格を据え置くこと
○ 取引の相手方に対し、セキュリティ対策責任者の設置、従業員へのセキュリティ教育の実施、サイバー攻撃による被害発生時における自らが定めた対処フローの遵守など、セキュリティ体制の構築を要請した結果、人件費などのコスト上昇を理由とする取引価格の引上げを求められたにもかかわらず、それに応じない理由を書面、電子メール等で取引の相手方に回答することなく、従来どおりに取引価格を据え置くこと
また、下請法の規制対象となる取引において、親事業者が下請事業者に対し、下請事業者に生じるコスト上昇分を考慮することなく、著しく低い下請代金の額を不当に定めた場合には、下請法上の「買いたたき」として問題となります。
(2)セキュリティ対策費の負担の要請
取引上の地位が相手方に優越している事業者が、取引の相手方に対し、セキュリティ対策費などの名目で金銭の負担を要請し、当該セキュリティ対策費の負担額及びその算出根拠等について、取引の相手方との間で明確になっておらず、取引の相手方にあらかじめ計算できない不利益を与えることとなる場合や、取引の相手方が得る直接の利益等を勘案して合理的であると認められる範囲を超えた負担となり、取引の相手方に不利益を与えることとなる場合には、独占禁止法上問題となります。
また、下請法の規制対象となる取引において、親事業者が下請事業者に対し、自己のために金銭、役務その他の経済上の利益を提供させることによって、取引先の利益を不当に害する場合には、下請法上の「不当な経済上の利益の提供要請」として問題となります。(3)購入・利用強制
取引上の地位が相手方に優越している事業者が、取引の相手方に対し、サイバーセキュリティ対策の実施の要請に際して、合理的な必要性がないにもかかわらず、自己の指定する商品の購入や役務の利用を強制する場合には、独占禁止法上問題となります。例えば、取引の相手方が、サイバーセキュリティ対策の実施の要請を受け、当該要請と同等又はそれ以上のサイバーセキュリティ対策を講じているため、新たなセキュリティサービスを利用する必要がないにもかかわらず、自己の指定する事業者が提供するより高価なセキュリティサービスを利用することを要請し、当該事業者から利用させることは、独占禁止法上問題となります。
また、下請法の規制対象となる取引において、親事業者が下請事業者に対し、正当な理由がある場合を除き、自己の指定する物を強制して購入させ、又は役務を強制して利用させる場合には、下請法上の「購入・利用強制」として問題となります
« 経済産業省 ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン(個別編:空調システム)第1版 (2022.10.24) | Main | 第44回 世界プライバシー会議 顔認識に関する決議 »
Comments