在日本企業接連遭遇重大網絡攻擊的背景下,日本政府正準備推出新制度,要求大企業在採購環節合理分攤供應商的資安成本,以提升整體產業鏈的防護能力。
此舉由日本經濟產業省(METI,經產省)與日本公正取引委員會(JFTC)共同推動,並計劃在2027年3月前建立統一的資安等級標準。
日本政府認為,中小企業因資金與技術不足,往往成為黑客滲透大型企業的切入口。2022年,豐田汽車(Toyota)因供應商小島工業(Kojima Industries)遭黑客入侵,日本境內多家工廠一度停擺,震動全國產業鏈。
近期攻擊事件亦接連發生。飲品巨頭朝日集團(Asahi Group Holdings)遭勒索軟件攻擊,訂單系統癱瘓兩個月;辦公用品零售商Askul遭遇網攻,導致約74萬名客戶與員工資料外洩。
強化防護 大企業須分擔成本
面對風險擴大,多家大型日企已強化對供應商的資安要求。例如,存儲晶片大廠鎧俠(Kioxia)已對約3,000家合作企業開展資安審查,並表示對高風險合作方的合約將進行重新評估;日本電氣公司(NEC)則依據美國國家標準與技術研究院(NIST)標準,要求供應商提升防護措施。
然而,中小企業普遍反映資安投入成本過高,包括資料保護、系統更新與人力維運等均非其財力所及。
為此,經產省與JFTC將要求主導採購的大企業承擔供應商部份資安成本,包括人力、管理與系統升級等間接費用。
政府同時指出,即使企業沒有直接要求供應商提高資安,仍應接受因資安投入而產生的報價上調。若採購方缺乏談判意願,可向JFTC尋求協助。
建立五級資安標準 2027年實施
為使採購需求更為透明,日本政府今年4月推出五級資安防護標準,協助大企業向供應商明確提出資安要求。例如,3級為所有供應鏈企業必須達到的最低安全水準;5級則依據國際標準,採用風險導向管理並落實最佳實務,屬於最高級別。
供應商可向日本資訊處理推進機構(IPA)申請資安等級認證,證書效期一至三年不等。IPA也將公開通過認證的企業名單,以便採購方識別符合要求的供應商。
政府預計在2026年3月底前完成標準細節,並最早於2027年3月底開始全面實施。自2027財年起,政府還將為中小企業取得認證提供專家技術支援。
日本政府指出,隨著網絡攻擊手法不斷升級,僅靠單一企業難以應對風險,通過提升整體供應鏈的資安成熟度,並在交易關係中促進合理的成本分擔,才能有效降低系統性風險。#
(本文參考了《日經亞洲》的報道)
--------------
記得那一天
也繼續過好每一天
--------------
📌 2025大事回顧👇🏻
https://hk.epochtimes.com/tag/回顧2025
🔔下載大紀元App 接收即時新聞通知:
🍎iOS:https://bit.ly/epochhkios
🤖Android:https://bit.ly/epochhkand
📰周末版實體報銷售點👇🏻
http://epochtimeshk.org/stores
