サプライチェーンセキュリティ対策｜委託契約の12の重要ポイント

更新日：2025.05.07

はじめに

こんにちは、ディフェンシブセキュリティ部CSIRTアシスト課の小林雅哉です。

近ごろ、お客様から「サプライチェーンセキュリティ対策」のご相談をいただく機会が増えています。 IPAによる発表でも「サプライチェーンや委託先を狙った攻撃」は上位にランクインし、被害件数も増加傾向にあるなど、サプライチェーンセキュリティ対策の優先度は極めて高い状況です。

サプライチェーンセキュリティ対策に取り組むにあたって、技術面や統制面における対応はもちろん重要です。ただ、忘れてはならないのが「委託契約」における対応です。いくつかのインシデントでは、委託契約にてセキュリティ事項の理解と合意ができていなかったことが指摘されています。このように「委託契約」における対応も喫緊の課題の一つといえます。

課題が明らかである一方で、「委託契約で何をどのように書くべきか」の情報はまだ不足しています。そのため、本ブログでは委託契約にたずさわるご担当者様に向けて、英国国家保護安全保障局（NPSA）公開のSupply Chain Guidanceから委託契約の12の重要ポイントを解説します。

本ブログのユースケース及び免責事項

委託契約にセキュリティ事項を明記する場合や委託先とセキュリティ事項を調整する場合などに参考としてお使いください。ただし、法務部門などから法的観点のチェックを必ず得るようにお願いします。

本ブログで翻訳し、解説している内容は正確性の確保に努めておりますが、いかなる保証もしません。また、情報の利用によって何らかの損害が発生した場合でも、弊社は一切の責任を負いません。

委託契約の12の重要ポイント

本ブログでは、12の重要ポイントを「履行と免責」「情報通知」「監査と証跡」「事後処理」という区分で整理しています。まずは、全体像を把握していただき、気になる区分やポイントがあれば優先的にご確認することをお勧めします。

セキュリティ対策の履行と免責

1.必要基準への準拠・改善

契約文面の例：
セキュリティ対策が必要基準を満たさない場合、改善策と実施期限を明らかにすること

必要基準とは、社内ルールや公的ガイドラインを参考とし、取り扱う情報の重要度や関係するシステムの用途、環境に応じて内容や要求レベルの調整をした対策一覧（例：委託先チェックリスト）などが該当します。また、改善内容には対策完了までに生じるリスクや代替策も含みます。

2.対策責任の免責除外

契約文面の例：
「必要基準を満たすセキュリティ対策の実施責任」は免責としないこと

免責として、サイバー攻撃を明記してしまうと、故意や重過失を除いて委託先はその法的責任を免れる可能性があります。こうした場合では、「セキュリティ対策の不備」が重過失に当てはまるか否かという判断がキーとなってきますが、これには裁判を伴うなどの対立が生じることがあります。
このような対立を避けるためには、そもそもサイバー攻撃を免責としないことが挙げられますが、昨今の高度化するサイバー攻撃や社会不安の増加という状況を踏まえると、この対応は困難であるはずです。そのため、サイバー攻撃を免責に含まざるを得ない場合には、「必要基準を満たすセキュリティ対策の実施責任」は免責としないこととし、「ここまでは委託先で責任を持つべきである」という免責上の線引きについて、合意を図る対応が望まれます。

セキュリティ状況の情報通知

3.対策状況の変更

契約文面の例：
事前回答したセキュリティ対策に変更が生じた際には、遅滞なく必ず通知すること

セキュリティ対策の変更では、変更内容の背景や詳細をヒアリングするとともに、委託先の見解に関わらず必要基準に従ってセキュリティ対策の状況を再判断します。また、変更内容に合意できない場合の契約判断についても想定が必要です。

4.組織・環境の変更

契約文面の例：
セキュリティ状況に影響がある組織や環境に変更が生じた際には、遅滞なく必ず通知すること

組織や環境の変更とは、サービスの運営部門の統廃合やインフラの刷新などが該当します。こうした状況では、セキュリティ対策自体に変更はなくとも、運用における実施判断やエスカレーションフローなどに差異が生じる可能性があります。差異が及ぼす影響については、委託先の見解に関わらず再判断する必要があります。

5.オフショア化

契約文面の例：
共有した情報資産の取り扱いでオフショア化が生じた際には、遅滞なく必ず通知すること

オフショア化が生じた際は、現地法令への準拠が求められるほか、輸出規制による製品制限などにより、従来と同じセキュリティ対策を維持することができない可能性があります。この場合では、代替策の検討や委託範囲の見直しが必要です。

6.M&A・投資行為

契約文面の例：
既存事業に重大な影響があるM&Aや投資行為などがあった際には、遅滞なく必ず通知すること

M&Aや投資行為などでは、事業構造や企業文化に著しい変化が生じる可能性があります。セキュリティ対策の価値観が全く異なる状況もあるため、責任分界に対する前提的な条項などから、改めて互いの認識や立場をすり合わせることも必要です。

7.業務の再委託

契約文面の例：
再委託先が存在し、重要資産を取り扱う際には、遅滞なく必ず通知すること

再委託の存在を許容する場合では、サプライチェーンの中にセキュリティ統制から外れた企業が、意図せず紛れ込むことがあります。このような企業からの重要資産に対するアクセスは、不正アクセスとの区別が難しい場合もあります。この場合では、誤検知などにより監視業務や初期対応に支障をきたす可能性があるため、前もっての存在の把握と委託先を通じたセキュリティ統制の実施が必要です。

8.侵害・脆弱性検知

契約文面の例：
セキュリティ侵害や脆弱性を検知した際には、遅滞なく必ず通知すること

セキュリティ侵害や脆弱性の検知では、検知内容の詳細をヒアリングするとともに、委託先の見解に関わらず責任分界の前提に沿って、影響の程度を判断する必要があります。また、委託先だけでは対応が困難となる状況もあるため、技術支援も含めた事前合意が必要です。

セキュリティ状況の監査と証跡

9.セキュリティ対策の違反

契約文面の例：
事前合意したセキュリティ対策に違反が生じた際には、その都度の監査を受けること

セキュリティ対策の違反は、ルールの無視や手順の省略など人的対策や組織的対策にて発生しがちです。例えば、セキュリティ対策の負荷が高すぎる、理解が浸透していない、などが考えられます。これらの状況を放置するとセキュリティ対策の違反が常態化する危険が高まるため、監査を通じて根本原因の特定と再発防止を図ることが必要です。

10.インシデント発生・契約変更

契約文面の例：
インシデント発生や大幅な契約変更があった際には、その都度の監査を受けること

インシデント発生や大幅な契約変更では、セキュリティ対策状況の変化に注意が必要です。例えば、セキュリティ対策の違反を見過ごしている、契約変更に応じた運用変更が間に合っていない、などが起きている可能性があります。委託先だけでは実務対応に追われ、これらのセキュリティ対策状況の変化に気付きにくい状況もあるため、監査を通じた注意喚起や対応支援が必要です。

11.事前合意の遵守・証跡

契約文面の例：
セキュリティ対策の事前合意を遵守していることを証跡として提出すること

合意遵守の証跡では、監査結果の報告や脆弱性診断結果の報告などが該当します。とくに、重要システムや機密情報の取り扱いについては、実査に基づく画像や各種ログ、現場従業員からのインタビューなども含むことで、適切な運用状況であることを把握することができます。

契約終了に伴う事後処理

12.資産回収・セキュリティ対策の実施

契約文面の例：
「回収（返却）する資産」と「実施するセキュリティ対策」が詳細と共に明記されていること

回収（返却）する資産では、情報資産、情報機器のほか、身分証や鍵、アクセス権なども含まれます。回収漏れの資産は不正利用などのセキュリティリスクが極めて高いため、回収リストや回収手順を整備し、即時かつ確実な回収を行う必要があります。
実施するセキュリティ対策では、情報の削除や権限の無効化などの回収資産に対する付帯作業を明確化することが必要です。実施方式によっては、状態の復元が容易であるため回収資産の重要度なども考慮し、削除や無効化における実施方式を選択します。

まとめ

本ブログでは、委託契約の12の重要ポイントを解説しました。委託契約のなかでセキュリティ対策の観点を明らかにし、建設的な話し合いを進めることで、互いの理解不足や責任放棄といったサプライチェーンセキュリティ対策における根本的な問題の解消が期待できます。本ブログが、適切な委託契約による強固なサプライチェーンセキュリティ対策を実現するための一助となれば幸いです。

弊社ではCSIRTやセキュリティ担当部門に向けて、委託契約におけるセキュリティ基準の作成を含め、セキュリティインシデントに備えた組織づくりなどをご支援しています。お気軽にお問い合わせください。

セキュリティ部門向け支援の詳細はこちら

セキュリティ診断のことなら
お気軽にご相談ください

セキュリティ診断で発見された脆弱性と、具体的な内容・再現方法・リスク・対策方法を報告したレポートのサンプルをご覧いただけます。

お問い合わせ資料ダウンロード