この記事の要約

• サプライチェーンリスクの顕在化に伴い、委託先管理の複雑性が大きな課題となっている。
• インシデント発生に伴い、委託先だけでなく委託元にも迅速な対応が求められ、対応コストが発生する。
• 保険業界や自治体・教育機関では情報管理体制の強化が進み、規制強化に伴う対策が求められている。
• 委託元はリスクを適切に分析し、リスク低減のためのセキュリティ対策を講じることが重要。

国内組織における情報漏えい等にかかるセキュリティインシデントの集計結果からサプライチェーンリスクについて分析しました。下図は、2019年以後の半期毎での国内セキュリティインシデントに起因する公表組織数のうち、サプライチェーンを起因とするインシデントを抽出し、委託元企業と委託先企業それぞれが公表した件数を集計・比較したものになります。

（※1）比較グラフにおける過去データ（複数年・半期ごとの件数）については、前回レポート「2025年上半期国内セキュリティインシデント集計」に記載された集計グラフ（【図1】国内セキュリティインシデントに起因する公表組織数）の総数を基に、サプライチェーン起因のインシデントのみを抽出・分類しております。なお、本集計においては、委託元企業と委託先組織の関係が必ずしもすべて明確に特定できているわけではありません。そのため、委託元企業のみが公表しており、対応する委託先の公表が確認できない事例も含まれています。詳細については、以下のリンク先をご参照ください。
2025年上半期国内セキュリティインシデント集計

◆サプライチェーンリスクの傾向とセキュリティ強化の課題

サプライチェーンに起因するインシデントにおける委託先・委託元の公表組織数を比較したところ、大きな乖離が生じていることが明らかとなっています。特に2023年以降はその乖離幅が急激に拡大しています。図のグレー部分は当該集計期間のうち、1件の委託先（またはサービス事業者）における大規模インシデントにより、影響を受けて公表に至った委託元企業の数の最大値を示しています（2025年上半期で言えば、1件のインシデントで委託元企業281社が影響を受けたと公表）。このようなケースの発生により、委託先での1件のインシデントに対して複数の委託元企業が被害を公表することになり、委託先と委託元の公表件数に乖離が生じる主な要因となっています。なお、こうしたインシデントには、同一の委託先企業において複数年度や期間にわたって継続的に影響が及んだケースも含まれますが、すべてが同一企業で発生したものではありません。本集計から、2025年上半期には、委託先で発生した単一のセキュリティインシデントが、複数の委託元組織に波及している実態が従来に比べ顕著に表れています。
このような傾向は、1件のインシデントが多くの委託元企業に連鎖的影響を及ぼすサプライチェーンリスクの顕在化を示しており、外部委託やクラウドサービスの活用が進む中で、企業・組織は自社のセキュリティ対策だけでなく、委託先・取引先を含む広範なサプライチェーン全体のセキュリティ管理が不可欠となっています。

こうした背景を踏まえて、サプライチェーン全体のセキュリティを強化する上で、課題となるのが委託先管理の複雑性です。委託先ごとに異なる対策レベルや統制方法が存在するため、対策基準の統一が難しく、実務上の大きな課題となっています。このような状況における効果的な管理としては、十分なリスク分析やリスクの大きさに応じた重点的なチェック、事故発生時の影響を想定した対応策を準備しておくことなどが重要です。
特に、重要情報を含むファイルを委託先に渡すような場合には、そのファイルがサプライチェーン上でどのように扱われ、どのようなリスクに晒されるかを十分に考慮する必要があります。こうした課題に対しては、ファイル自体の暗号化に加え、アクセス権限や操作権限を管理できるIRM（Information Rights Management）製品を活用することで、委託先での情報管理を継続的に強化し、万が一の漏えい時にも不正利用を抑止できるなど、有効な対策となり得ます。

次に、委託先でのインシデント発生に対し、委託元はどのような対応を求められるのか見ていきます。

委託元のインシデント対応コスト

サプライチェーンリスクの顕在化に伴い、委託元など連鎖的に影響を受けた企業・団体においても、法的責任や社会的信頼への影響を回避するため、迅速かつ適切な対応が求められます。
一般的には、以下のような対応が考えられます。

• 個人情報保護委員会への報告
• 影響を受けた本人への通知
• プレスリリース・Webサイト等での公表
• 関係省庁や所轄官庁への連絡
• IPA（情報処理推進機構）の参考資料活用と再発防止策の策定

個人情報保護委員会への報告や、影響を受けた本人への通知、プレスリリース等による公表といった対応は透明性確保の措置になります。また、金融や教育といった業種においては、所轄官庁への報告義務が定められている場合があり、業界ごとの対応も必要となる場合があります。また、IPA（情報処理推進機構）が提供するガイドラインなど参照し、初動対応や再発防止策の策定を行うことも重要となります。委託先に起因するインシデントであっても、委託元が保有する個人情報が対象となる場合、こうした対応コストが発生する場合があります。

実際に保険会社や保険代理店、卒業アルバム制作会社など、サプライチェーンに関わる事業者でインシデントが相次いで発生している現状を受けて、単に個々の被害防止策を講じるだけでなく、各分野・機関において情報管理体制の強化が進みつつあります。特に、インシデントが各種ガイドラインなどにどのような影響を与え、組織全体の運用や規程がどのように変化しているかに注目する必要があります。ここからは、これらの動向を踏まえ、各分野・機関における規制強化や情報管理体制の変化について詳しく見ていきます。

保険業界や自治体・教育機関の動向と規制強化の流れ

保険業界においては、近年内部不正やサイバー攻撃による顧客情報流出が相次いで報告されていることから、金融庁による業務改善命令に加えて各種ガイドラインの策定が進んでおり、個人情報保護指針の強化や委託先監督の厳格化など、業界全体が対応を迫られています。

個人情報保護委員会・金融庁策定「金融分野における個人情報保護に関するガイドライン」
金融機関が個人データを適切に扱うための詳細ルールが示されており、安全管理措置について組織的・人的・物理的・技術的の観点から具体例が挙げられています。
例えばアクセス制御の徹底や暗号化の活用など技術的対策が推奨され、また個人データを委託先に提供する場合には委託元である金融機関が委託先を継続的に監督する責任があることが明確化されました。万一委託先で漏えいが起きても委託元の責任を問われ得るため、適切な委託先選定・契約・監査が必須とされています。

一般社団法人生命保険協会策定「業務品質評価基準 ガイドライン」
顧客情報保護が品質評価の中核に据えられ、個人データ管理台帳や委託先管理の徹底が求められています。
代理店が扱う顧客情報について誰に提供しどのように管理しているかを把握・記録することが求められています。

金融庁「保険会社向けの総合的な監督指針」の一部改正(案)公表
「顧客等に関する情報管理態勢の整備」が改正事項の一つに掲げられています。今後保険会社は顧客情報の取り扱いルールや管理プロセスを一段と強化することが求められています。

また、複数の卒業アルバム制作企業においては、ランサムウェア被害により個人情報が流出した事例が相次いで発生しました。このような情報流出の事例を契機に、自治体や学校現場では卒業アルバム制作の外部委託業者選定や委託契約時における個人情報保護対策などを実施・検討する動きが広がっています。
実際に札幌市教育委員会では、写真館等の外部事業者と書面による情報管理の取り決めを結ぶ方針を新たに決定するなどの報道も出ており（※2）、情報管理の強化に取り組んでいます。
（※2）2025年8月28日北海道新聞（デジタル版）「卒業アルバム制作の個人情報管理を強化　札幌市教委　9500人分漏洩受け」


サプライチェーンに起因するインシデントが顕著となり、各分野・機関においても対策や規制強化が進む中、委託先のみならず、委託元自らもリスクを把握し、対策を講じておく必要性は一層高まっています。

おわりに

国内のセキュリティインシデントに関する集計データをもとに、サプライチェーンリスクの拡大傾向について分析しました。特に近年は、外部委託先のインシデントが委託元を含む広範な組織へと波及し、その影響範囲が拡大している実態が明らかとなりました。
このような状況下においては、もはや自社単体のセキュリティ対策だけでは不十分であり、委託先や取引先も含めた「サプライチェーン全体のセキュリティ管理」が課題として求められています。また、規制や各種ガイドラインの整備が進む中で、企業・団体は情報管理体制の強化とともに、技術的対策としてIRM製品のようなファイル単位での制御手段の導入や、IDaaS製品のような統合的なID管理と認証基盤によるアクセス制御手段の導入といったリスク低減に向けた具体的な取り組みが急務です。
サプライチェーンリスクが顕在化する中、今後委託元としての責任を果たす上でも、単なる委託先の監督を超えた実効性あるセキュリティ対策と、インシデント発生時に迅速に対応するための体制整備が一層重要となるでしょう。