はじめに
本稿では、最近大きな注目を集めているサプライチェーンからの情報漏えいについて、中小企業に焦点を当てその実態を紹介するとともに、これを防止するための実効性の高い取り組みについて解説を行う。当社は、2021年度より、独立行政法人情報処理推進機構(以下、IPA)の依頼を受けて実態調査の支援を行っており、情報漏えい防止や内部不正対策の最新動向を追い続けている。2023年度は、中小企業で対策が遅れがちな内部不正における防止対策」や「体制整備」などの現状を把握し、示唆を提供することを目的に「内部不正防止対策・体制整備等に関する中小企業等の状況調査」1(以後、「IPA2023年度調査」)を実施した。本稿の第1回では同調査の結果を分析し、秘密情報漏えい/内部不正防止に関する中小企業の現状と課題をクローズアップするとともに、先進的な中小企業の取り組み事例を紹介した。これを受けて第2回では、秘密情報漏えい/内部不正防止に関するサプライチェーン管理の実効性を高めるため、委託元の大企業などは委託先/再委託先の中小企業とどのように接することが有効なのかについて解説する。
1. 深刻な社会問題として注目されるサプライチェーンセキュリティ
近年、業務委託先がサイバー攻撃を受け、その結果、多数の委託元企業が個人情報漏えいなどの被害を受ける事件が頻発している。例えば、次のような事件が大きく報道されている。
- 株式会社イセトーがランサムウェア被害を受け、同社に業務委託していた多数の行政機関、企業、組織の個人情報などの流出の可能性が報じられた事件(2024年5月公表)
- 同日に2つの物流関係サービス事業者(物流代行事業者の株式会社関通、物流サービス事業者の株式会社倉業サービス)がランサムウェア被害を受け、両事業者に業務委託していた多数の企業の個人情報などの流出の可能性が報じられた事件(2024年9月公表)
- 東京損保鑑定株式会社がランサムウェア被害を受け、同社に損害査定業務などを委託していた複数の大手損保会社の顧客情報流出の可能性が報じられた事件(2024年10月公表)
- ライクキッズ株式会社がランサムウェア被害を受け、同事業者に保育業務を委託していた多数の行政機関、組織の個人情報などの流出の可能性が報じられた事件(2024年10月公表) など
被害のパターンは異なるが、委託先の給食事業者から飛び火したランサムウェアによって深刻な被害を受け、広範な診療機能に大きな支障を来した大阪急性期・総合医療センターの事件(2022年10月公表)も記憶に新しい。実際、こうしたサプライチェーン脅威によって大規模な被害をもたらした事件は、近年では枚挙にいとまがない。
一方で、IPAが毎年公開している「情報セキュリティ10大脅威[組織]」2 では、サプライチェーン脅威は直近の6年間連続で上位を占めており、その脅威が社会全体でますます強く認識されていることがわかる(図表1)。
2. 経済安全保障でも重視されるサプライチェーンの秘密情報管理
サプライチェーン脅威による被害報道などを見ていると、個人情報漏えいの問題が目立つことが多い。これは、被害企業が謝罪のプレスリリース発信や個人情報保護委員会への報告を行うためである。しかし報道はされていないものの、セキュリティベンダ 3 で幹部を務める専門家の中には、実際には個人情報よりも秘密情報の漏えいの方が深刻であると分析する人も多い。特に、漏えいした秘密情報は海外にわたることが多いため、日本および日本企業の国際競争力の観点から重大な問題であるといえる。
この問題意識を背景に、現在、政府は「経済安全保障」を強力に推進している。多岐にわたる経済安全保障推進法のカバー領域の中で、特に機微な秘密情報(重要経済安保情報)の漏えい防止と深く関わってくるのは「先端的な重要技術の開発支援に関する制度」と「基幹インフラ役務の安定的な提供の確保に関する制度」であると考えられる。これらのうち、特にサプライチェーンとの関連が深いのは後者である。
「基幹インフラ役務の安定的な提供の確保に関する制度」は、国家や国民の安全を守るために、役務の安定的な提供を確保するための制度であり、特定社会基盤事業者(基幹インフラ事業者)の重要設備(特定重要設備)を、外国からの妨害行為(特定妨害行為)から護ることを目的としている。一見、この制度は特定重要設備の可用性に焦点が絞られているようにも見える。しかし実際には、攻撃者は役務の安定的提供を阻害するために、特定重要設備に関する秘匿された詳細な情報(構成設備や保守・運用業務上の弱点など)を狙い、ITシステム/構成設備、その設計図書/運用マニュアルへの不正なアクセス、保守/運用業務(重要維持管理など)への不正関与などをあらゆる手段を講じて試みる。この過程で、サプライチェーンの下流にある弱点が狙われる訳である。
こうした課題を踏まえ、「基幹インフラ役務の安定的な提供の確保に関する制度」では、構成設備の導入や重要維持管理等の委託に関して、次に示す計画事前審査項目を設けて、リスク管理を徹底している 4。具体的には、以下のような措置が求められている(いずれも原文のママ)。
●「特定重要設備の導入」:
リスク管理措置⑫特定社会基盤事業者は、情報の漏洩等の情報セキュリティインシデントが発生した場合の対応方針・体制(マニュアル等の整備、定期的なインシデント対応の訓練等)を自ら整備している。
●「特定重要設備の導入」と「重要維持管理等の委託(再委託を含む)」の両方に共通:
リスク管理措置(5)特定社会基盤事業者が、特定重要設備及び構成設備の供給や委託(再委託を含む。)した重要維持管理等の適切性について、外国の法的環境等により影響を受けるものではないことを確認している。
また、この制度の特徴的かつ重要な点は、構成設備の末端のサプライヤーや重要維持管理などの最下流の再委託先に至るまで、サプライチェーン全体に対して厳格に必要事項を確認するプロセスが定義されていることである。5
3. 委託元企業と委託先中小企業~それぞれの課題
ここまでは社会全体の問題や国の政策動向を俯瞰してきたが、以後は日本企業のサプライチェーンにおける秘密情報管理に関する実務に焦点を当て、委託元企業と委託先中小企業が実践すべき取り組みについて掘り下げていく。
(1)委託元企業の課題
企業の一般事業におけるサプライチェーンの秘密情報管理においても、本来であれば「基幹インフラ役務の安定的な提供の確保に関する制度」と同様に、委託元企業が末端の再委託先までしっかりと管理統制できることが理想である。しかし、実務上はそこまで到達できている委託元企業は決して多くない。業種の規模が大きく、委託先の裾野が広ければ広いほど、対象となる中小企業の数が膨れ上がり、結果として再委託先の末端まで管理統制を行き届かせることが実務上困難になる。このため、末端までのサプライチェーン管理の重要性は広く理解されているにも関わらず、リソースなどの制約から、直接関与するTier1 6 の委託先や良くてTier2の再委託先までの管理が限界であり、Tier3やTier4まではどうしても管理統制が及ばないというのが現在の実状である。しかし、Tier3やTier4ともなると、常用雇用者数が100人以下の中小企業や個人が中心となるため、秘密情報管理が不十分になる可能性が高い。このような状況ではサプライチェーンの中に弱点を抱えたままとなってしまうが、この状況を改善できる実践的な方法は果たして存在するのだろうか。
(2)Tier2以降の再委託先企業の課題
ここでは、再委託先企業の典型例として常用雇用者数が100人以下の中小企業に焦点を当て、IPA2023年度調査の結果を基に秘密情報管理の課題を浮き彫りにする。
(a)秘密情報漏えいに対する経営者の意識と取り組み姿勢
第1回の図表3および図表4で示したとおり、中小企業の経営者における秘密情報漏えいに対するリスク認識とリーダーシップは、大企業と比べると十分とはいえない。特に常用雇用者数が50人以下の中小企業では、その傾向が強く出ている。
一方で、第1回でも述べたとおり、規模の小さな中小企業は経営者の意向が組織全体に浸透しやすく、対策を迅速に適用できる可能性を有している。このため、経営者の意識と取り組み姿勢の改善は克服すべきキーポイントであり、重要な課題であるといえる。
(b)不足する秘密情報漏えい防止への備え
現在、ランサムウェア攻撃などによる個人情報漏えいが報道やネットニュースでクローズアップされている。そのため、秘密情報漏えいの防止において、社外からの脅威が強く意識される傾向がある。しかし、実際には内部に潜む脅威(内部不正 7 )への対応も同様に重視する必要がある。
例えば、働きやすい職場環境の整備、秘密保持義務契約や誓約書の提出、人的ミス防止策、職員などの不正行為の監視、テレワークやクラウドサービスで取り扱う秘密情報の制限、不必要な秘密情報を取引などで共有しないといった対策が求められる。
しかし、特に常用雇用者数が100人以下の中小企業では、これらの対策の実施が遅れているのが現状である(図表2黄枠)。この現状を少しでも改善し大企業に近付けることが、サプライチェーン管理の観点から喫緊の課題となっている。
(c)秘密情報の取り扱いとインシデント報告への意識の低さ
第1回の図表5および図表6で示したとおり、常用雇用者数が100人以下の中小企業では、秘密情報の取り扱いに関する意識が低く、情報漏えいが懸念される現状である。具体的には、以下の3点が課題となっている。
- 日常業務の中で、取り扱いに注意を要する秘密情報の特定が十分ではなく(換言すれば、特定漏れが多く発生しており)、組織や担当者によってもバラつきが生じている。
- 従業員などの誰かが秘密情報を正しく特定できたとしても、その機微さの度合いや開示可能範囲を明示するラベリングが不十分である。このため、他の従業員などが正しい扱い方を知ることができず、秘密情報の保護がおろそかになっているケースが多い。
- 秘密情報へのラベリングの不十分さや秘密情報の重要性に対する意識・理解の低さから、秘密情報であることが認識されず、適切に扱われていないケースが多い。
さらに、第1回の図表9で示したように、常用雇用者数が50人以下の中小企業では、不自然な秘密情報の取り扱いや漏えいを目にした際の内部通報体制やルール整備が特に遅れている。このため、インシデントが発生していても全社的に見落とされる懸念があり、こうした体制整備の遅れを解消することが重要な課題となっている。
(d)営業秘密保護に対する意識の低さ
独立行政法人工業所有権情報・研修館(INPIT)の営業秘密支援窓口では、中小企業が組織全体で営業秘密の管理体制を構築するための支援を行っている。しかし、規模の小さな中小企業では、こうした体制の整備は遅れているのが実状である。
この状況を踏まえ、図表3は、個人情報と比較した際の秘密情報保護対策の重視度を示している。常用雇用者数が100人以下の中小企業では、個人情報保護の対策は進んでいる一方で、秘密情報保護の対策が不十分な企業の割合が高い。この結果から、中小企業における営業秘密などの保護に対する意識の低さが浮き彫りになっている(図表3黄枠)。
どのような企業であっても、事業・営業・技術・調達・販売などに関するノウハウを有していることが一般的である。こうした秘密情報の保護に対する意識を底上げすることは、中小企業が直面する重点課題の一つであり、早急に取り組むべきテーマである。
(e)社外とのコミュニケーション不足
IPA2023年度調査では、常用雇用者数が100人以下の先進的な中小企業の経営者、有識者(弁護士、ITコーディネータ、知財戦略エキスパート)などにヒアリングを実施した。その結果、人的リソースが限られた中小企業が、社外からの情報収集に苦労している実態が明らかになった。具体的には、社外の専門家との顔の見える人的ネットワークが不足しており、同業他社などで発生した重要事件情報、最新のサイバー脅威情報などの収集が難しい状況にある。一部の企業では、ITコーディネータやセキュリティベンダに依頼して情報収集している事例もみられた。
サプライチェーンの秘密情報管理を円滑に進めるには、企業間で垣根を超えたリスクコミュニケーションが必要であり、お互いの顔が見える人的ネットワークの構築が望まれる。しかし、これを実現するためには、小規模な中小企業においても対応可能な人財の育成が必要となる。
(f)秘密情報の台帳管理の遅れ
IPA2023年度調査の総括では、中小企業の課題として「秘密情報をライフサイクル全体で管理する体制を構築すること」が強調されている。この課題の背景には、中小企業における情報資産管理台帳の整備と、これを用いた秘密情報管理の実践が依然として十分でない現状があることが指摘されている。
情報資産管理台帳の整備は、一般にはISMS(Information Security Management System)8 や技術情報管理認証制度 9 などの第三者認証の取得を契機に進むことが多く、営業秘密などの管理に全社で取り組むことで、情報資産管理台帳を用いた秘密情報管理体制が整備される。しかし、一般社団法人日本情報経済社会推進協会(JIPDEC)が2024年1月に実施した「企業IT利活用動向調査2024」10 の調査結果によると、ISMSの取得率は従業員数が5,000人以上の大企業では約80%であるのに対し、従業員数が299人以下の中小企業では約45%に過ぎず、従業員数が100人以下の中小企業ではこの割合がさらに低くなると推察される。この調査結果は、IPA2023年度調査が指摘する現状の問題点と課題を裏付けるものといえる。
(g)内部不正防止に特化した取り組みへの認識不足
上記 (b) では、秘密情報漏えいの防止にあたり内部不正への対応が重要であることを指摘した。また、内部不正防止に焦点を当てた対策として、働きやすい職場環境の整備、秘密保持義務契約や誓約書の提出、人的ミス防止策、職員などの不正行為の監視、テレワークやクラウドサービスで取り扱う秘密情報の制限、不必要な秘密情報を取引などで共有しないなどがあることも述べた。サイバー攻撃対策の中には内部不正防止にも資するものが多いが、それだけでは十分ではなく、どうしても内部不正防止に特化した対策を補完する必要がある。
一方で、常用雇用者数が100人以下の中小企業では、経営資源不足、専門知識、技術の不足などが原因で、内部不正防止に特化した対策の必要性に気付いていない、またはサイバー攻撃対策で手いっぱいで、こうした対策までは手が回らない企業の割合が顕著に高まっている(図表4黄枠)。この状況は、サプライチェーンの秘密情報管理の弱点につながるため、克服すべき喫緊の課題である。この課題を克服する方法として、内部不正防止にも資するサイバー攻撃対策の確保に重点を置きつつ、内部不正防止に特化した対策をピンポイントで補完することが望ましい。
4. 課題克服に向けた実践的なアプローチとは
(1)委託元企業が取るべきアプローチ
Tier2以降の再委託先企業の中心となる常用雇用者数が100人以下の企業は、サプライチェーンの秘密情報管理において多くの構造的課題を抱えている。社会問題ともいえる現状の抜本的な変革は決して容易ではなく、長時間を要することが予想される。このような状況下で、委託元企業が現在取るべき実効性の高い対応策として、以下の5つのアプローチについて具体的に考察する。
① 自社の秘密情報管理を点検する
サプライチェーンの秘密情報管理対策は、一般的にサプライチェーンの上流で講じるほど効果が大きくなる。このため、最上流の委託元企業(主として大企業)が果たすべき役割は重要である。また、サプライチェーンの委託先・再委託先(特に、常用雇用者数が100人以下の再委託先)には、基本的に秘密情報管理に課題を有しているという前提で接することが望ましい。委託元企業はまず、自社の秘密情報管理を点検する必要がある。主たる点検項目を以下に示す。
- 自社の強みとなる秘密情報を漏れなく把握し、格付けし、開示範囲を定めているか
- 渡す必要のない秘密情報をサプライチェーンに提供していないか
- サプライチェーンに提供する際に、委託元企業の秘密情報であることが自明であるように、自社の秘密であることや格付け・開示範囲を必ず明示しているか
特に重要なのは3つ目の項目である。3章 (2) の (c) で述べたように、委託先・再委託先企業では、秘密情報の見落としや不十分な秘匿が普通に発生する懸念があるため、委託元企業の秘密であることが明確に識別できるようにしておかないと、不適切な取り扱いを受け、漏えいのリスクが高まる 11 と想定すべきである。
② Tier1の委託先を格付けし、共有する秘密情報の範囲を制御する
委託元企業は、Tier1の委託先を客観的な根拠に基づいて格付けし、その到達度に合わせて共有する自社の秘密情報の範囲を制御することが望ましい。例えば、非常に機微な秘密情報は最高レベルに格付けされた委託先企業にのみ共有するなどの運用が考えられる。筆者が知る限りでは、大企業であってもこれを実践できている企業はかなり少ないと考えられる。
③ 唯一無二の委託先を格上げするため、経営者と対話する
一部の委託先企業の中には、他に代えがたい技術・ノウハウを有するonly one企業が存在する場合がある。こうした企業が秘密情報管理に課題を抱えていても、取引を停止することは難しい。むしろ当該企業の秘密情報管理を改善するために積極的に協力すべきであると考える。具体的には、当該企業の秘密情報管理について助言型監査を行い、監査の最終段階で当該企業の経営者と積極的に対話するのが効果的である。この対話を通じて望ましい改善の方向性を経営者と具体的に共有して意識付け、その実践に向けたリーダーシップを発揮してもらうことができれば、効果を大いに期待できる。
④ Tier2以下(末端まで)の再委託先の経営姿勢を評価し、自ら再委託の可否を承認する
Tier2以下の再委託先については、本レポート3章の (1) で述べたように、委託元企業の管理統制が十分に及んでいないことが多い。特に、Tier3以降の常用雇用者数が100人以下の中小企業では、実態としてほとんどの場合、管理統制が及んでいないのが現状である。しかし、このままではサプライチェーンの下部に秘密情報管理の弱点を抱えることになり、放置することはできない。かといって、経済安全保障推進法の「基幹インフラ役務の安定的な提供の確保に関する制度」のように、サプライチェーン末端の再委託先に至るまですべて漏らさず管理統制することはなかなか現実的ではない。ではどうすればこの課題を改善できるだろうか。
そのカギを握るのが、IPA2023年度調査が示す常用雇用者数100人以下の先進的な中小企業の経営者のヒアリング結果である。この調査結果には、優れた中小企業およびその経営者に共通する特徴が示されており、これを参考にすれば望ましい再委託先を選定するための基準となる。以下にTier2以下の再委託先の選定に役立つ優れた特徴を挙げる。
● 全社などでの組織的な取り組み:
- 情報管理に関わる第三者認証を取得している
- 営業秘密管理を導入している
- 情報資産管理台帳を作成・運用している
- 秘密情報を、情報資産管理台帳を用いて管理している
管理項目例:情報の保存場所・保存期間、情報漏えいリスクの大きさ、格付け、情報の消去方法など
● 経営者の意識、経営姿勢:
- 情報漏えい防止において、個人情報と同等、あるいはそれ以上に秘密情報を重視している
- 自ら手を動かし、率先して上記の組織的取り組みを主導している 12。また、強いこだわりも持っている
- サイバー攻撃対策でカバーできない内部不正特有の情報漏えいリスクを重視しており、これに特化した対応方針を的確に指示することができる。従業員への意識付けにも積極的である
こうした特徴を持つ中小企業であるかどうかは、経営者との直接対話、あるいは経営企画を所管する幹部から経営者の意識・姿勢を聞き取ることで容易に判断できる。なぜなら、できている企業はほとんど全ての特徴に合致し、できていない企業はほとんどどれにも当てはまらないため、はっきりと二分されるからである。
以上を踏まえると、委託元企業としては、委託先企業/再委託先企業が行うすべての再委託の可否を自ら承認する体制を構築することが望ましい。具体的には、自ら、あるいは再委託を目論む委託先企業/再委託先企業が、候補先の経営者または経営企画を所管する幹部と面談し、その上で把握した基準への合致度を踏まえて可否判断を行うのが良いと考えられる。このアプローチは厳密ではないものの、実践的で一定以上の効果を期待できると考えられる。
⑤ 委託先・再委託先のインシデント対応力を妄信せず、自ら統制する
委託元企業は、情報漏えい事件が発生した直後の円滑な対応についても気を配る必要がある。3章 (2) の (c) で述べたように、常用雇用者数が50人以下の中小企業ではインシデントが発生していても見落とされる懸念があり、Tier2以下で発生したインシデントについて、委託元企業による事実関係の把握が大幅に遅れるリスクがある。これを踏まえ、委託元企業がサプライチェーンに秘密情報を提供する際には、委託先・再委託先のインシデント対応力を過信せず、サプライチェーン全体での即応方針を定め、末端まで統制しておくことが望ましい。
本稿が提案する委託元企業が取るべき実践的なアプローチは、ここまでに述べてきた5項目である。読者の便に供するため、以下で改めて取りまとめておく。
(2)委託先企業(特にTier2以下の再委託先企業)が取り組むべきグッドプラクティス
サプライチェーンの下流を構成する委託先企業(特にTier2以下の再委託先企業)が取り組むべきグッドプラクティスは、基本的には (1) の「委託元企業が取るべきアプローチ」の裏返しとなる。主たる4項目を以下に取りまとめた。
IPA2023年度調査では、経営者が「秘密情報漏えい/内部不正の防止」の重要さを学ぶ機会として、以下の点を指摘している。
- 業界団体による業界全体での意識付け
- 第三者認証の取得(技術情報管理認証、ISMSなど)
- キーマンとなる「秘密情報漏えい/内部不正防止」の実務に詳しい幹部の採用
- 営業秘密管理を社内に導入することに着手
- 痛い目に遭って経験すること/他社の事例から学習すること
- ITコーディネータなどの外部専門家による指導 など
さらに有識者は、以下のようなあるべき姿を提言しているので、これらも参考にしていただきたい。
- 社外顧問、社外取締役が提起した議論から学ぶ
- グループガバナンスへの対応
- 不正競争防止法などの両罰規定 13 を端緒とした危機感の醸成
- 助言型監査を担当する委託元の実務家との対話から学ぶ など
また、第1回の図表14に示したとおり、Tier2以下の再委託先企業がまず目指すべき重点目標は「秘密情報を管理できる情報資産管理台帳」の整備・運用であり、そのための効果的な取り掛かりは、前述の「情報管理に関する第三者認証の取得」と「営業秘密管理の社内導入」であることを、経営者は十分に理解しておく必要があるだろう。
まとめ
本レポートでは、秘密情報漏えい/内部不正防止に関するサプライチェーン管理の実効性を高めるために、委託元の大企業と、委託先/再委託先の中小企業は、各々まず何に取り組む必要があるかについて解説してきた。しかし、サプライチェーンの下流にまで目が行き届かない委託元企業と、秘密情報漏えい/内部不正防止対策に多くの課題を抱えるサプライチェーン下流の委託先/再委託先企業が、現実問題としてまずどこまでならできるのかのマイルストーンを示したに過ぎない。目指すべき本当の到達点はまだまだ先にある。これを肝に銘じ、益々厳しさを増すサプライチェーン管理の現場に対応できるようになるために、まず直ちにマイルストーンを目指して第一歩を踏み出す企業が増えていくことを期待してやまない。