Blog"   調達購買関連 最新トピックス
サイバー防御 供給網にスキ、中小を突破口、大手へ侵入 日本企業、対策遅れ-日本経済新聞 (2018-02-10)

連日のようにサプライチェーン関連のサイバーセキュリティの記事が掲載されています。2月11日の日本経済新聞には、9日の米国防総省のサイバー対策基準に加えて、EU一般データ保護規則(GDPR)も紹介されています。

EU一般データ保護規則(GDPR)は、個人データ保護に関するルールで、制裁金額が「違反企業の全世界売上高の4%か、2千万ユーロ(26億円超)」とされており、違反があれば、少なくとも26億円超という巨額の罰金が課せられることになっています。加えて、「意図以外に個人情報を使われた」といった個人からの摘発が発生し、とんでもないことにならないかなどとの疑心暗鬼の声が、英国のSNSなどで流れたりしました。

データ委託管理先の是非に加えて、購買業務で企業・団体が取得したサプライヤー社員の個人情報も規則保護対象となることから、一時は欧州で話題が出ていましたが、それよりも母集団の大きい営業顧客や自社従業員情報に含めて、きちんとすればいいのか...辺りに落ち着いたような感触を、個人的には得ていました。それで、欧州の購買担当者はひとまず落ち着いたように思えていました。

それでも、この規則の実施期限が今年5月25日と迫るなか、データ委託先購買関連を含めて、「英国企業は、GDPRの実施期限が迫り、3千億ポンドの罰金の危機に直面(British businesses face £300bn in fines as GDPR deadline looms)」といった報道が出てきたりしています。

日本企業については、EUに支店・子会社があるものはもとより、EUで商売している企業は全て、この個人情報保護ルール(含:制裁金規程)が適用されます。加えて、日本はEU基準を満たす個人情報保護があるとEUに認定されていないため、個別企業ごとに対応をとる手間が必要になります(このような不利益を被らないためにも、政府が海外基準導入の動きをしていると思われます)。

記事の概要は以下。

・取引先をターゲットにしたサイバー攻撃が日本でも昨年から増加し、中小企業を突破口に大手企業に攻撃する「サプライチェーン型攻撃」も脅威になっている。
・ITセキュリティ関連企業も、今年のサイバー攻撃の最大リスクに「サプライチェーン攻撃の増加」を挙げる

・米国や欧州ではこの対策を強化中である。
・米国防総省は、17年12月末までに同省と契約する事業者とその全てのサプライヤーを対象に、「CUI(管理すべき重要情報)」を定義し、その保護を義務付けた。なお、将来は他産業にも義務拡大の可能性がある。
・EUも5月から個人情報保護を規制強化する。顧客情報を取引先と共有したり、管理を外部委託している場合も規制の対象になる。
・これらに準拠しない場合は、取引ができなくなったり、巨額の制裁金が課せられる場合がある。

・日本企業では対応が遅れている。経産省は17年12月、経団連や経済同友会の首脳と連携し、「産業サイバーセキュリティ研究会」を発足した。

=====
なお、防衛省が導入を検討中の米国防総省のサイバー対策基準については、以下にロッキード・マーティン社の実施事例を含めて、以下に記述しました。

サイバー対策、米基準要求、防衛省、調達先9000社に-日本経済新聞 (2018年2月10日)-It's 購買系
https://www.facebook.com/itscobuy/posts/1792692390761997

参考)
British businesses face £300bn in fines as GDPR deadline looms-Business UpNorth
https://www.businessupnorth.co.uk/british-businesses-face-300bn-in-fines-as-gdpr-deadline-looms/

EU一般データ保護規則(GDPR)の概要と企業が対応すべき事項-新日本監査法人
https://www.eyjapan.jp/library/issue/info-sensor/2017-02-05.html