2020年、コロナウイルス感染症の拡大により、多くの企業が製品やサービスを供給できない事態に陥ったこともあり、以前よりもサプライチェーンリスクマネジメント(SCRM)に注目が集まっています。もともと事業のDX化やビジネスのグローバル化によって起こるリスクに対処するために生まれた考え方ですが、近年は特に情報セキュリティの分野で欠かせないものとして、政府もその重要性を強調しています。
事業継続計画(BCP)の観点からもサプライチェーンリスクマネジメントは必須ですが、どのように取り入れるべきか分からない方もいるでしょう。そこで、本記事ではSCRMの必要性と役割について解説します。
サプライチェーンとは?
私たちが普段、何気なく手にしている商品や製品は、「原材料・部品の仕入れ」「製造」「在庫管理」「配送」「販売」などの過程を経て「消費」されます。この供給の流れ全体を、ひとつのサイクルとして捉えた考え方が「サプライチェーン」です。日本語ではサプライ(供給)チェーン(連鎖)を組み合わせて、供給連鎖と訳されます。
なお、現代は多様な商材が展開されていることから、ITシステムやサービス、電子データなど、ITコンテンツの供給網もサプライチェーンの概念に含まれます。
サプライチェーンおよびSCM(サプライチェーンマネジメント)については以下の記事で解説しています。
関連記事:サプライ チェーンとは?マネジメントの重要性や近年の動向について解説
関連記事:SCM(サプライチェーンマネジメント)とは?必要性が高まる背景やシステムの構成要素をご紹介
サプライチェーンリスクマネジメント(SCRM)について
サプライチェーンにはさまざまなリスクが存在します。これらを事前に予測・特定・評価し、サプライチェーンが寸断しないように必要に応じた対策を計画的に実施することを、「サプライチェーンリスクマネジメント(SCRM)」といいます。
昨今は、グローバルバリューチェーン(GVC)と呼ばれる、製造業の開発・デザイン・マーケティング、部品の製造、組み立てといった生産プロセスの国際分業化が多くの分野で見られるようになりました。しかしながら、GVCによりさまざまな製品を低コストで製造できるようになった反面、製造に関わる国・企業・製造プロセスが増えたことにより、リスク要因も増えました。
また、インターネットやクラウドサービスなどのITインフラの急速な発展により、コンテンツのデータ化が進み、非常に便利な世の中になりました。一方、こうしたデジタル化による利便性の向上の裏では、サイバーセキュリティに関する事件が多発しており、リスクへの対応の重要性が高まっています。例えば、ICTによる製品やサービスを製造・流通する過程では、不正なプログラムやファームウェアの組み込み、データ改ざんなどのサイバーセキュリティに関するリスクが問題となっています。
特に対応を迫られているのが、深刻化・複雑化し続けるサイバー攻撃です。状況によっては深刻な被害が生じることがあり、不正アクセスによる個人情報の流出・スマホなどのデジタル決済の不正利用・マルウェアによる攻撃など被害の内容は多岐にわたります。そして、サプライチェーンに対する攻撃も例外ではありません。複雑化した供給網の弱点を突くサプライチェーン攻撃は、企業の存続を左右する深刻な問題となり得るのです。
ここからは、種々のリスクや脅威に対抗するための施策であるSCRMの動向について詳しく解説していきます。
サプライチェーンリスクマネジメント(SCRM)の動向
IT化の促進を担う組織の情報処理推進機構、略称IPA( Information-technology Promotion Agency, Japan)が発表した「情報セキュリティ10大脅威 2020」の中で、「サプライチェーン攻撃」は2年連続で4位と、上位にランキングされています。このランキングからも、サプライチェーン攻撃が深刻な問題であり、対応策であるSCRMの重要性が分かります。
ここでは、昨今の国内外のSCRMの動向を解説します。
日本の動向
IPAの調査により、日本企業ではSCRMの対応が思うように進んでいないことが判明しました。特に実際にリスクが顕在化した場合、業務委託元、委託先のどちらの責任範囲かが明瞭になっていないという課題が指摘されています。
もちろん委託先企業が、セキュリティ対策を意識的に行うことは重要です。実際に仕様書などには「リスクが生じた際の適切・迅速な初動対応と報告の実施」「重要な情報を扱う際の取り扱い手順規定」などを委託先企業が最低限実施すべきセキュリティ対策の上位項目としてあらかじめ明記して運用し、リスクの低減に努めています。しかし、SCRMの観点では、委託元企業が必要なセキュリティ対策を、委託する業務の内容から具体的に伝えることが求められます。
そこで、IPAは「ITサプライチェーンの業務委託におけるセキュリティインシデント及びマネジメントに関する調査」を公表しました。調査の中で「セキュリティ対策の責任範囲が明確ではない」「そもそも情報セキュリティについての依頼の仕方が分からない」という回答が多いことなど、さまざまな問題点を指摘しました。
また、経産省も「サイバーセキュリティ経営ガイドラインVer. 2.0」を公表し、「自社はもちろんのこと、ビジネスパートナーや委託先も含めたサプライチェーンに対するセキュリティ対策が必要」と現状に危機感を募らせています。
そして、対策が後手に回り被害が顕在化する国内の状況を鑑みて、2020年11月、SCRMを推進する機関「サプライチェーン・サイバーセキュリティ・コンソーシアム(SC3)」が設立されました。事務局はIPA内に置かれ、オブザーバーとして経産省も参加し、中小企業から大企業までサプライチェーン全体を対象とした啓蒙活動を行っています。
海外の動向
海外は日本よりSCRMの対応が進んでいます。
EUでは、2018年にGDPR(General Data Protection Regulation)が施行されました。これは顧客の個人データ保護を厳格に規定するものです。加えて、ネットワーク機器の認証規定をするという動向もあります。
アメリカは、2017年に米国国立標準技術研究所、NIST(National Institute of Standards and Technology)が提示したガイドライン「NIST SP800-171」にSCRMについて明記し、普及に努めています。これは、調達先企業などで保全が必要な情報、CUI(Controlled Unclassified Information)を取り扱うには、14分野109項目に及ぶセキュリティ要件を遵守しなければならないとするガイドラインです。つまり、セキュリティ要件を満たせない、リスク対策が実施できない企業は、アメリカの政府機関と取引ができず、国際的な市場に参加できないということです。
サプライチェーンリスクの事例
情報セキュリティの分野でも、サプライチェーンにおけるセキュリティリスクが深刻な問題となっています。IPAは「不正アクセス」「内部不正」「人的ミス」の3点を、サプライチェーンを起因とした情報セキュリティ問題の事例として挙げています。ここでは、3つのリスクについて詳しく解説します。
不正アクセス
最も多く見られるサプライチェーンのセキュリティ問題は、インターネットからの不正アクセスです。社内システムに委託先企業のシステム経由で不正アクセスされてしまい、従業員の個人情報や、顧客情報などが漏えいしたという事例が多数あります。
実際に顧客からの不正利用に関する問い合わせを受け、調査を行った結果、運用システムの脆弱性を突いた不正アクセスと情報漏えいが発覚し、企業の信用問題に関わる事態に発展したものもあります。
内部不正
内部不正は、信頼している委託先企業が不正を行うという、サプライチェーンのセキュリティ問題としては最も悪質なものです。実際に、委託先企業の従業員が外部記憶媒体を用いて顧客情報を持ち出し、数十回にわたり業者へ情報を販売していたという事例が見つかっています。ほかにも、入手した顧客情報からキャッシュカードを偽装し、顧客の口座から現金を不正に引き出した事例もあります。
サプライチェーン関係者はある程度の権限を持っていることから、被害の発覚まで時間を要して甚大な被害をもたらしてしまうことも珍しくありません。
人的ミス
人的ミスにはシステムの単純な操作や設定のミスと、運用体制の不備により引き起こされるミスがあります。
単純なミスで発生したものとしては、顧客情報の管理を委託されていた企業によって、URLさえ分かれば誰でも他人の顧客情報にアクセスできる状態になっていた例などが挙げられます。また、委託元企業が行ったスマートフォンアプリのプレゼントキャンペーンの当選者に対し、委託先企業がほかの当選者のメールアドレスを載せたメールを誤って送信してしまった事例もあるようです。
次に、運用体制の不備により引き起こされたミスとして、責任の範囲の認識齟齬によって引き起こされた事例を紹介します。あるクラウドサービスでは、顧客情報をグループ分けし、情報の閲覧権限は同グループ内に限るという振り分けをしていました。しかし、ユーザーへの顧客データのアクセス権限付与は委託元・委託先ともに相手方が行うものと誤認しており、本来アクセスできないユーザーまで閲覧可能な状態になってしまっていたのです。
この事例については人的ミスではあるものの、あらかじめサプライチェーンリスクを徹底していれば避けられたリスクといえるでしょう。
その他のサプライチェーンリスク
近年は、主に情報セキュリティ面でサプライチェーンリスクが語られることが多い傾向があります。しかし、サプライチェーンとは元来、製品や商品などの供給網を指した言葉です。ここでは、自然災害やコロナ禍で引き起こされるサプライチェーンリスクについて具体的に解説します。
自然災害のリスク
地震や水害などの自然災害が発生すると、自社だけでなく取引先や仕入先などのサプライチェーンを構成する企業も被災してしまう可能性があります。たとえ自社が無事であった場合でも、取引先が災害による被害を受けてしまうと、サプライチェーンが寸断され、継続的に商品やサービスを供給することができません。製造するための部品を仕入れることができず、顧客への納品が滞ってしまえば顧客離れを招き、利益の損失に繋がる恐れがあります。
特に、大規模な災害が発生した場合、生産拠点の直接的なダメージのみならず、安全を確保するために労働者が帰郷し、生産体制が維持できないなどの複数の要因が発生することもあります。
損害を最小限に留めるためには、緊急時の事業継続、早期復旧を支える仕組みを構築し、関係者に周知しておくことが大切です。
コロナ禍のリスク
2020年春、新型コロナウイルス感染症のパンデミックが世界規模で発生し、BtoB・BtoCを問わず、さまざまな物資が供給不足に陥りました。身近なところではマスクの需要が高騰したり飲食店が閉店に追い込まれたりしたほか、地域によっては工場が閉鎖に追い込まれ、生産・調達の体制、在庫管理、物流などの見直しを迫られた企業も少なくありません。
また、グローバル化が進んでいるサプライチェーンである電機メーカー、半導体メーカーなどのハイテク産業では、今回のような世界的パンデミックが発生した際に、直接的・間接的に、そして長期的に影響を受け続けることが危惧されています。
サプライチェーンリスクマネジメント(SCRM)の内容
BCP(Business Continuity Planning)とは、前述した災害などの緊急事態における企業や団体の事業継続計画のことです。このBCPの目的は、システム障害、テロ、自然災害などの危機的状況に瀕した際に、損害を最小限に抑えて事業を継続し、早期復旧を図ることにあります。
BCPが単なる防災対策とは異なるのは、目的を「事業の継続」に置いて、行動指針を具体的に示している点です。緊急時でも事業を継続し、早期に復旧を遂げることができれば、顧客の信用を失うことはありません。株主や市場からも評価され、それが企業価値の維持・向上へと繋がり社会的な信用を得ることになります。
災害などの危機的な状況に遭遇した際には、損害が自社だけでなく他社にも及ぶことを想定しなければなりません。そのため、サプライチェーンを考慮に入れたBCPの策定は非常に重要になります。
まとめ
サイバー攻撃は質・量ともに強まることが予測されているうえに、疫病や災害は今後も発生が避けられないリスクです。これらのリスクに対抗するためにSCRMは欠かせないものですが、SCRMを展開していうくえではサプライチェーンパートナーとの連携が最も大切になります。
SCRMを策定していない企業は、今後のサプライチェーンの途絶を防ぐために、安全な取引環境と仕組みの構築を目指しましょう。
生産スケジューラAsprovaでは、さまざまな制約条件を加味した精度の高い生産計画を実現することができます。専用のツールを活用することで、多くの要素が絡みあうサプライチェーンを標準的に管理することができます。
