セキュリティや環境対応など、モノづくり以外の取引条件の重みが増す2026年:MONOist 2026年展望(1/2 ページ)
セキュリティインシデントで工場やサプライチェーンが止まったり、新たな環境規制や環境情報開示が求められたりする中、これらへの対応が取引条件として加えられるケースが増えている。製造業にとって製品の性能や仕様以外の要求が増えることになるが、2026年は真剣な対応が求められる1年となりそうだ。
製造業が「良いモノを作っている」だけでは許されず、企業として要求されることの範囲が大きく広がり続けている。ESG(環境、社会、企業統治)経営として、以前から注目されてきたが、株式市場に対する評価指標としてだけでなく、規制強化が進む中で企業間の取引条件として採用され、より実業に直接的に影響を与えるようになりつつある。
その代表的なものがサイバーセキュリティへの対応と、環境規制への対応だ。2026年もこれらの規制強化や厳格運用に向けた動きは強まっており、日系製造業でも、後手に回れば、取引から外され、ビジネスへの影響も懸念される状況になりそうだ。
サプライチェーンにおけるサイバーセキュリティへの対応
2026年に、非対策企業が従来以上に厳しい目を向けられそうなのが、サイバーセキュリティ対策だ。2025年も多くの製造業がサイバー攻撃を受け、いくつかは自社事業に深刻な影響を受けただけでなく、取引先などにも大きな迷惑を与えた事例が生まれている。
例えば、2025年9月には、アサヒグループホールディングスがランサムウェアによる攻撃を受け、データセンター内の複数のサーバやPCの端末データが暗号化された。障害を受けたシステムを遮断したことにより、国内のグループ各社の受注や出荷業務が行えなくなり、ビールや飲料製品の出荷に大きな影響を受けた。これにより、アサヒグループホールディングスと取引をしている小売店や飲食店ではアサヒビールやアサヒ飲料の製品が一時途絶えたことによるマイナス影響も出たとされている。さらに、2025年11月には、ランサムウェアによるシステム停止に加え、最大で191万4000件の個人情報が流出した可能性があることも発表し、その影響が今も尾を引いている状況だ。
同様に、2025年10月にランサムウェアによる攻撃を発表したのがアスクルだ。こちらも自動化された物流システムが影響を受けサービスそのものを停止せざるを得ない状況が生まれた。出荷は順次再開しているものの、まだ完全な復旧には至っていない。さらにアサヒグループホールディングスと同様に、情報漏洩(ろうえい)も生まれており、取引先も含めた事業への影響は長引きそうな状況だ。
これらに見られるように、2025年はサイバー攻撃によりサプライチェーンそのものが大きな影響を受ける事例が相次いだ。サプライチェーンの安定運用を考えた場合、セキュリティ対策は欠かせないものであることが証明された1年だったといえる。
こうした状況を受け、政府もサプライチェーンに対するセキュリティ対策を推進するための枠組みとしてセキュリティ対策評価制度を2026年度中(2027年3月期)から開始する計画だ。現在「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(案)」として2026年1月24日までにパブリックコメント(意見公募手続き)を実施している。
この制度は、企業のセキュリティ対策レベルを可視化し、サプライチェーン全体のセキュリティ対策水準を向上させることを目的としている。現在出されている案では、以下の3つのセキュリティ対策のレベルを設定する予定としているという。
- ★3:全てのサプライチェーン企業が最低限実装すべきセキュリティ対策として、基礎的なシステム防御策と体制整備を中心に実施する段階(専門家確認付き自己評価)
- ★4:サプライチェーン企業などが標準的に目指すべきセキュリティ対策として、組織ガバナンスや取引先管理、システム防御/検知およびインシデント対応など包括的な対策を実施する段階(第三者評価)
- ★5:サプライチェーン企業などが到達点として目指すべき対策として、国際規格などにおけるリスクベースの考え方に基づき、自組織に必要な改善プロセスを整備した上で、システムに対しては現時点でのベストプラクティスに基づく対策を実施する段階(第三者評価)
こうした政府の取り組みも後押しとなり、2026年はサプライチェーンの安定性や安全性を守るために、取引先と一体となったセキュリティ対策を真剣に進めることが求められている。
一部で義務が開始される欧州サイバーレジリエンス法への対応
もう1つ、サイバーセキュリティ関連で2026年に対応が求められるのが、欧州サイバーレジリエンス法だ。欧州サイバーレジリエンス法(EU CRA)は、2024年12月にEUで発効された欧州規則で、デジタル製品に関する消費者情報を保護し、製品のサイバーセキュリティ確保を製造者に義務付けるものだ。2026年9月には、脆弱性やインシデント報告義務などの部分適用が開始される。その後、2027年12月から全面的な適用が予定されている。
既に法令の規制対象になっていた一部の製品やサービスでは新規則での対象外となっているが、従来規制がなかったデジタル関連製品(コネクテッド製品)は全て対象とされている。加えて、製品面での技術要件だけでなく、プロセス要件なども組み合わせた対応が求められるのが特徴で、欧州で販売する製品を持つ製造業は脆弱性管理なども含めたプロセスや管理面での対応が必要とされている。対応できなければ欧州での製品展開ができなくなり、事業に大きな影響が出ることは必至だ。欧州関連の規則は適用が遅れることも多いが、スケジュール通り進むとすると、9月には一部報告が開始されるため、管理体制の見直しなども含めて準備が必要だ。
Copyright © ITmedia, Inc. All Rights Reserved.
製造マネジメントの記事ランキング
- ERPを“ごみ屋敷”にしない、AIを即戦力にする次世代データ基盤の構築術
- 車載電池は停滞もAI電源は好調、パナソニックHDは構造改革費用が膨らみ下方修正
- ソニー製品で採用、14社がリニューアブルプラスチックのサプライチェーンを構築
- 日立がCIセクターの体制を刷新、新たなセクターCEOにCOOの網谷憲晴氏が就任
- 帳票の翻訳作業を75%削減、BOPを中心としたブラザー工業のオペレーショナルDX
- ソニーGは第3四半期も過去最高業績、懸念はメモリ価格の高騰
- 製造業にも吹くAI旋風、関連需要に期待が集まる
- インフラ保守や工場知能化に向けデジタル基盤に最先端AIを統合、三菱電機と燈
- 資生堂の新美容液を生み出す「fibona」とは、最小工場発のアジャイル型モノづくり
- 【クイズ】ニデックの会計不正に関する報告書、要因の最初に挙がったのは?
コーナーリンク
ITmediaはアイティメディア株式会社の登録商標です。