自社の販路リスクを最小化!サプライチェーンリスクマネジメントとは

この記事は約6分で読めます。

ITの進化DXの普及、さらにビジネスのグローバル化などの影響で、ソフトウェアやサービスの開発の一部を自社以外の第三者の企業に委託するケースが増えてきました。
自社だけでなく他社も含めて開発を行う一連のプロセスをサプライチェーンと呼び、そのリスクマネジメントの重要性が高まっています。

この記事では、サプライチェーンリスクの概要と顕在化した事例、さらにそのポイントまで詳しくご紹介します。

サプライチェーンの内容をおさらい

サプライチェーンとは、特定の製品について原材料の生産から、消費者に届くまでの一連の過程のことを表す言葉です。

一般的に製品を生産して消費者に届くまでには、各製品を提供する製品サプライヤーが下請けの業者に必要に応じて部品の製作などを依頼し、下請け業者が工場などで生産し、消費者の元へ届けるというプロセスが実行されます。

このサプライチェーンは、製品の生産だけでなく、購入後の運用・保守などのサービスについても同様のことがいえます。さらにコンピューターで動作するソフトウェアも同様です。このようにサプライチェーンの考え方は、さまざまな生産物に取り入れられています。

サプライチェーンのリスクとは

サプライチェーンは多くの工程から成り立っており、現在のようなグローバル社会においては、下請け業者は日本だけでなく、アジアなどの他の国々の企業が含まれています。

サプライチェーンを構成する企業の中には、管理体制が悪く、業務に対する意識が低い企業もあり、様々なリスクが生じることがあります。例えば、再委託業者による機密情報の搾取や、廃棄委託業者による情報横領などの犯罪が発生したこともあります。

サプライチェーンリスクマネジメント(SCRM)とは

サプライチェーンリスクマネジメントとは、サプライチェーンを構成する第三者が提供するサービスを利用する場合において、自社の財務、評判、セキュリティなどへのリスクを最小限に抑えるためのプロセスのことです。

従来ではBCP(事業継続計画)のために取り入れられたサプライチェーンリスクマネジメントですが、現在では、多発するセキュリティ事故へのセキュリティ対策や管理のために欠かせないものとなっています。

サプライチェーンリスクに関する動向

サプライチェーンリスクについては、IPAが発表している「情報セキュリティ10大脅威 2021」において、「サプライチェーンの弱点を悪用した攻撃の高まり」が4位にランクインしています。さらに、サイバーセキュリティ経営ガイドラインv2.0でも、サプライチェーン全体でのセキュリティ対策の必要性が取り上げられています。

具体的には、サプライチェーンを構成しているビジネスパートナーにおいて、適切なセキュリティ対策が行われていなければ、その企業を踏み台として自社が攻撃されるおそれがあり、さら他者への2次被害を及ぼす加害者となってしまう恐れもあるということです。

IPAが発表している「ITサプライチェーンの業務委託におけるセキュリティインシデント及びマネジメントに関する調査」の報告書によると、日本においては、情報通信業以外の委託元は過半数が、実施すべき情報セキュリティ対策を仕様書等で委託先に明示していないことが示されています。
特に、製造業では71.1%、卸売・小売業で74.2%が明記しておらず、顕著です

この結果から、サプライチェーン全体でのセキュリティリスクを認識していながら、実際には実施すべきセキュリティ対策が明示されている企業は半数以下程度であることがわかります。

サプライチェーンリスクが顕在化した事例

ここでは国内でサプライチェーンリスクが顕在化した事例を3つご紹介いたします。

2900万件の個人情報の漏えい

大手教育サービス企業では、個人情報の管理をグループ会社へ委託していました。
その大手教育サービス企業の会員に対して、全く関係のない企業からのダイレクトメールが届くようになり、会員から大手教育サービス企業に対して問い合わせがあり、調査の結果、2900万件の個人情報が漏洩していることが発覚しました。

原因は、個人情報を管理しているグループ会社が、情報システムの管理を別の企業へ再委託しており、その再委託された企業の従業員が不正に個人情報を入手して、名簿業者への売却を繰り返していたことでした。

この情報漏洩への対応により、大手教育サービス企業では260億円が特別損失として計上されてしまいました。

住民データ21万件余りが漏えい

1999年5月に、ある地方公共団体において、民間業者の持ち込んだ外部記憶媒体により住民データが流出し、目名簿業者によってインターネット上で販売された事件が発生しました。

これによりプライバシーが侵害されたとして、市民が損賠賠償請求訴訟を起こしました。その結果、地方公共団体に対し、一人あたり1万円の慰謝料支払いを命じる判決が下されています。

使用済みHDDをネットオークションで転売

2019年2月に、ある自治体が行政文書などを保存していたHDDを処分する過程において、そのHDDが適切に処分されず、ネットオークションで転売されていたことが明らかになりました。

原因は、HDDの処分を担当していた企業に勤める社員によるファイルサーバのHDDの転売です。これにより個人情報を含む内部のデータが流出する結果となりました。

これを受けてHDDの処分を担当していた企業は、全従業員の1割にあたる従業員を解雇し、5か所の事業所の閉鎖などの事業規模を縮小し、セキュリティ体制の見直しを行いました。また被告に対しては、懲役2年、執行猶予5年の有罪判決が言い渡されました。

サプライチェーンリスクマネジメントのポイント

さきほど紹介した事例よりわかることは、サプライチェーンリスクマネジメントのポイントは、自社だけではなく、業務に携わるすべての企業やシステムをマネジメントの対象とすることが必要である点です。

セキュリティ強度は、サプライチェーンの最も弱い部分で決まります。そのリスクマネジメントが弱い部分から、ほころびが生まれるのです。つまり自社やその他の企業のセキュリティ対策が十分な水準であっても、そのような弱い部分が1か所でもあれば、サプライチェーン全体でのセキュリティレベルは弱くなってしまします。

特に自社の業務の一部を委託する場合、委託先企業の選定時にセキュリティの観点を加え、対策状況を定期的に評価することが重要です。またインシデントが発生してしまった場合のために、契約書上で委託元と委託先の責任分界点を明確にすることも効果的です。

まとめ

今後もIT化やグローバル化などの進化にともない、サプライチェーンはさらに複雑化および多様化することが見込まれます。それにともないサプライチェーンにおけるリスクの不透明化とリスクの増大への対策も重要となります。

特に委託先が海外企業の場合、日本との文化や習慣の違いへの考慮も必要でしょう。サプライチェーンリスクマネジメントとしては、事前のリスク評価と調達先の適切な選定を徹底することが、何よりも重要なポイントとなります。

情報セキュリティ対策認証取得を目指すセキュリティ教育リスクマネジメント
タイトルとURLをコピーしました