経産省と公取委、サイバーセキュリティ対策における独禁法および下請法の考え方示す

サプライチェーンのビジネスパートナーである中小企業等において、サイバー攻撃への対策が不十分である場合、それらの企業へのサイバー攻撃により、自社が提供した重要な情報が流出するおそれや、当該企業を踏み台にして自社が攻撃されるおそれがあることから、企業は取引先に対してサイバーセキュリティ対策を要請するケースが増えています。

企業にとって取引先にサイバーセキュリティ対策を求めることは、自社および取引先の事業を守る上で必要性の高いものです。一方、サイバーセキュリティ対策の実施を取引条件とすることや一定のサイバーセキュリティ対策を求めることについて、独占禁止法上の「優越的地位の濫用」や下請法上の問題にならないか懸念されます。

本指針では、サプライチェーン全体でのサイバーセキュリティ対策強化の必要性を示す一方で、発注側企業（取引上優越的地位にある事業者）が取引先へのサイバーセキュリティ対策を要請する場合における独占禁止法および下請法上の問題となる行為を示しています。

本指針は、サイバー攻撃の高度化・巧妙化を踏まえたサプライチェーン全体のサイバーセキュリティ対策強化の取組を促進するとともに、その際の留意事項を整理したものといえるでしょう。

取引先へサイバーセキュリティ対策を求める企業においては、本指針を参考に、要請の合理性を考慮した上で、取引先が要請に応じることによって生じる負担について、十分な協議を行うことが期待されます。

【参考情報】

MS&ADインターリスク総研株式会社発行のESGリスクトピックス2022年12月（No.9）を基に作成したものです。