ブログ

サイバーセキュリティ構築宣言と「競争の番人」-グレイゾーンの解消への提言

令和4年10月28日付けで、経済産業省・公正取引委員会から、「サプライチェーン全体のサイバーセキュリティ向上のための取引先とのパートナーシップの構築に向けて」というガイダンスが公表されています。

構成としては、

  • 第1 はじめに
  • 第2 中小企業等におけるサイバーセキュリティ対策
  • 第3 取引先との関係構築
  • 第4 おわりに

となっています。

ここで、注目したいのは、第3 取引先との関係構築 ということになります。特に、パートナーシップ構築宣言とそれに関連する発注者と請負者との関係について、競争法的な観点から、問題点が分析されています。ここで、パートナーシップ構築宣言というのは、

サプライチェーンの取引先や価値創造を図る事業者の皆様との連携・共存共栄を進めるということを「発注者」側の立場から企業の代表者の名前のもとに公表される宣言

ということができます。これに関連して、「優越的な地位の濫用」ということについて留意してください、というガイダンスになります。これを図示します。

 

 

 

 

 

 

 

 

 

この図は、A社とB社が、取引関係があって、その途上で、セキュリティパートナーシップ構築宣言を公表することにしたことを物語っています。その際に許容されない行為として、対策費の負担の無視、対価についての状況を無視した据え置き、特定のサービスの購入・利用強制などがあげられることを物語っています。

法的には、取引関係がなくても成り立ちうるのではないかなどの論点がありますが、その点は無視。

 

しかしながら、「優越的な地位の濫用」というのは、なかなか、その趣旨からも、難しい問題を抱えており、それを実際の問題に適用すると、難しい問題に直面することになります。それをみていきましょう。

1 質問と問題点

具体的な問題についてみていきます。

Q サイバー攻撃による被害によってサプライチェーンが分断され、物資やサービスの安定供給に支障が生じることのないよう、取引先の事業者に対し、サイバーセキュリティ対策の実施(例:有償のセキュリティサービスの利用、セキュリティの認証の取得、セキュリティ体制の構築)を要請することを検討していますが、独占禁止法又は下請法上、どのような行為が問題となりますか。

となっています。

このような質問に対して

発注側となる事業者が、取引の相手方に対し、サイバーセキュリティ対策の実施を要請すること自体が直ちに独占禁止法上問題となるものではありません。ただし、要請の方法や内容によっては、独占禁止法上の優越的地位の濫用として問題となることもあるため、注意が必要です。

となっています。

ここで、

優越的地位の濫用

下請法

となっています。

2 優越的地位の濫用について

2.1 条文と制度趣旨

ここで、優越的地位の濫用です。条文としては、独占禁止法2条9項5号になります。

五 自己の取引上の地位が相手方に優越していることを利用して、正常な商慣習に照らして不当に、次のいずれかに該当する行為をすること。

イ 継続して取引する相手方(新たに継続して取引しようとする相手方を含む。ロにおいて同じ。)に対して、当該取引に係る商品又は役務以外の商品又は役務を購入させること。

ロ 継続して取引する相手方に対して、自己のために金銭、役務その他の経済上の利益を提供させること。

ハ 取引の相手方からの取引に係る商品の受領を拒み、取引の相手方から取引に係る商品を受領した後当該商品を当該取引の相手方に引き取らせ、取引の相手方に対して取引の対価の支払を遅らせ、若しくはその額を減じ、その他取引の相手方に不利益となるように取引の条件を設定し、若しくは変更し、又は取引を実施すること。

でもって、解釈論としては、この体系的な位置づけが問題となっています。#個人的には、取引がなされていると、その取引の条件に違反した行為をなしたとしても、その是正のためのコストが係るので、そのコストを負担しきれない当事者は、取引の条件の不履行を甘受することになり、そのような事態は、非効率になるので、それを是正しようというものと考えています。 が、そのような観点をいう人は、いません。#

白石独禁法講義(9版)では、搾取規制説と間接的競争阻害規制説があるとしています。搾取規制説というのは、市場における搾取を規制するものと考える立場です。間接的競争阻害規制説というのは、搾取者が、他の競争者よりも不当に有利になるという点に注目する立場です。

優越的地位の濫用規制に関する独占禁止法上の基本的な考え方は、「優越的地位の濫用に関する独占禁止法上の考え方」(平成22年公正取引委員会)(以下、優越的な地位ガイドラインといいます)  で示されています。

この体系的な位置づけのところについて公正取引委員会は、

自己の取引上の地位が相手方に優越している一方の当事者が,取引の相手方に対し,その地位を利用して,正常な商慣習に照らして不当に不利益を与えることは,当該取引の相手方の自由かつ自主的な判断による取引を阻害するとともに,当該取引の相手方はその競争者との関係において競争上不利となる一方で,行為者はその競争者との関係において競争上有利となるおそれがあるものである。

としています。

2.2 優越的な地位/禁止される行為

2.2.1 優越的な地位

優越的な地位ガイドラインでは、

甲が取引先である乙に対して優越した地位にあるとは,乙にとって甲との取引の継続が困難になることが事業経営上大きな支障を来すため,甲が乙にとって著しく不利益な要請等を行っても,乙がこれを受け入れざるを得ないような場合である。

とされていて、具体的には、乙の甲に対する取引依存度,甲の市場における地位,乙にとっての取引先変更の可能性,その他甲と取引することの必要性を示す具体的事実を総合的に考慮する、とされています。

2.2.2 濫用となる行為類型

具体的な行為類型としては

  • 購入・利用強制(独占禁止法第2条第9項第5号イ)
  • 金銭・役務その他の利益の提供(独占禁止法第2条第9項第5号ロ)
  • 受領拒否・返品・支払遅延及び減額(独占禁止法第2条第9項第5号ハ )

があげられています。

3 下請法

下請代金支払遅延等防止法(下請法)は

下請代金の支払遅延等を防止することによつて、親事業者の下請事業者に対する取引を公正ならしめるとともに、下請事業者の利益を保護し、もつて国民経済の健全な発達に寄与することを目的とする

法律です。概要は、公正取引委員会のページです。

第2条第1項~第8項)
下請法の対象となる取引事業者の資本金規模取引の内容で定義されています。具体的には、(1)物品の製造・修理委託及び政令で定める情報成果物・役務提供委託を行う場合 と(2)情報成果物作成・役務提供委託を行う場合((1)の情報成果物・役務提供委託を除く。)によって異なります。

ちなみに「情報成果物作成委託」とは、

事業者が業として行う提供若しくは業として請け負う作成の目的たる情報成果物の作成の行為の全部又は一部を他の事業者に委託すること及び事業者がその使用する情報成果物の作成を業として行う場合にその情報成果物の作成の行為の全部又は一部を他の事業者に委託することをいう。

となります。情報成果物とは

一 プログラム(電子計算機に対する指令であつて、一の結果を得ることができるように組み合わされたものをいう。)
二 映画、放送番組その他影像又は音声その他の音響により構成されるもの
三 文字、図形若しくは記号若しくはこれらの結合又はこれらと色彩との結合により構成されるもの
四 前三号に掲げるもののほか、これらに類するもので政令で定めるもの

となります。ポイント解説は、こちらです。

禁止事項は、4条です。

禁止事項 概要
受領拒否(第1項第1号) 注文した物品等の受領を拒むこと。
下請代金の支払遅延(第1項第2号) 下請代金を受領後60日以内に定められた支払期日までに支払わないこと。
下請代金の減額(第1項第3号) あらかじめ定めた下請代金を減額すること。
返品(第1項第4号) 受け取った物を返品すること。
買いたたき(第1項第5号) 類似品等の価格又は市価に比べて著しく低い下請代金を不当に定めること。
購入・利用強制(第1項第6号) 親事業者が指定する物・役務を強制的に購入・利用させること。
報復措置(第1項第7号) 下請事業者が親事業者の不公正な行為を公正取引委員会又は中小企業庁に知らせたことを理由としてその下請事業者に対して,取引数量の削減・取引停止等の不利益な取扱いをすること。
有償支給原材料等の対価の早期決済(第2項第1号) 有償で支給した原材料等の対価を,当該原材料等を用いた給付に係る下請代金の支払期日より早い時期に相殺したり支払わせたりすること。
割引困難な手形の交付(第2項第2号) 一般の金融機関で割引を受けることが困難であると認められる手形を交付すること。
不当な経済上の利益の提供要請(第2項第3号) 下請事業者から金銭,労務の提供等をさせること。
不当な給付内容の変更及び不当なやり直し(第2項第4号) 費用を負担せずに注文内容を変更し,又は受領後にやり直しをさせること。
となります。

4 サイバーセキュリティとの関係で問題となる行為

検討の都合上、順番を変更します。

4.1 対策費の負担の要請

上のガイダンスを質問風に改変すると以下のようになるかと思います。

Q 取引の相手方に対し、セキュリティ対策費の負担額及びその算出根拠等について、取引の相手方との間で明確にせずにセキュリティ対策の負担を要請することは、許されますか?

これは、

取引の相手方にあらかじめ計算できない不利益を与えることとなる場合や、取引の相手方が得る直接の利益等を勘案して合理的であると認められる範囲を超えた負担となり、取引の相手方に不利益を与えることとなる場合には、独占禁止法上問題

となることになります。

これは、#(私見からすると-以下、私見については#をつけます)法的に分析すると、従来の取引関係について、サイバーセキュリティ対策の要請から変更を要請することになります。もし、取引の相手方が、この変更に応じない(セキュリティ対策を講じるつもりはない)ということになれば、契約関係を維持することはできないという契約の要素とでもいうべきことかと思います。だからといって、#一方的に、コスト上昇分を考慮することなく、従来の取引条件のままで取引を継続しろということはゆるされません。#それは、従来の契約関係をそのまま維持しうるか、という問題についての検討を取引の相手方に押しつけることになります。

言い換えれば、#事前に一定のセキュリティ対策をなしていることを明らかにしていることは、この例外になりますし、また、社会経済の意識・動向によって、そのような一定のセキュリティ対策が、あるレベルの取引については、当然に求められるべきとされるようなセキュリティ対策については合理的であると認められる範囲を超えた負担とはいえないものと考えられます。#

ここで、当然に求められるべきとされるようなセキュリティ対策 というものが、どのようなものか、という論点はありうるかと思います。

  • (1) 情報取扱者等の指定
  • (2) 情報取扱者等への教育・周知の計画策定
  • (3)情報の取り扱いに関する計画策定

などについては、#現在の時点で、契約の条項/もしくは、契約の変更の条件として要求したとしても、当然である#といえるように思えます。

むしろ、問題は、果たして、私の上に述べた

事前に一定のセキュリティ対策をなしていることを明らかにしていることは、この例外になりますし、また、社会経済の意識・動向によって、そのような一定のセキュリティ対策が、あるレベルの取引については、当然に求められるべきとされるようなセキュリティ対策については合理的であると認められる範囲を超えた負担とはいえないものと考えられます。

という見解について公取委において同意してもらえるのかどうか、ということと思います。公取委としては、具体的な事件が起きてみないとなんともいえません、ということになりますが、むしろ、この論点について、セキュリティ業界と公取委で、取引の実態を明らかにして、ホワイトゾーンを明らかにしていくことが求められるような気がしています。

4.2 取引の対価の決定

上の理屈は

Q 取引の相手方に対し、有償のセキュリティサービスの利用やセキュリティの認証の取得を要請したにもかかわらず、コスト上昇分の取引価格への反映の必要性について、価格の交渉の場において明示的に協議することなく、従来どおりに取引価格を据え置くことは、法的に問題がありますか?

という質問についても同様ということになります。これについては、

サイバーセキュリティ対策の要請を行い、サイバーセキュリティ対策の実施によって取引の相手方に生じるコスト上昇分を考慮することなく、一方的に著しく低い対価を定める場合には、独占禁止法上問題となります。

とされます。

 このため、違反行為の未然防止を図る観点からは、積極的に価格の交渉の機会を設け、取引の相手方と十分に協議を行い、サイバーセキュリティ対策の内容や費用負担の在り方を決定することが望まれます。

これは、

取引の相手方に対し、セキュリティ対策責任者の設置、従業員へのセキュリティ教育の実施、サイバー攻撃による被害発生時における自らが定めた対処フローの遵守など、セキュリティ体制の構築を要請した結果、人件費などのコスト上昇を理由とする取引価格の引上げを求められたにもかかわらず、それに応じない理由を書面、電子メール等で取引の相手方に回答することなく、従来どおりに取引価格を据え置くこと

についても同様です。

  • 当然に求められるべきとされるようなセキュリティ対策 というものが、どのようなものか、また、
  • それを越えて、積極的に価格の交渉の機会を設け、取引の相手方と十分に協議すべき特段の負担というのにはどのようなものがあるのか

という問題をひきおこすことになります。

例えば、LINE事件で惹起されたデータ保存確認の紙吹雪の問題があります。取引先に、どこのサーバで保存されているのかを確認して、国内で保存されていることを確かにしなさいと取引の途上でするというのは、どうでしょうか。保存場所の確認のレターに回答することを求めるというのは、取引の途上において、許容される行為に思えますが、特定の場所での保存を求めるというのは、できるのでしょうか、ということになります。

4.3 購入・利用強制

 

Q 取引の相手方に対し、セキュリティ対策として、取引の相手方にたいして、自己の指定する商品の購入や役務の利用を条件とすることは許されますか

という質問についても同様ということになります。これについては、公取委からの回答は

取引の相手方が、サイバーセキュリティ対策の実施の要請を受け、当該要請と同等又はそれ以上のサイバーセキュリティ対策を講じているため、新たなセキュリティサービスを利用する必要がないにもかかわらず、自己の指定する事業者が提供するより高価なセキュリティサービスを利用することを要請し、当該事業者から利用させることは、独占禁止法上問題となります。

となります。

では、当該要請と同等又はそれ以上のサイバーセキュリティ対策を講じているため、新たなセキュリティサービスを利用する必要がない場合における

特段のサイバーセキュリティ対策

として、具体的にどのようなものがあるのか、また、そのような特別のサービスというのは、何なのか、という問題があります。例えば、現在、非常にその必要性に注目されているものに、SIEM(Security information and event management)というサービスがあります。(意外と知らない?ITトレンド用語 SIEMとは)

SIEM(Security Information and Event Management)とは、ファイアウォールやIDS/IPS、プロキシなどから出力されるログやデータを一元的に集約し、それらのデータを組み合わせて相関分析を行うことにより、ネットワークの監視やサイバー攻撃やマルウェア感染などのインシデントを検知することを目的とした仕組みです。

例えば、A社が、その自らの情報処理に、SIEMを採用した時に、その取引先に、同様のSIEMの導入をもとめるというのは、許容されるのでしょうか。また、SIEMについては、セキュリティベンダによる分析・レスポンスなども合わされて提供される場合があります。このような場合には、これが、表面的には

自己の指定する事業者が提供するより高価なセキュリティサービスを利用することを要請

することになります。しかしながら、自分のサービスにおけるサイバーセキュリティの充実という観点からするとき、取引先についても、上述のサービスの導入をもとめることは、競争上、合理性がありますし、それも認めることは競争促進効果をも考えることができます。

上で述べたように、これが、いわは、「特段のサイバーセキュリティ対策」といえるものであるとしても、#事前に、このようなセキュリティ対策をなしていることを取引の条件にすることは許容されることになると考えられます。また、継続的な取引途上において、条件を変更することになるとしても、それ自体、費用等についての積極的な意見交換がなされることになるのであれば、許容されるということになるはずです。#

5 問題になる行為と許容される行為/コンプライアンス確保のために

このように考えていくと、サイバーセキュリティ対策のためにパートナーシップの構築がなされることは、必要なことですが、その場合に、競争法的な観点が入ってくることもそのとおりです。

しかしながら、優越的な地位の濫用については、何が悪いのか というのがはっきりせずに、搾取であるというもとにグレイゾーンが強調されやすいという弊害も指摘されるかと思います。その意味で、サイバーセキュリティ業界としては、このコンプライアンス確保のために正しい知識のアウトリーチと上で指摘されたグレイゾーンの周辺を明確化する努力がもとめられるのではないか、と考えています。

関連記事

  1. プロバイダ責任制限法の数奇な運命-導管(conduit)プロバイ…
  2. プライバシーサンドボックス、FLoC、FLEDGEとは、何か?
  3. 英国におけるデジタル市場・競争・消費者法案の動向
  4. 「公然性ある通信」再訪-「電気通信サービスにおける情報流通ルール…
  5. IT法研究部会セミナー「デジタル証拠の現在と未来」
  6. 弁護士ドットコムにフォレンジックスとドキュメント管理の解説が掲載…
  7. ネットワーク中立性講義 その9 競争から考える(1)
  8. AI時代の証券取引(その1)
PAGE TOP