ITの進化やDXの普及、さらにビジネスのグローバル化などの影響で、ソフトウェアやサービスの開発の一部を自社以外の第三者の企業に委託するケースが増えてきました。
自社だけでなく他社も含めて開発を行う一連のプロセスをサプライチェーンと呼び、そのリスクマネジメントの重要性が高まっています。
この記事では、サプライチェーンリスクの概要と顕在化した事例、さらにそのポイントまで詳しくご紹介します。
また、サプライチェーンのセキュリティを管理する委託先管理についてのよくある疑問・お悩みについてこちらの記事で解説しています。あわせてお読みください。
サプライチェーンの内容をおさらい
サプライチェーンとは、特定の製品について原材料の生産から、消費者に届くまでの一連の過程のことを表す言葉です。
一般的に製品を生産して消費者に届くまでには、各製品を提供する製品サプライヤーが下請けの業者に必要に応じて部品の製作などを依頼し、下請け業者が工場などで生産し、消費者の元へ届けるというプロセスが実行されます。
このサプライチェーンは、製品の生産だけでなく、購入後の運用・保守などのサービスについても同様のことがいえます。さらにコンピューターで動作するソフトウェアも同様です。このようにサプライチェーンの考え方は、さまざまな生産物に取り入れられています。
サプライチェーンのリスクとは
サプライチェーンは多くの工程から成り立っており、国内外の様々な企業が関わる可能性があります。
仮に自社で適切な情報セキュリティ対策を施していたとしても、サプライチェーンを構成する企業の中にはセキュリティ意識が低く、重要情報の管理がずさんな企業があるかもしれません。極端にずさんではなかったとしても、自社で要求するセキュリティレベルより低い水準での管理がなされているかもしれません。
そうした要因によって、再委託業者による機密情報の漏えいや搾取、廃棄委託業者による情報横領といった事態につながってしまうこともあります。
サプライチェーンリスクマネジメント(SCRM)とは
サプライチェーンリスクマネジメントとは、サプライチェーンを構成する第三者が提供するサービスを利用する場合において、自社の財務、評判、セキュリティなどへのリスクを最小限に抑えるためのプロセスのことです。
従来ではBCP(事業継続計画)のために取り入れられたサプライチェーンリスクマネジメントですが、現在では、多発するセキュリティ事故へのセキュリティ対策や管理のために欠かせないものとなっています。
サプライチェーンリスクに関する動向
サプライチェーンリスクについては、IPAが発表している「情報セキュリティ10大脅威 2023」において、「サプライチェーンの弱点を悪用した攻撃」が2位にランクインしています。さらに、サイバーセキュリティ経営ガイドラインv2.0でも、サプライチェーン全体でのセキュリティ対策の必要性が取り上げられています。
自社サプライチェーンの構成企業が適切なセキュリティ対策を行っていない場合、その企業は自社にとってセキュリティ上の弱点です。攻撃者は弱点を突き、サプライチェーンを通じて攻撃を仕掛けます。そうして、自社の保有する重要情報の漏えいや更なるステークホルダーへの二次被害につながってしまいます。
IPAが発表している「ITサプライチェーンの業務委託におけるセキュリティインシデント及びマネジメントに関する調査」(pdf)の報告書によると、日本においては、情報通信業以外の委託元は過半数が、実施すべき情報セキュリティ対策を仕様書等で委託先に明示していないことが示されています。
特に、製造業では71.1%、卸売・小売業で74.2%が明記しておらず、顕著です。
この結果から、サプライチェーン全体でのセキュリティリスクを認識していながら、実際には実施すべきセキュリティ対策が明示されている企業は半数以下程度であることがわかります。
しっかりとサプライチェーンリスクに対応するために、LRMのセキュリティ教育クラウド「セキュリオ」の委託先管理機能がおすすめです。「セキュリオ」は、3ステップでラクラク委託先管理が可能です。
- クラウド上に委託先を登録
- 15種類以上のテンプレートからWebアンケートを送信
- 結果の確認・委託可否の決定
サプライチェーンリスクが顕在化した事例
ここでは国内でサプライチェーンリスクが顕在化した事例を3つご紹介いたします。
2900万件の個人情報の漏えい
大手教育サービス企業では、個人情報の管理をグループ会社へ委託していました。
その大手教育サービス企業の会員に対して、全く関係のない企業からのダイレクトメールが届くようになり、会員から大手教育サービス企業に対して問い合わせがあり、調査の結果、2900万件の個人情報が漏洩していることが発覚しました。
原因は、個人情報を管理しているグループ会社が、情報システムの管理を別の企業へ再委託しており、その再委託された企業の従業員が不正に個人情報を入手して、名簿業者への売却を繰り返していたことでした。
この情報漏洩への対応により、大手教育サービス企業では260億円が特別損失として計上されてしまいました。
住民データ21万件余りが漏えい
1999年5月に、ある地方公共団体において、民間業者の持ち込んだ外部記憶媒体により住民データが流出し、目名簿業者によってインターネット上で販売された事件が発生しました。
これによりプライバシーが侵害されたとして、市民が損賠賠償請求訴訟を起こしました。その結果、地方公共団体に対し、一人あたり1万円の慰謝料支払いを命じる判決が下されています。
使用済みHDDをネットオークションで転売
2019年2月に、ある自治体が行政文書などを保存していたHDDを処分する過程において、そのHDDが適切に処分されず、ネットオークションで転売されていたことが明らかになりました。
原因は、HDDの処分を担当していた企業に勤める社員によるファイルサーバのHDDの転売です。これにより個人情報を含む内部のデータが流出する結果となりました。
これを受けてHDDの処分を担当していた企業は、全従業員の1割にあたる従業員を解雇し、5か所の事業所の閉鎖などの事業規模を縮小し、セキュリティ体制の見直しを行いました。また被告に対しては、懲役2年、執行猶予5年の有罪判決が言い渡されました。
サプライチェーンリスクマネジメントのポイント
さきほど紹介した事例よりわかることは、サプライチェーンリスクマネジメントのポイントは、自社だけではなく、業務に携わるすべての企業やシステムをマネジメントの対象とすることが必要である点です。
セキュリティ強度は、サプライチェーンの最も弱い部分で決まります。そのリスクマネジメントが弱い部分から、ほころびが生まれるのです。つまり自社やその他の企業のセキュリティ対策が十分な水準であっても、そのような弱い部分が1か所でもあれば、サプライチェーン全体でのセキュリティレベルは弱くなってしまします。
特に自社の業務の一部を委託する場合、委託先企業の選定時にセキュリティの観点を加え、対策状況を定期的に評価することが重要です。またインシデントが発生してしまった場合のために、契約書上で委託元と委託先の責任分界点を明確にすることも効果的です。
サプライチェーンリスクマネジメントのよくある疑問・お悩みについてはこちらの記事で解説しています。あわせてお読みください。
まとめ
今後もIT化やグローバル化などの進化にともない、サプライチェーンはさらに複雑化および多様化することが見込まれます。それにともないサプライチェーンにおけるリスクの不透明化とリスクの増大への対策も重要となります。
特に委託先が海外企業の場合、日本との文化や習慣の違いへの考慮も必要でしょう。サプライチェーンリスクマネジメントとしては、事前のリスク評価と調達先の適切な選定を徹底することが、何よりも重要なポイントとなります。