サプライチェーン攻撃対策を契約に盛り込む意義
取引先のセキュリティ対策を法的に担保するためには、契約書に適切な条項を盛り込むことが重要です。口頭での約束や依頼だけでは、いざというときに効力を発揮しません。
サプライチェーン攻撃において、取引先のセキュリティ脆弱性が自社に甚大な被害をもたらす可能性があります。2022年のトヨタ・小島プレス事件では、Tier1サプライヤーへの攻撃により自動車メーカーの全工場が停止しました。このようなリスクに対応するため、契約によってセキュリティ対策を義務付け、インシデント発生時の責任分担を明確にしておくことが不可欠です。
- 契約による担保のメリット
- セキュリティ対策の実施を法的義務とすることで、取引先に対策を求める根拠が明確になります。また、違反時の対応(契約解除、損害賠償など)も明確化できます。
- 契約がない場合のリスク
- 取引先のセキュリティインシデントにより自社が被害を受けた場合、責任の所在が不明確となり、損害回復が困難になる可能性があります。また、対策の実施を求める法的根拠がなく、交渉が難航することもあります。
- 責任分担の明確化
- インシデント発生時に「誰が」「何を」負担するかを事前に定めておくことで、迅速な対応と円滑な関係維持が可能になります。
取引先管理の全体像についてはサプライチェーン攻撃と取引先管理|サプライヤー評価・ベンダー監査の進め方をご覧ください。
セキュリティ条項の具体例
契約書に盛り込むべきセキュリティ条項について、具体的な項目と例文を紹介します。実際の契約では、取引内容や業種に応じてカスタマイズしてください。
- セキュリティ対策の実施義務
- 取引先が最低限実施すべきセキュリティ対策を明記します。例:「乙は、以下のセキュリティ対策を講じなければならない。(1)ファイアウォールの設置および適切な設定、(2)マルウェア対策ソフトの導入および定義ファイルの最新化、(3)OSおよびソフトウェアのセキュリティパッチの適時適用」など。
- セキュリティ認証の取得・維持
- ISMS(ISO 27001)やPマークなどの認証取得・維持を義務付けます。例:「乙は、契約期間中、ISO/IEC 27001認証を維持しなければならない。認証を喪失した場合は、速やかに甲に通知する」など。
- 再委託先の管理義務
- 取引先がさらに再委託する場合の管理義務を定めます。例:「乙が本業務の全部または一部を第三者に再委託する場合は、事前に甲の書面による承諾を得なければならない。乙は、再委託先に対し、本契約と同等のセキュリティ義務を課さなければならない」など。
- 機密情報の取り扱い
- 自社の機密情報を取引先が取り扱う場合の義務を定めます。例:「乙は、甲の機密情報を厳重に管理し、本業務の目的以外に使用してはならない。機密情報へのアクセスは、業務上必要な者に限定する」など。
- 個人情報保護
- 個人情報を取り扱う場合の義務を定めます。例:「乙は、個人情報の保護に関する法律その他関連法令を遵守し、適切な安全管理措置を講じなければならない」など。
- セキュリティ監査への協力義務
- 発注者による監査への協力を義務付けます。例:「甲は、本契約に基づく乙のセキュリティ対策状況を確認するため、事前通知のうえ乙の事業所等を監査することができる。乙は、これに協力しなければならない」など。
- インシデント発生時の報告義務
- セキュリティインシデント発生時の報告を義務付けます。例:「乙は、情報セキュリティインシデントが発生した場合、またはその発生のおそれを認識した場合、24時間以内に甲に報告しなければならない」など。
- 損害賠償・責任制限
- インシデント発生時の損害賠償責任を定めます。例:「乙のセキュリティ対策の不備に起因して甲または第三者に損害が生じた場合、乙は甲に対してその損害を賠償する責任を負う」など。責任上限を設ける場合もあります。
重要な注意事項:上記は例示であり、実際の契約条項については、法務部門や弁護士と相談のうえ作成してください。業種や取引内容によって適切な条項は異なります。
SLA(サービスレベル契約)の設定
クラウドサービスやシステム運用を外部に委託する場合、SLA(Service Level Agreement:サービスレベル契約) にセキュリティ関連の項目を盛り込むことで、サービス品質を担保できます。
可用性の設定
サービスの稼働率や許容ダウンタイムを定めます。サプライチェーン攻撃による停止も想定した設定が重要です。
| SLAレベル | 稼働率 | 年間許容ダウンタイム | 想定シナリオ |
|---|---|---|---|
| Tier1(最高) | 99.99% | 約52分 | 基幹システム |
| Tier2(高) | 99.9% | 約8.7時間 | 重要業務システム |
| Tier3(標準) | 99.5% | 約43時間 | 一般業務システム |
サプライチェーン攻撃による停止がSLA除外事由(免責) に含まれるかどうかも確認・交渉のポイントです。
復旧時間の設定
インシデント発生時の復旧目標として、RTO(Recovery Time Objective:目標復旧時間) とRPO(Recovery Point Objective:目標復旧時点) を定めます。
- RTO(目標復旧時間)
- サービス停止からサービス復旧までの目標時間。例:「重大インシデント発生時、4時間以内にサービスを復旧する」など。
- RPO(目標復旧時点)
- データをどの時点まで復旧できるかの目標。例:「障害発生時、1時間前の状態までデータを復旧できる」など。
ランサムウェア攻撃などを想定し、バックアップからの復旧に関するSLAも定めておくことが重要です。
報告義務の設定
SLAの達成状況やインシデント発生状況の報告について定めます。
- 定期報告
- 月次または四半期ごとに、SLA達成状況、セキュリティ対策状況、インシデント発生状況などを報告させます。
- インシデント報告
- セキュリティインシデント発生時の報告期限と報告内容を定めます。報告期限は「認識後24時間以内」など具体的に設定します。
インシデント発生時の報告義務
セキュリティインシデントが発生した場合の報告義務は、契約において特に重要な条項です。迅速な情報共有により、被害の拡大防止と適切な対応が可能になります。
| 項目 | 内容 | 設定例 |
|---|---|---|
| 報告期限 | インシデント認識から報告までの期限 | 24時間以内、72時間以内など |
| 報告すべき事象 | 報告対象となるインシデントの範囲 | 不正アクセス、マルウェア感染、情報漏洩など |
| 報告内容 | 報告に含めるべき情報 | 発生日時、影響範囲、対応状況、原因など |
| 連絡先 | 報告を行う窓口 | 担当者名、連絡先、24時間対応の有無 |
- 報告期限の考え方
- 重大インシデント(情報漏洩、システム停止など)は24時間以内、それ以外は72時間以内など、深刻度に応じた期限設定が一般的です。ただし、実態として24時間以内の報告が困難な場合は、「第一報は24時間以内、詳細報告は72時間以内」のように段階的な設定も検討してください。
- 連絡体制の事前整備
- いざというときに連絡が取れないことがないよう、平時から連絡先を確認し、緊急連絡網を整備しておくことが重要です。担当者の異動時には更新を忘れずに行いましょう。
監査権の確保
取引先のセキュリティ状況を直接確認するための監査権を契約で確保することが重要です。監査権がなければ、質問票の回答内容が実態と異なっていても確認する術がありません。
- 監査条項の例
- 「甲は、本契約の履行状況を確認するため、事前に書面で通知のうえ、乙の事業所に立ち入り、関連する帳簿、記録、システム等を閲覧・調査することができる。乙は、これに協力しなければならない」など。
- 実地監査の権利
- 書面だけでなく、現地に赴いて実態を確認できる権利を確保します。サーバールームの管理状況、アクセス制御の実態など、現地でなければ確認できない事項があります。
- 第三者監査レポートの受領権
- 取引先が受けている第三者監査(SOC2レポートなど)の結果を受領できる権利も確保します。自社での監査を補完し、効率化できます。
- 監査費用の負担
- 監査にかかる費用(監査人の費用、交通費など)の負担者を明確にします。一般的に、定期監査は発注者負担、是正確認のための監査は受注者負担とすることが多いです。
再委託・サブコントラクターの管理
取引先がさらに業務を再委託する場合、再委託先のセキュリティも管理対象となります。サプライチェーン攻撃は、再委託先(Tier2、Tier3)を経由して行われることも多いため、契約で適切に管理することが重要です。
- 再委託の事前承認
- 再委託を行う場合は、事前に発注者の書面による承諾を必要とする条項を設けます。無断での再委託を禁止することで、サプライチェーンの可視化を維持できます。
- 再委託先への同等の義務付与
- 再委託先に対しても、本契約と同等のセキュリティ義務を課すことを義務付けます。「乙は、再委託先に対し、本契約に定めるセキュリティに関する義務と同等の義務を課さなければならない」など。
- 再委託先リストの把握
- 再委託先の一覧(会社名、所在地、委託内容)を提出させ、サプライチェーンの構造を把握します。変更があった場合の報告義務も定めます。
- 再委託先への監査権
- 必要に応じて、再委託先に対する監査権も確保します。または、取引先を通じて再委託先の管理状況を報告させる方法もあります。
サプライチェーンの可視化についてはサプライチェーン攻撃に強い可視化|サプライチェーンマップと多層管理を解説をご覧ください。
契約テンプレートの活用
セキュリティ条項を一から作成するのは手間がかかります。標準契約書や業界テンプレートを活用することで、効率的に契約を整備できます。
- 経産省・公的機関のテンプレート
- 経済産業省が公開する「情報システムの調達に関するセキュリティ要件書」や、IPA(情報処理推進機構)の各種ガイドラインを参考にできます。これらは公的機関が作成したもので、信頼性が高いです。
- 業界団体のテンプレート
- 自動車業界(自工会・部工会)、金融業界(金融ISAC)など、業界団体がセキュリティ要件やテンプレートを公開しています。業界特有のリスクを考慮したものになっています。
- 自社標準契約書の整備
- 上記のテンプレートを参考に、自社の標準契約書(セキュリティ条項を含む)を整備します。一度作成すれば、新規取引の都度利用でき、効率化できます。
- 既存契約の見直し
- 既存の取引先との契約にセキュリティ条項が不足している場合は、契約更新のタイミングで追加することを検討してください。覚書や付属書での追加も可能です。
契約交渉のポイント
セキュリティ条項を取引先に受け入れてもらうための契約交渉のポイントを解説します。
| 交渉シーン | 取引先の反応 | 対応策 |
|---|---|---|
| 条項が厳しすぎる | 「対応できない」「コストがかかる」 | 優先度の高い項目に絞る、移行期間を設ける |
| 損害賠償が過大 | 「リスクが大きすぎる」 | 上限金額を設定、保険加入を条件とする |
| 監査権に抵抗 | 「機密保持の問題がある」 | 第三者監査レポートで代替、監査頻度を限定 |
| 認証取得が困難 | 「中小企業には無理」 | 認証取得までの期限を設ける、支援を提供 |
- 交渉の基本姿勢
- セキュリティ条項は「自社を守るため」だけでなく、「サプライチェーン全体を守るため」であることを説明します。取引先にとっても、セキュリティ強化はメリットになることを伝えましょう。
- 落としどころの見つけ方
- すべての条項を最初から受け入れてもらうのは難しい場合があります。「最低限必要な項目」と「あれば望ましい項目」を区別し、優先順位をつけて交渉します。
- 力関係による違い
- 大企業が中小企業に発注する場合と、対等な企業間の取引では交渉の進め方が異なります。力関係に配慮しつつも、必要な条項は明確に求めることが重要です。
関連する攻撃手法
契約により対策を担保すべき攻撃手法について紹介します。各攻撃手法の詳細については、リンク先のページをご覧ください。
- サプライチェーン攻撃
- 取引先を経由した攻撃全般。契約によるセキュリティ対策の義務付け、再委託管理、インシデント報告義務などで対策します。
- 情報漏洩
- 取引先からの機密情報・個人情報の漏洩。機密情報の取り扱い条項、情報管理義務、漏洩時の報告義務などで対策します。
- 不正アクセス
- 取引先システムへの不正アクセスを経由した自社への攻撃。アクセス制御、認証強化などのセキュリティ対策を契約で義務付けます。
- マルウェア感染
- 取引先システムのマルウェア感染による連鎖的な被害。マルウェア対策、パッチ管理などを契約で義務付けます。
- ランサムウェア
- 取引先へのランサムウェア攻撃による供給停止。バックアップ体制、復旧計画の策定を契約で義務付けます。
- フィッシング詐欺
- 取引先従業員がフィッシングに騙されることによる認証情報漏洩。従業員教育の実施を契約で義務付けます。
- ソーシャルエンジニアリング
- 取引先従業員への心理的攻撃。セキュリティ意識向上のための教育を契約で義務付けます。
よくある質問
- Q: 既存の取引先にも契約変更を求められますか?
- A: 既存の取引先との契約変更は、契約更新のタイミングで行うのが一般的です。契約期間中に変更を求める場合は、覚書や付属書の形式で追加することも可能です。ただし、一方的な押し付けにならないよう、変更の理由(サプライチェーン攻撃対策の強化など)を丁寧に説明し、移行期間を設けるなどの配慮も必要です。重要な取引先から優先的に対応を進めることをお勧めします。
- Q: 取引先が条項に同意してくれない場合は?
- A: まず、なぜ同意できないのかを確認してください。「対応能力がない」場合は支援を検討し、「コストがかかる」場合は必須項目に絞るなど、妥協点を探ります。それでも同意が得られない場合は、取引継続の可否を検討するか、リスクを受容したうえで取引を継続するかの判断が必要です。ただし、重要なセキュリティ条項については妥協すべきではありません。
- Q: 損害賠償条項はどのように設定すべきですか?
- A: 損害賠償条項は、「セキュリティ対策の不備に起因する損害は賠償する」という基本的な責任を明記したうえで、上限金額の設定を検討します。上限は、取引金額の一定倍(例:年間取引金額の2倍)や、固定金額(例:5,000万円)で設定することが多いです。また、サイバー保険への加入を条件とすることで、保険でカバーする方法もあります。具体的な設定は、法務部門や弁護士と相談してください。
- Q: 中小企業の取引先に厳しい条項を求めても大丈夫ですか?
- A: 中小企業にとって、大企業と同等のセキュリティ対策を実施することは困難な場合があります。現実的なアプローチとして、(1)最低限必要な項目に絞る、(2)対応期限に余裕を持たせる、(3)教育や技術的支援を提供する、(4)IPAなどの公的支援や補助金制度を案内する、などの配慮が必要です。一方的に厳しい条件を押し付けると、取引関係が悪化したり、形式的な対応にとどまったりするリスクがあります。
- Q: 契約書の作成を外部に依頼すべきですか?
- A: セキュリティ条項を含む契約書の作成は、自社の法務部門が行うのが一般的です。ただし、法務部門がない場合や、専門的なアドバイスが必要な場合は、弁護士(特にIT・サイバーセキュリティに詳しい弁護士)への相談をお勧めします。また、業界団体のテンプレートを活用すれば、一から作成する手間を省けます。重要な契約については、最終的に法務または弁護士のレビューを受けることをお勧めします。
まとめ
サプライチェーン攻撃対策としての契約実務について、要点をまとめます。
- 契約によるセキュリティの担保:口頭のお願いではなく、法的拘束力のある契約でセキュリティ対策を義務付ける
- セキュリティ条項の盛り込み:対策実施義務、認証取得、再委託管理、監査権、インシデント報告義務などを明記
- SLAの設定:可用性、復旧時間、報告義務などをSLAで定め、サービス品質を担保
- 監査権の確保:実地監査や第三者監査レポートの受領権を契約で確保
- 再委託先の管理:再委託の承認制、同等義務の付与、リスト把握を契約で定める
- テンプレートの活用:公的機関や業界団体のテンプレートを活用し、効率的に契約を整備
- 交渉のポイント:取引先の状況に配慮しつつ、必要な条項は明確に求める
契約で定めた内容を効率的に確認するための質問票については、サプライチェーン攻撃対策の質問票|取引先評価テンプレと回答例をご覧ください。
法務的な観点からの詳細はサプライチェーン攻撃の法務|契約責任・監督義務・訴訟リスクも参考にしてください。
取引先管理カテゴリの全体像については、サプライチェーン攻撃の取引先管理|サプライヤー評価・契約・TPRMを解説をご覧ください。
重要なお知らせ
- 本記事は一般的な情報提供を目的としており、法的助言ではありません。
- 契約条項の具体的な内容については、法務部門または弁護士にご相談ください。
- 実際にサイバー攻撃の被害に遭われた場合は、警察(#9110)やIPA(03-5978-7509)などの公的機関にご相談ください。
- 記載内容は作成時点の情報であり、法令や攻撃手法は変化している可能性があります。
更新履歴
- 初稿公開
