経済安全保障推進法が2022年5月に成立しました。経済安全保障とは、国の平和と安全、経済的な繁栄を確保するために、経済的な手段を用いることを指します。
これまでの国際経済は、自由貿易や国際分業を通じて利益や効率化を追求することが主眼でした。しかし、最近では経済や技術を武器として使い、他国に影響を与えることで国の安全を守る方向にシフトしています。
この法律では、特定の企業に対して、設備の供給者や委託先についての事前の届出と審査が義務付けられています。ここでは、特に委託先管理に与える影響や、委託先管理担当者が行うべきことについて、わかりやすく説明します。
他社の委託先リスク管理の取組については、実態調査も公開しております。こちらも合わせてご覧ください。
1. 経済安全保障推進法とは
経済安全保障推進法は下記を目的に制定されています。
平和と安全、経済的な繁栄等の国益を経済上の措置を講じて確保すること |
内容は主に下記の4本柱で構成されています。
4本柱 | 対象領域・業種 | |
1 |
重要物資の安定的な供給の確保 |
抗菌性物質製剤、肥料、永久磁石、工作機械・産業用ロボット、航空機の部品、半導体、蓄電池、クラウドプログラム、天然ガス、重要鉱物及び船舶の部品の11物資 |
2 |
基幹インフラ役務の安定的な提供の確保 |
電気、ガス、石油、水道、鉄道、貨物自動車輸送、外航海運、航空、空港、電気通信、放送、郵便、金融、クレジットカードの14業種 |
3 |
先端的な重要技術の開発支援 |
海洋領域、宇宙・航空領域、領域横断・サイバー空間領域、バイオ領域 |
4 |
特許出願の非公開 |
航空機、武器、防護装置等の25分野 |
2. 経済安全保障推進法が委託先管理に及ぼす影響
経済安全保障の2つ目の柱「基幹インフラ役務の安定的な提供の確保」が委託先管理業務に関する規定となります。
この制度においては特定の業種で重要な設備を導入したり、重要な設備の維持管理の業務を委託する際に、そのサプライヤーや委託先に関する計画書の提出が義務付けられています。提出した計画書については審査が行われ、結果に応じて変更・中止等が求められことがあります。
また、届出は二次サプライヤーや再々委託先に関しても求められているため、対象となった企業だけでなく、サプライチェーン全体で同等のリスク管理措置が求められることとなります。
これらの施策の背景には、近年のインフラ事業者に対するサイバー攻撃の激化があります。2015年にはウクライナの変電所がサイバー攻撃によって停電、アメリカでもサイバー攻撃によりパイプラインの操業が停止した事案がありました。
インフラ事業の停止や障害は国の安全と経済を脅かす可能性があるため、政府はサプライヤーや委託先を事前に把握し、リスクを低減する必要があると判断したのです。
審査時に事前に提出する計画書については、重要設備のサプライヤーと重要維持管理等の委託先それぞれに対して、下記の事項が定められています。
<計画書の記載事項の例>
重要設備のサプライヤー |
重要維持管理等の委託先 |
●導入の内容および時期
●サプライヤーに関する事項
●導入設備を構成する設備、機器、装置又はプログラム
|
●委託の内容および時期
●委託先に関する事項
●再委託に関する事項
|
※詳細は各主務省令にて指定。上記以外に主務省令で定める事項もあり。
審査期間は原則として30日間となっており、審査が完了するまでは導入や維持管理を行うことはできません。審査結果に基づいた勧告に従わない場合は設備の導入等の中止が命令されるおそれがある他、事前審査を受けずに導入を行った場合は刑事罰のおそれもあります。
3. 委託先管理担当者が行うべきこと
委託先管理担当者は、基本指針に記載の審査時に考慮される要素(下記①~④)を理解しておく必要があります。まずは①国外にある主体から強い影響を受けているかどうか③設備の脆弱性や維持管理の不適切性が指摘された事例がないかを確認しておくこと、そして、②のリスク管理措置については実施状況の確認だけでなく、できていない場合には事前に契約書を交わしたり、改善を依頼していかなくてはなりません。
<審査での考慮要素> ①国外にある主体から強い影響を受けているかどうか |
上記をふまえて、委託先管理担当者が行うべきことを3つのポイントにまとめました。
- サプライヤー・委託先の洗い出し
経済安全保障推進法では、最終的に委託を受けたものまでが届出の対象となっています。二次請け・三次請けの業者が審査で問題ありとなる可能性も大いにあるため、まずは自社の製品・サービスに関するサプライチェーンの洗い出しを行うこといましょう。また、変更が言い渡された場合に備えて代替のサプライヤーや委託先があるかを確認しておくことも重要です。
2. リスク管理措置の制定と確認
リスク管理措置については、審査時にも実施状況を確認されます。そのため、サプライヤー・委託先にリスク管理措置を取れているかを契約時にチェックシート等で確認しておくだけでなく、それらをすぐに確認できるよう管理しておくことも重要です。
下記に基本指針に記載されているリスク管理措置の例を掲載しています。審査時には事業ごとの実体を踏まえて判断とあるため、下記の例を全て満たすことが求められるわけではなく、国際規格や業界のガイドライン等も参考に、自社における管理体制を定めることが必要となります。
<リスク管理措置の例>
◆特定重要設備の導入
- 調達時に指定した情報セキュリティ要件(最新のセキュリティパッチが適用されているか否か、不正プログラム対策ソフトウェアを最新化しているか否か等)の実装状況が確認できる。
- 製造環境において、アクセス可能な従業員を物理的(入退室管理等)かつ論理的(データやシステム等へのアクセス制御)に適切に制限していることが確認できる。
- サプライヤーによるサービス保証(故障対応や脆弱性対応等)が十分に講じられている。保守・点検等が受けられなくなった場合を想定して、代替手段の検討等の必要な対策を講じて いる。
- ランサムウェア等に感染した場合のバックアップ体制について、具体的な管理手順等が整備されて いる。
◆重要維持管理等の委託
- 委託先において特定重要設備の操作ログや作業履歴等の保管に関する手順が明確に定められており、ログの確認による不正行為の有無を定期的に確認している。
- 委託先が、作業担当者や管理責任者に対して、サイバーセキュリティに関する教育や研修を年間1回以上実施している。
- 委託先が再委託を行うに当たり、契約前に特定社会基盤事業者の承認を得ることを要件としている。
- 委託先が再委託を行うに当たっては、再委託を受ける者に対し、自らと同等のサイバーセキュリティ対策を講ずることを条件として設定することを 契約等により担保している。
- 委託先の事業計画及び役務の提供実績等を適切に確認している。
◆管理体制の確認
- サプライヤーや委託先が、過去3年間の実績を含め、国内の関連法規や国際的に受け入れられた基準に反していないことを契約等により確認している。
- サプライヤーや委託先が外国の法的環境や外部の指示により、契約違反をする可能性がある場合、委託元に報告することが契約等により担保されている。
- サプライヤーや委託先の名称・所在地、役員や資本関係等、事業計画や実績、設備又は部品の製造等や重要維持管理等の実施場所、作業に従事する者の所属・専門性等に関する情報提供を受けられることが契約等により担保されている。
3. 定期的なモニタリング
既に契約のあるサプライヤー・委託先についても定期的なモニタリングを行い、リスク管理措置が取れているかを確認する必要があります。自社の製品・サービスの供給者・委託先が常にきちんとリスク管理措置が取れていることを確認し、そうでない場合には改善依頼を行えるよう体制を整えておきましょう。
アトミテックでは、300人の担当者を対象とした委託先リスク管理の実態調査を公開しています。下記バナーよりダウンロードいただけます。
参考資料
内閣府 ”経済施策を一体的に講ずることによる安全保障の確保の推進に関する法律(経済安全保障推進法)”
https://www.cao.go.jp/keizai_anzen_hosho/index.html
内閣府 ”重要物資の安定的な供給の確保に関する制度”
https://www.cao.go.jp/keizai_anzen_hosho/supply_chain.html#bshitei
内閣府 ”基幹インフラ役務の安定的な提供の確保に関する制度”
https://www.cao.go.jp/keizai_anzen_hosho/infra.html
経済安全保障推進会議 ”経済安全保障重要技術育成プログラム 研究開発ビジョン(第二次)”
https://www8.cao.go.jp/cstp/anzen_anshin/siryo1.pdf
内閣府 ”特定技術分野及び付加要件の概要”
https://www.cao.go.jp/keizai_anzen_hosho/doc/tokutei_gijutsu_bunya.pdf