サイバー攻撃によるリスクが高まる中、主要な納入業者が攻撃を受けて、部品やサービスの提供が停まる可能性を以前に指摘した。これもサプライチェーン・サイバーセキュリティの主要なリスクである。
経営者がサイバーリスクを認識し、しかるべき資源(ヒト・モノ・カネ)を投入して対応に努めている大企業に比べ、中小企業の対応は一般に不十分と言える。IT導入や運用もままならない規模の企業も多いが、資源が用意できる企業でも経営者がその気にならないので、対策が進んでいない企業も少なくない。
そこで「サイバーセキュリティは経営課題」との意識を経営者にもってもらう必要があるのだが、経営者に直接影響を与えられるのは、
・市場、株主、取締役、監督官庁など
・シェアの大きな取引先(顧客)
くらいである。中小企業の中には非上場のところもあるし、社外取締役も少ない。監督官庁が直接指示をすることも珍しい。となれば、有力なのは大口顧客ということになる。ただ、日本企業の多くは取引先からサイバーセキュリティ強化を求められた例は多くない。
加えて岸田内閣の「新しい資本主義」の主要項目に、中小企業への適正な価格転嫁が盛り込まれていて、公正取引委員会が「下請けいじめ」を許さないとの姿勢が強くなった。例えば、
「下請けに逆らうな」と異例の命令、調達側と仕入れ先の上下関係が激変した内情 | サプライチェーン難問山積 | ダイヤモンド・オンライン (diamond.jp)
のようなことである。私たちは、下請けいじめと指摘さてることを怖れるあまり、企業が取引先にサイバーセキュリティ強化を求められない事態は避けたいと考え、経産省に公取との交渉を依頼した。その結果、
サプライチェーン全体のサイバーセキュリティ向上のための 取引先とのパートナーシップの構築に向けて | 公正取引委員会 (jftc.go.jp)
との文書を、経産・公取共同文書を出してもらうことができた。要した期間は約半年、この世界では非常に迅速な対応だった。文書が出ただけでは不十分なので、両機関には個別業界や企業とのコミュニケーションを深め、文書に表現できなかったニュアンスを伝えるよう依頼を続けている。