（１）電子契約

契約は、一般に、口頭でも契約可能であり、書面の契約書がなければ契約が成立しないわけではない（民法第522条第2項）。売買契約を例にすると、店頭で商品を購入する際は、契約書を交わさない場合がほとんどである。ネットショッピングの場合も、買い物かごに入れて注文する形式が多く、契約書等は交わさない場合が多い。

もっとも、何か問題が発生した場合等には、契約が成立しているかどうか、どのような条件で契約が成立しているのか等に争いが生じることもあり、契約書面で確定していることが重要となってくる。そこで実務上、重要な契約では書面の契約書を交わすことが多い。ただし、契約は書面ではなくICTを利用して電子的に契約することも可能である。

（２）文書証拠の形式的証拠力

民事裁判において文書を証拠とするためには、その文書の成立が真正であること、すなわち、その文書が作成者の意思に基づいて作成されたことが必要である（民事訴訟法第228条第1項）。これを形式的証拠力という。

契約書等の私文書に関しては、私文書に顕出された印影と作成名義人の印章が一致することが立証されれば、当該印影は、当該作成名義人の意思に基づき押印されたものと事実上推定される（最判昭和39年5月12日民集18巻4号597頁）。そして、私文書の作成者が、その意思に基づいて当該私文書に署名又は押印をした場合には、当該私文書全体がその意思に基づいて作成されたものと推定される（同条第4項）。この2段階の推定を、二段の推定という¹。

もっとも、署名及び押印がない等の理由により二段の推定が働かない場合でも、文書の成立の真正を他の方法により直接立証することが可能である（大判昭和6年1月31日）。

（３）電子データの形式的証拠力

民事裁判において電子データの意味内容を証拠資料とする場合にも、その成立の真正（＝本人の意思に基づき作成されたこと）を証明する必要がある。これは契約を電子的に行った場合に契約内容を証拠としたい場合に限らず、あらゆる電子データについてあてはまる。一定の要件を満たす電子署名が行われた電子データについては、真正に成立したものと推定される（電子署名法第3条）。つまり、同条の要件を満たす電子署名がなされていれば、文書に署名又は押印があるのと同様の効果が得られる²。

もっとも、同条の要件を満たさない場合であっても、電子データの成立の真正を他の方法により直接立証することも可能と考えられる。

（４）電子契約の有効性と電子署名法

（５）電子保存と電子帳簿保存法

契約締結業務を電子化する場合、締結後の契約を電子保存することも検討されることが多い。その場合には、税法上の帳簿書類の保存義務との関係で、電子計算機を使用して作成する国税関係帳簿書類の保存方法等の特例に関する法律（以下「電子帳簿保存法」という。）の要件を満たす必要がある。

電子契約は、「電子取引」（同法第2条第1項第5号）⁹とされ、所得税を納税する個人事業者や法人税を納税する企業が電子取引を行った場合、財務省令で定めるところにより、その電磁的記録を保存しておく必要がある（同法第7条）。ただし、令和5年12月31日までに行う電子取引については、保存すべき電子取引データを書面に出力して保存し、税務調査等の際に提示又は提出ができるようにしている場合は、電磁的記録を保存していなくとも差し支えない¹⁰。

そして、「財務省令」とは同法施行規則を指すが、同施行規則第4条第1項が、電磁的記録を保存するに当たって充足すべき要件をまとめている。その内容は以下のとおりである。

1. 以下のいずれかの措置を行う
   1. タイムスタンプ¹¹が付された後、当該取引情報の授受を行う同項第1号）。
   2. 取り引き情報の授受後、速やかに（又はその業務の処理に係る通常の期間を経過した後、速やかに）¹²タイムスタンプを付すとともに、保存を行う者又は監督者に関する情報を確認できるようにしておく同項第2号）。
   3. 記録事項について訂正・削除を行った場合に、これらの事実及び内容を確認できるシステム又は記録事項の訂正・削除を行うことが出来ないシステムで取引情報の授受及び保存を行う（同項第3号）。
   4. 記録事項について正当な理由がない訂正・削除の防止に関する事務処理規程を定め、その規定に沿った運用を行う（同項第4号）。
2. 当該電磁的記録の備付け及び保存に併せて、施行規則所定の関係書類の備付を行う。
3. 当該電磁的記録の備付け及び保存の場所に、パソコン、プログラム、ディスプレイ、プリンタ及びこれらのマニュアルを備付け、当該電磁的記録をディスプレイ画面及び書面に、整然とした形式及び明瞭な状態で、速やかに出力することができるようにする。
4. 当該電磁的記録について、検索機能（同規則第2条第6項第6号）¹³を確保する¹⁴。

上記①(d)に関して、正当な理由がない訂正・削除の防止に関する事務処理規程の例が、一問一答問24に掲載されているため参照されたい。

（６）外国における電子契約制度

外国企業との取引において電子契約を用いる場合等、企業が外国法に準拠して電子契約を締結することも少なくない。多くの国では既に法令上電子契約の使用が認められているが、実際に外国法に準拠して電子契約を締結する際には、当該外国法の内容を慎重に検証する必要がある。

例えば、EUにおける電子契約に関する主な法規制として、平成26年7月に成立し、平成28年7月に発効した、eIDAS（electronic Identification and Authentication Services）規則があり、eIDAS規則は、現在、EUにおける電子署名及び電子シール等に関する最も重要な法的枠組みとして機能している。

eIDAS規則では、一定の要件を満たすデバイスを使用して生成され、かつ一定の要件を満たす証明書による裏付けがなされた「適格電子署名」¹⁵は「手書署名と同じ法的効力を有する」¹⁶。ただし、手書署名の法的効力は加盟国ごとに異なり得るため、「適格電子署名」がEUで統一的な効力を持つとは限らない点に注意が必要である。また、eIDAS規則は、電子署名の証明力について規定していないため、証明力も加盟国法ごとに異なり得る点にも注意が必要である。

（１）背景

デジタル技術の急激な発達やIoTデバイスの急速な普及により¹、多量・多種・リアルタイムなデータ（ビッグデータ）の活用が指摘されるようになって久しい。この間、平成26年に「企業が壁を越えてデータを共有・活用し、新たな付加価値を生む取組みとして“データ駆動型（ドリブン）イノベーション”」という考え方が示され²、平成28年には、官民データ活用推進基本法（平成28年法律第103号）が公布・施行された。また、第三次AIブームといわれてしばらく経ち、回帰や分類、クラスタリングなどのタスクを統計的に行う機械学習やディープラーニングも社会実装が進み日常生活に浸透している。

こうして、データを対象とした取引やデータの利用・活用を目的とした取引が認知され増えるにあたり、データ取引については、往時からの有体物（民法第85条）を対象とした取引とは異なるため、また、従来からの秘密情報に関する秘密保持義務の合意（契約）や成果物に関する合意（契約）では対応しきれないため、どのような法的リスクがあり、どのような事項を合意すべきなのかということが議論されるようになった³。

たとえば、平成30年6月には、経産省が、ユースケース（事例）に基づいて検討を展開した「AI・データの利用に関する契約ガイドライン」（以下、「契約ガイドライン」という。）を策定し、令和元年12月にはアップデート版として契約ガイドライン1.1版がリリースされた⁴。また、令和3年3月には、経産省が、データ提供側とデータ受信側が実務面で直面する課題について、契約雛形を基に論点を整理・解説し、考え方を示すことでデータ提供・活用の促進を目的とした「AI・データサイエンス人材育成に向けたデータ提供に関する実務ガイドブック」（以下「AI人材育成ガイドブック」という。）を策定した⁵。

（２）データ取引とは

データ取引とは、法令上の用語ではない。一般的に、データの創出、取得、収集、譲渡、使用許諾、加工、統合、分析や管理といったデータの流通又は利用を目的とする取引のことを指す意味で用いられている。第四次産業革命やSociety5.0といわれる前から行われている取引類型である、顧客に関するデータの分析の委託や市場に関するデータの収集も、データ取引といえる。また、AI技術を利用したソフトウェアやサービスの開発の受委託なども、データ取引といえる。

（３）データ契約の意義について

データすなわち電磁的に記録された情報⁶は、有体物ではないため、我が国法制度上、所有権の対象とはならない。つまり、データの使用・収益・処分をする権利の全面的な支配について、法制度上の保証は与えられていないと考えられる（契約ガイドライン・データ編第3-1-(1)及び(2)）。

言いかえれば、①刑法や不正アクセス禁止法に違反する行為によりデータを取得する場合、②個人情報が含まれるデータを取り扱う場合、③秘密情報や限定提供データ（不正競争防止法第2条第7項に定義されるデータをいう。詳細はQ23参照）を取り扱う場合、④肖像権やプライバシー権を考慮しなければならない場合や、⑤外為法に抵触し得る場合（詳細はQ55参照）などの制約（以下、まとめて「法的制約等」という。）がある場合を除いて、原則、誰でも自由にデータを利用できるといえる。

加えて、データ自体が知的財産権の対象となる場合も限られることから（Q25参照）、データ取引においては、当事者間でデータの取扱いについて合意すること、すなわちデータ契約の重要性が指摘される（契約ガイドライン・データ編第3-2-(1)）⁷。

（４）データ契約におけるサイバーセキュリティ関連法令上のポイント

データ契約（データの取扱いに関する取り決めを行うに当たって）のポイントは、まずデータ契約を交渉・締結しようとするデータ取引において、取引対象とするデータを特定したうえで、どのような法的制約等があり得るかを調査し、把握して、契約上の手当てをすることである。

そして、把握した法的制約等の存否・内容を踏まえつつ、データが物権の対象ではないことを念頭に、取引の対象としようとするデータのライフサイクル（データが生成され利用・保管されて消去されるまで）の各段階に応じた契約当事者間のデータの利用権限を検討・交渉・合意することとなる（契約ガイドライン参照）。

このようなデータ契約の交渉・合意に当たってのサイバーセキュリティ関連法令上のポイントとしては、例えば、以下が挙げられる。

（１）ベンダの債務の内容としてのセキュリティ対策

開発する情報システムの性質にもよるが、個人データ等を取り扱うウェブシステムについては、その流出を防ぐために、必要なセキュリティ対策を施したプログラムの提供が契約上の債務の内容となる。

システム開発の業務委託契約書や発注仕様にセキュリティ対策について記述されていない場合でも、既知の代表的なセキュリティ攻撃手法について、行政機関が対策の必要性及び対策の具体的方法を公表している場合、これに従ったプログラムの提供をしなければシステム開発ベンダが債務不履行責任を問われ得る（東京地判平成26年1月23日判時2221号71頁）¹。

もっとも、行政機関が単に「望ましい」と指摘するにすぎないセキュリティ対策については、契約で特別に合意していなくとも当然に実施すべきものではない。

具体的には、平成21年のオンラインショップのウェブシステムの開発にあたり、平成18年に経産省が発行したSQLインジェクション攻撃に対する注意喚起文書²を受け、平成19年にIPAが発行した文書³に明示されたSQLインジェクション攻撃に対するバインド機構の使用及びエスケープ処理という対策については、多大な労力や費用がかかるものでもなく、ベンダの当然の債務となるとされたが、IPAの前述の文書において「望ましい」旨を述べたデータベースの暗号化等については、ベンダの当然の債務とはいえないとされた（前掲・東京地判平成26年1月23日）。

（２）ウェブシステムのセキュリティに関する発注者の責務

契約書や発注書に記載しないとしても開発当時のセキュリティ水準を採用したシステムの開発がベンダの当然の義務とされるからといって、発注者が発注するシステムのセキュリティ水準について無関心であることは望ましくない。個人データの流出が懸念されるウェブシステムの開発を委託する場合、当該システムにセキュリティ対策を講じなければ、システムの利用者にどのような危害・損失が発生するのか、それを未然に防ぐためには、どのような対策が望ましいのか、たとえ情報システムに関する詳しい知見がなかったとしても、開発を委託するベンダとの間で十分な協議（リスクコミュニケーション）を行い、ベンダが必要な対策を講じることができるよう、セキュリティ対策のために合理的なコストの負担を検討することが必要となる。

前述のウェブシステム開発ベンダが責任を問われた事件でも、発注者のシステム担当者が顧客のクレジットカード情報のデータがデータベースにあり、セキュリティ上はクレジットカード情報を保持しない方が良いことを認識し、ベンダからシステム改修の提案を受けていながら、何ら対策を講じずにこれを放置したことによって、クレジットカード情報流出の一因となったとして、発注者に生じた損害の3割の過失相殺を相当としている。

（３）重過失

ベンダにシステム開発に関する専門的知見があり、これを信頼して発注者が契約を締結し、ベンダに求められる注意義務の程度が高度なものである場合、世間で頻発するセキュリティ攻撃に関して行政機関が注意喚起しているなど、セキュリティ攻撃への対策を講じなかった場合の結果が予見することが容易であり、また、対策そのものに多大な労力や費用がかかるものではないような場合、対策を怠ったベンダの債務不履行責任は、重大な過失があったものとされることがある。

システム開発契約において合意していたベンダが賠償すべき損害額の上限に関する規定などの免責条項の有効性に関して、前掲・東京地判平成26年1月23日は、一律に責任を免除する旨の免責条項について、被告が「権利・法益侵害の結果について故意を有する場合や重過失がある場合…（中略）…にまで同条項によって被告の損害賠償義務の範囲が制限されるとすることは、著しく衡平を害するものであって、当事者の通常の意思に合致しない」ため、被告に故意又は重過失がある場合には適用されないと解するのが相当であると判示しているため、免責条項の有効性については留意が必要である（データ消失時の責任と当該責任の免責条項の有効性についてQ62参照）。

（４）IPAモデル契約

IPAは、令和2年12月22日に、「情報システム・モデル取引・契約書」（受託開発（一部企画を含む）、保守運用）の第二版（以下「IPAモデル契約」という。）を公開した。第二版では、①セキュリティ、②プロジェクトマネジメント義務及び協力義務、③契約における「重大な過失」の明確化、④システム開発における複数契約の関係、⑤システムの再構築対応という5つの論点に関する検討・見直しが行われた。

セキュリティに関しては、ユーザとベンダとは、それぞれの立場に応じて必要な情報を示しつつ、リスクやコスト等について相互に協議することにより、セキュリティ対策についてソフトウェアに具体的に具備する機能である「セキュリティ仕様」を決めることが必要であるとされ、その観点から、以下の見直しが行われている。

1. 条項の見直し（定義条項、責任者条項、セキュリティ条項）
2. セキュリティの実装プロセスに関する解説の加筆
3. セキュリティ検討PTによる「セキュリティ仕様関連文書」の策定

セキュリティ仕様の決定に当たっては、ベンダとユーザの間で、必要な情報を相互に出し合い、公的機関や業界団体、セキュリティ関連企業等が提供する参照によってセキュリティの脅威を把握し、リスク評価を行い、対策の実装の有無を決定、合意し、それを仕様書に反映するというプロセスが示されている。

IPAモデル契約のセキュリティ条項（第50条）は、セキュリティ仕様についてクリアすべき基準及び開発プロジェクトを進める上での提案や合意に関する手順が確立されていない場合をA案、確立されている場合をB案として区別している（B案では簡素な規定となっている）ところ、以下ではA案について概説する。

（５）IPAモデル契約のセキュリティ条項

（１）クラウドサービスの特徴

（２）クラウドサービスの利用に当たってセキュリティの観点から留意すべき点

クラウドサービスを利用するに当たっては、①クラウドサービスを利用しようと考えているユーザ内部の情報資産を検討し、必要なセキュリティのレベルを確定すること、②クラウドサービス提供事業者側から開示される情報をもとに、クラウドサービスを利用することによって必要なセキュリティのレベルを確保することができるかを検討することが重要である。また、③クラウドサービス提供事業者の提供するサービスが実際に開示されたセキュリティのレベルを維持しているのかをどのように確認するのかも検討する必要がある。さらに、④責任共有モデル（Shared Responsibility Model）を前提として、クラウドサービス提供事業者間やクラウドサービス提供事業者とユーザの間でセキュリティの責任分界がどこにあるのかについて理解することも重要である。

（３）クラウドサービスに関する契約

以上のとおり検討したクラウドサービスの内容については、契約として法的拘束力を持たせておくことが望ましい。契約関係については、上記の検討事項に加えて、以下の点の検討が重要である。

（４）クラウドサービスのアクセス管理者が複数の場合の不適切なアクセス

クラウドサービスは、提供事業者によってその利用形態には様々なものが存在し、当該サービスの明確な分類が困難な状況になっている。これらのクラウドサービスは、形態によって多数の者が関与することとなり、例えば、クラウドサービスを提供する事業者（クラウド事業者）、クラウドサービスの販売事業者、クラウドサービスの利用事業者、クラウドサービスを含めて構築されたシステムの運用を支援する運用事業者等があり得る。これらの者の中には、アクセス管理者に該当する者が複数存在することもある。

クラウド事業者が提供するサービスにおいて、複数のアクセス管理者が存在する場合、アクセス管理者Aが外部者等からのアクセスを意図していないにもかかわらず、アクセス管理者Bの行為によって外部からアクセスできてしまった場合に、当該アクセスをした者は、アクセス管理者Aが意図していないアクセスをしたという意味では不適切なアクセスといえるが、当該行為が不正アクセス行為に該当するのかが問題となる

この点、アクセス管理者は、特定電子計算機の動作を管理する者をいい、クラウドサービスへのアクセスを誰に認めるかという動作の管理をする権原を有していれば、アクセス制御機能による特定利用を制限することが可能なアクセス管理者となり得る。そのため、前述のとおり、このようなクラウドサービスにおいては、複数の管理者が存在することとなる。この場合において、個々の管理者の権原、つまり、アクセス制御機能による特定利用を制限する範囲が相互に排他的であれば大きな問題は生じないと考えられる。すなわち、アクセス管理者Aが外部者等からのアクセスを意図しておらずアクセス制御機能による特定利用を制限している一方で、アクセス管理者Bが外部者等からのアクセスに対してアクセス制御機能による特定利用を制限していない場合、外部からアクセス管理者Bの管理範囲にアクセスしたとしても、特定利用の制限を免れたとはいえず、不正アクセス行為には該当しないと考えられる。

他方、複数の管理者が存在し、個々の管理者としてアクセス制御機能による特定利用を制限する範囲が相互に重なり合う場合には問題が生じ得る。このような場合に、アクセス管理者の有する権原の範囲は、クラウドサービスにおける管理形態や利用規約、管理者間の関係等に依存し得るため、一律にクラウドサービスにおける当該特定利用の制限をしたのは、どの管理者であるかを決することが困難になる。

よって、複数の管理者が存在し、個々の管理者として有する権原の範囲が相互に重なり合う場合には、外部からアクセスした者の行為が不正アクセス行為に該当するか否かを直ちに判断できるわけではない点に留意すべきである。

しかし、不正アクセス行為に該当するかどうかにかかわらず、クラウドサービス等においては、アップデートに伴うサービスの仕様変更・設定変更等に起因して、あるアクセス管理者が意図していない情報にアクセスされるというデータの機密性に関わる問題が生じうる。直近でもそれが大きく問題となった事案もあった。同様の不適切なアクセス行為を防止するためにも、クラウド事業者は、不適切なアクセスが可能となり得る仕様変更を実施する場合には、クラウドサービスの運用事業者を含めた利用事業者らに対して繰り返し注意喚起を行い、運用事業者らはクラウドサービスのアップデート等がなされた際には必ずアクセス制御機能の設定等について確認する運用にすることが望ましい。

（５）（参考１）政府情報システムのためのセキュリティ評価制度

政府機関等におけるクラウドサービスの導入にあたり情報セキュリティ対策が十分に行われているサービスを調達できるようにすべく、令和2年6月にNISC・内閣官房情報通信技術（IT）総合戦略室（令和3年9月にデジタル庁に変更）、総務省及び経産省の連携の下、「政府情報システムのためのセキュリティ評価制度」（Information system Security Management and Assessment Program、以下「ISMAP」という。）を立ち上げた。

ISMAPの基本的な枠組みは、国際標準等を踏まえて策定したセキュリティ基準に基づき、各基準が適切に実施されているかを第三者が監査するプロセスを経て、クラウドサービスを登録する制度である。

政府機関は、原則としてISMAPクラウドサービスリスト¹³に掲載されたサービスから調達を行うところ、令和3年3月に初回のISMAPクラウドサービスリストの登録及び公開が行われ、政府機関による本制度の利用を開始した。ISMAPクラウドサービスリストは、IPAが運用するISMAPポータルサイト¹⁴にて公開されている。また、令和4年11月には、ISMAPの枠組みのうち、リスクの小さな業務・情報の処理に用いるSaaSサービスを対象とした仕組みである「ISMAP-LIU」の運用を開始した。

統一的なセキュリティ要求基準に基づき安全性が評価されたクラウドサービスはISMAPクラウドサービスリストへの追加登録が継続的に行われており、政府機関におけるISMAPの利用が推進されている。なお、ISMAPの運用状況を踏まえ、統一的なセキュリティ要求基準等の見直しが行われることが予定されている。

ISMAPクラウドサービスリストは、民間においても参照することで、クラウドサービスの適切な活用が推進されることが期待されている。

（６）（参考２）自治体におけるクラウド利活用

地方自治体の関係では、各地方公共団体が情報セキュリティポリシーの策定や見直しを行う際の参考として、情報セキュリティポリシーの考え方及び内容について解説した総務省「地方公共団体における情報セキュリティポリシーに関するガイドライン」がある。

同ガイドラインでは、情報セキュリティ基本方針と情報セキュリティ対策基準から構成される情報セキュリティポリシーの例文や例文に対応する解説を付しており、クラウドサービスの利用に関しても、情報セキュリティ対策基準の例文として、①情報資産の分類や分類に応じて取扱制限を踏まえてどこまでクラウドに情報の取り扱いを委ねるかを判断する、②クラウド上の情報に対して海外法令が適用されるリスクを評価して委託先を選定し、必要に応じて準拠法・裁判管轄を指定する、③クラウドサービスの中断や終了時に円滑に業務を移行するための対策を検討する、④クラウドサービス部分を含む情報の流通経路全般にわたるセキュリティが適切に確保されるようにセキュリティ設計を行い、セキュリティ要件を定める、⑤クラウドサービス及び当該サービス提供事業者の信頼性が十分であることを総合的・客観的に評価する旨が定められている。

（１）サプライチェーン・リスクとは

サプライチェーンとは、一般的には、取引先との間の受発注、資材の調達から在庫管理、製品の配達まで、いわば事業活動の川上から川下に至るまでのモノや情報の流れのことをいう。これらに加え、IT分野では、情報システム・ITサービスの設計段階や、情報システム等の運用・保守・廃棄を含めてサプライチェーンと呼ばれることもある。

サプライチェーン・リスクとは、従来、自然災害等何らかの要因からサプライチェーンに障害が発生し、結果として事業の継続に支障を来す恐れがあるというリスクを主に想定していたが、近年、新たなサイバーセキュリティリスクとして、サプライチェーン・リスクへの懸念が生じている¹。すなわち、サプライチェーンのいずれかの段階において、①サイバー攻撃等によりマルウェア混入・情報流出・部品調達への支障等が発生する可能性、②悪意のある機能等が組み込まれ、機器やサービスの調達に際して情報窃取・破壊・情報システムの停止等を招く可能性についても想定する必要がある²。以下では、サプライチェーン・リスクのうちサイバーセキュリティに関する事項として、たとえば、①取引に使用する自社の情報システムやビジネスパートナーが使用する情報システムにセキュリティインシデントが生じるおそれや、②サプライチェーンのビジネスパートナーやシステム管理等の委託先がサイバー攻撃に対して無防備であった場合、自社から提供した重要な情報が流出してしまうおそれ、③サプライチェーンのビジネスパートナーにおいて適切なサイバーセキュリティ対策が行われていないと、これらの企業を踏み台にして自社が攻撃されるおそれ、さらに④その結果、他社の二次被害を誘発し、加害者となるおそれなどのリスクを想定する³。

（２）サプライチェーン・リスク対策の現状について

（３）法律上の留意点について

サプライチェーン・リスク対策は、その一環として、取引先に対してサイバーセキュリティ対策を求めることも含まれていることから、独占禁止法に抵触しないかが懸念される。

具体的には、不公正な取引方法（独占禁止法第2条第9項、第19条）のうち、①その他の取引拒絶（一般指定⁷2項）、②拘束条件付取引（一般指定12項）、③優越的地位の濫用（独占禁止法第2条第9項第5号）、又は④下請法に抵触しないかが問題となる。

（４）参考：政府機関等におけるサプライチェーン・リスク対策

国の行政機関・独立行政法人・サイバーセキュリティ基本法に定める指定法人（以下「政府機関等」という。）においては、平成30年12月に、各府省庁間で「IT調達に係る国等の物品等又は役務の調達方針及び調達手続に関する申合せ」¹³がなされ、これに基づきサプライチェーン・リスク対策が実施されている。同申合せは、政府の重要業務に係るIT調達（システムの開発、保守・運用、及び当該システムで扱われるデータの管理・処理の外部委託等を含む。）におけるサイバーセキュリティ上の深刻な悪影響を軽減するための新たな取組みが必要であるとの判断に基づき、サプライチェーン・リスク対策のより具体的な方策として平成30年12月に決定され、国の行政機関のみを対象として運用を開始したが、令和2年6月の改正により、独立行政法人・サイバーセキュリティ基本法に定める指定法人も対象に広げることとなった¹⁴。

同申合せに基づき、政府機関等によるIT調達のうち、下記5つの重要性の観点から、より一層サプライチェーン・リスクに対応することが必要であると判断されるものを行う際には、価格面のみならず、総合評価落札方式等の総合的な評価を行う契約方式を採用し、原則として、NISC及びデジタル庁の助言を求めなければならない。

1. 国家安全保障及び治安関係の業務を行うシステム
2. 機密性の高い情報を取り扱うシステム並びに情報の漏えい及び情報の改ざんによる社会的・経済的混乱を招くおそれのある情報を取り扱うシステム
3. 番号制度関係の業務を行うシステム等、個人情報をきわめて大量に取り扱う業務を行うシステム
4. 機能停止等の場合、各省庁における業務遂行に著しい影響を及ぼす基幹業務システム、LAN等の基盤システム、
5. 運営経費がきわめて大きいシステム

同申合せの決定から令和2年3月までの間に、NISCから各府省庁に対して1,952件の助言が行われており、そのうち、サプライチェーン・リスクの懸念が払しょくできない機器等が含まれているとの助言が行われた割合は、約4%（83件）であった。