サプライチェーンとは、一般的に、モノやサービスが消費者に届くまでの一連したプロセスを意味するものです。次にあげる事例では、ある企業の顧客の設備の調査業務を受けた会社から問題が発生していますが、個人情報保護法の「両罰規定」により、サービスを主体とする委託した側の監督責任が問われることになります。

下記はサプライチェーンリスクの事例です。

「委託会社が個人情報が記載された資料を紛失」

委託した会社にて顧客の個人情報（氏名、電話番号、建物名と部屋番号、契約内容）が記載された資料が紛失したことが判明したものです。設備調査業務を外注したようですが、調査には設備の住所や電話番号等が必要であるため、顧客情報を共有するしかありません。外注するということは大変勇気のいることであり、委託先企業の信頼性や経営状況等が気になります。

当然ながら、今回のような有事となった際の賠償責任等は事前に話し合われていなければなりません。
系列企業、ビジネスパートナーのセキュリティ対策状況は明確に把握しておく必要があることを改めて考えさせられる事件です。

セキュリティの世界でもサプライチェーンリスクを利用した攻撃というのが存在します。

ある有名なアプリケーションの配布先である正規のダウンロードサイトが何者かに侵入され、マルウェアを混入されてしまいました。事情を何も知らないユーザーがマルウェアが含まれているアプリケーションをダウンロードしてしまい、被害は世界に拡大しました。

現在、サプライチェーンリスクは世界で最も話題となっているトピックです。アメリカが自国のインフラ保護の為、国家安全保障上の脅威を理由に中国大手通信メーカーの製品を利用しないように通達しました。この動きは世界に飛び火し、各国でも連動した動きが見られます。

事業のIT化やグローバル化等、事業環境の急激な変化によって、サプライチェーンはより一層多様化及び複雑化することが予想されます。
事業の不透明な部分、委託先の不確実性が増大していくならば、企業は潜在的に抱えるリスクを把握し、タイムリーに対応していく技量が必要とされます。

委託先が海外となるケースも考えられます。その際のセキュリティリスクはどうなるでしょうか？この場合の責任の所在はどこにあるのでしょうか？契約書は交わしていますか？

最後に、最も重要なことは、委託会社の選択基準です。関連会社、委託会社に対して、個人情報や技術情報などを預ける場合は、依頼先の信頼性、経営状況、セキュリティレベルを確実に把握し、NDA（秘密保持契約書）の契約、および、コンプライアンスと責任分界点の説明と理解を徹底する必要があります。

中堅中小企業向けのセキュリティ対策を考えることは、大手のそれを考えるより難しいことと言えます。理由は明白で、少ない予算、少ない人員、限られた時間の中で効果的なセキュリティ対策を打ち出さなければならないからです。

これには先に述べた「重要資産の特定、それに対する集中的な投資」を検討されることを提案します。何もかも守ろうとしても、結局は何も達成することができません。それよりも、まずは、自分達の社内の資産で、大切なもの、絶対に外部に漏れてはいけないものがあるのかないのかを確認してください。

もしそういった価値のある大切なものが見つかったら、その資産を守る為に、物理的にそれを隔離し、論理的にも隔離してください。

現在、「中堅中小企業向けチェックシート_2019年度版」を無償配布しております。
サイバーセキュリティの重要8分類から、中堅中小企業のセキュリティを考えた場合に必要なセキュリティ確認事項だけを厳選して列挙しました。
サイバーセキュリティの専門業者だから言える、基本の確認事項から一歩進んだアドバイスを随所に盛り込んだチェックシートとなっております。 ぜひご活用ください。

最後に、“Your expert on your side”. 「頼れるセキュリティ」がESETの合言葉になっています。
ESET社はサイバーセキュリティ企業として30年の歴史を持つ、世界に類をみないセキュリティ専業会社です。
御用の際にはぜひ頼りにしてください。