「サイバーセキュリティパートナーシップ構築宣言」が、なされることが一般化しています。
令和4年10月28日.経済産業省/公正取引委員会「サプライチェーン全体のサイバーセキュリティ向上のための取引先とのパートナーシップの構築に向けて」で、ウォッチするようになりましたが、個人的には、ちょっと、経緯とかまではきちんとフォローしてなかったので、いい機会なのでまとめてみたいと思います。これについてのブログのエントリは、こちらです。
1 パートナーシップ構築宣言とは
「パートナーシップ構築宣言」とは、
企業規模の大小に関わらず、企業が「発注者」の立場で自社の取引方針を宣言する取組です。企業は代表者の名前で、「サプライチェーン全体の共存共栄と新たな連携(企業間連携、IT実装支援、専門人材マッチング、グリーン調達等)」「振興基準の遵守」に重点的に取り組むことを宣言します。
とされています。
時系列的には、
1)2020年5月18日 第1回「未来を拓くパートナーシップ構築推進会議」(内閣府)
- 経済界・労働界の代表及び関係閣僚をメンバー/「パートナーシップ構築宣言」の枠組みを導入
- 趣旨としては
発注側たる大企業と受注側たる中小企業の協議を促進するとともに、サプライチェーン全体の生産性向上等の取組を推進し、大企業と中小企業が共に成長できる持続可能な関係を構築
- このような枠組みの必要性については、この会議の資料3-1です。リンクは、こちら。 目的としては「サプライチェーン全体の取引適正化と強靱化・高度化を促進する」があげられています。
- 「パートナーシップ構築宣言」の仕組みは、資料3-2
「振興基準」の遵守
振興基準というのは、下請中小企業振興法 の
第3条 経済産業大臣は、下請中小企業の振興を図るため下請事業者及び親事業者のよるべき一般的な基準(以下「振興基準」という。)
をいいます。中小企業庁のページは、こちら。全文はこちらです。
代表的な項目としては
- 価格決定方法
- 型管理などのコスト負担
- 手形などの支払条件
- 知的財産・ノウハウ
- 働き方改革に伴うしわ寄せ
などがあがっています。
遵守のインセンティブ
遵守をしますという宣言をなすことに対してどのような効果が与えられるのか、ということになります。これについていえば、以下のポータルサイトで
- 「宣言」企業は、「ロゴマーク」を使うことができます。名刺などに記載することで、取組をPRできます。
- 「宣言」企業に対して、一部の補助金の優先採択を検討しています。
ということになっています。
2)2020年7月10日 に ポータルサイトの立ち上げがなされます
「パートナーシップ構築宣言公表要領」はこちら。 公表の方法、掲載のとりやめ、その他が記載されています。あとは、ひな型・記載見本、記載要領などです。
3)2021年6月-改訂コーポレートガバナンス・コード-「取引先との公正・適正な取引」
これが、パートナーシップ構築宣言に新たな位置づけをなしているとされます。
これのわかりやすい解説「改訂コーポレートガバナンス・コードとサステナビリティ」です。
コーポレートガバナンス・コードの枠組みとして
投資家との建設的な対話における共通基盤として、取引所の上場規則の一部としてCGコード各原則の「コンプライ・オア・エクスプレイン」を義務化
とされています。
根拠としては有価証券上場規程・第4節 企業行動規範・第1款 遵守すべき事項(コーポレートガバナンス・コードを実施するか、実施しない場合の理由の説明)
第436条の3
上場内国株券の発行者は、別添「コーポレートガバナンス・コード」の各原則を実施するか、実施しない場合にはその理由を第419条に規定する報告書において説明するものとする。この場合において、「実施
するか、実施しない場合にはその理由を説明する」ことが必要となる各原則の範囲については、次の各号に掲げる上場会社の区分に従い、当該各号に定めるところによる。
(1)本則市場の上場会社
基本原則・原則・補充原則
(2)マザーズ及びJASDAQの上場会社
基本原則 第2款 望まれる事項 (コーポレートガバナンス・コードの尊重)
第445条の3
上場会社は、別添「コーポレートガバナンス・コード」の趣旨・精神を尊重してコーポレート・ガバナンスの充実に取り組むよう努めるものとする。
となります。
2 サイバーセキュリティパートナーシップ構築宣言
2.1 2022年4月1日のひな型改訂
同日付けでひな型に①サイバーセキュリティ対策に係る助言・支援が追加されています。
日本商工会議所「パートナーシップ構築宣言」のひな形が改訂されました の記事です
上記のようなパートナーシップ構築宣言において、サイバーセキュリティについての個別項目としての言及がなされる例が多いです。
データ活用基盤の構築、サイバーセキュリティ対策の助言・支援に取り組みます。(リンク)
とか
ITの積極的な活用により、受発注等の効率化、サイバーセキュリティ強化とシステムの堅牢化に取り組みます。あわせて、災害時の状況把握と対応を迅速化し、サプライチェーン全体の情報共有・可視化を実現することで、業務効率化を図ります。(リンク)
とか
サイバーセキュリティ対策について
下記の通りセキュリティーポリシーを策定し、情報っ管理に関する従業員教育の体制を徹底いたします。
⚫ 組織体制を確立すること
⚫ 企業の重要性の高い情報へのアクセスリスクへの対応を行うこと
⚫ 標的型および不特定多数を対象とした攻撃等のリスクへの対応を行うこと
⚫ 情報セキュリティに関する意識の醸成を図ること
とかがあります。
2.2 「優越的地位の濫用」との関係について
優越的な地位の濫用がどのような場合に認められるのか、ということについては、直接的には、公正取引委員会の「優越的地位の濫用に関する独占禁止法上の考え方」(ガイドライン)を参照ください。
自分としては、乙にとっての取引先変更の可能性を断念せざるを得ないような関係性があることでいいのではないかと考えています。これについては、駒澤綜合法律事務所のほうの「契約理論と優越的地位の濫用」でまとめていすま。というと、セキュリティ対策として特段に投資等費用がかかるかというのが、判断の決めてとなるということになります。
2.3 当然に求められるセキュリティ対策の範囲
サイバーセキュリティ構築宣言と「競争の番人」-グレイゾーンの解消への提言 のエントリで触れましたが、当然に求められるべきとされるようなセキュリティ対策 については、「優越的な地位の濫用」ということについてすることはないだろうということを見てみました。
優越的地位の濫用というのは、(個人的には)弱いものいじめの禁止ではなくて、ホールドアップ問題の回避のための仕組みと位置づけるべきだと考えています。そこで、情報取扱者等の指定、 情報取扱者等への教育・周知の計画策定、情報の取り扱いに関する計画策定 について、これを求めたとしても特段問題はないだろうということを書きました。
ここで、実際に通常、要求されている例というのを見ておこうと思います。
情報保護・管理要領
というのが、政府の事業を委託で受ける場合に遵守を要求される場合があります。ここで、どのような事項が記載されているのかというのをみます。
1 作業開始前の遵守事項
-
- 情報取扱者等の指定
- 情報取扱者等への教育・周知の計画策定
- 情報の取り扱いに関する計画策定
- 作業場所の情報セキュリティ確保のための措置の決定
- 情報セキュリティが侵害された又はそのおそれがある場合の対処手順等の策定
- 再委託に係る情報セキュリティの確保
2 請負作業中の遵守事項
-
- 「情報管理計画書」に基づく情報セキュリティ確保
- 「情報管理簿」の作成
- 「情報管理計画書」の変更に関する報告
- 作業場所への監査の受入れ
- 情報セキュリティ対策の履行が不十分であった場合の対応
3 請負作業完了時の遵守事項
-
- 情報返却等処理
- 情報セキュリティ侵害の被害に関する記録類の引渡し
が、国の入札作業において「情報保護・管理要領 」として、遵守を求められている事項になります。なので、これらの事項について、サプライチェーンとなる取引先に遵守を求めたとしても、仮に、それが、当初の契約の事項において定められていない場合であっても、契約の当事者において、当初の契約において想定していなかった事項を新たに求めるということにはならないのではないか、というします。
