実践的だが軽めの質問の後、重い質問がパネリスト全員に振られた。その内容は、

 

１）取引先の大企業からセキュリティ対策をとれと言われているが、難しいこともある。無理なことも聴かなくてはいけないものだろうか？

２）大企業からの支援を義務付けるような制度はないのか、検討されているのか？

 

　というもの。まず２）については経産省の人が、民間同士の取引の話なので「義務付ける」制度というのは難しいと答えた。このセッションの最大の論点は１）である。３人のパネリストはそれぞれの経験と立場から、中小企業経営者からと思われる質問者に対してアドバイスをした。総合すると、

 

・納入業者としては「来年の取引を考え直す」と言われれば、やむを得ない面はある。

・大企業の側も、納入先から波及して被害を受けた事例を見て困っている。

・もしそういう事態になったら「納入業者を訴える」という企業は少なくない。

・優越的地位の濫用と思われるケースについては何らかの対処が必要。

・セキュリティ対策は「納入価格の一律値引き」のような交渉の対象ではない。

 

　というものだった。そこからモデレータが議論を進めるように「大企業の調達部門と納入業者の営業部門の話し合いだけでは済まないですよね」と水を向けて、大企業と中小企業の関わり方に話が及んだ。

 

　　　　

 

　議論の最後にモデレータがまとめたところでは、やっぱりサイバーセキュリティは経営課題・これは個社でもサプライチェーン全体でも変わらないということだった。具体的に言えば、

 

・サプライチェーン全体をリードする（一般には）大企業の経営者が、このサプライチェーンで守るべきはコレ、そのプライオリティはコレとコア部分を明示する。

・コア部分を守るためにＡ社はこの機能、Ｂ社はこのサービス、Ｃ社はこの部品を継続供給するよう、経営のスタンスとして示してくれと求める。

 

　という手順がありそうなこと。もちろん基礎的なこと（不審なメールを開かない、セキュリティパッチは最新にする等）はしてもらわないといけないのだが、このようにコア部分の考え方をチェーン企業全体が共有することが重要だろう。

 

　短い１時間のセッションでしたが、パネリスト全員がアクティブに発言していたのが印象的でした。このテーマ、今後もいろいろな場で取り上げられることでしょう。