日本推新策略 促大企業分攤供應鏈資安成本

網絡黑客示意圖。(Shutterstock)

 

 

【大紀元2025年12月25日訊】（大紀元記者王君宜綜合報導）在日本企業接連遭遇重大網絡攻擊的背景下，日本政府正準備推出新制度，要求大企業在採購環節合理分攤供應商的資安成本，以提升整體產業鏈的防護能力。

 

此舉由日本經濟產業省（METI，經產省）與日本公正取引委員會（JFTC）共同推動，並計劃在2027年3月前建立統一的資安等級標準。

 

日本政府認為，中小企業因資金與技術不足，往往成為黑客滲透大型企業的切入口。2022年，豐田汽車（Toyota）因供應商小島工業（Kojima Industries）遭黑客入侵，日本境內多家工廠一度停擺，震動全國產業鏈。

 

近期攻擊事件亦接連發生。飲料巨頭朝日集團（Asahi Group Holdings）遭勒索軟件攻擊，訂單系統癱瘓兩個月；辦公用品零售商Askul遭遇網攻，導致約74萬名客戶與員工資料外洩。（相關報導：日本朝日啤酒9月遭網攻逾190萬筆個資恐外洩）

 

強化防護 大企業須分擔成本

 

面對風險擴大，多家大型日企已強化對供應商的資安要求。例如，存儲芯片大廠鎧俠（Kioxia）已對約3,000家合作企業開展資安審查，並表示對高風險合作方的合約將進行重新評估；日本電氣公司（NEC）則依據美國國家標準與技術研究院（NIST）標準，要求供應商提升防護措施。

 

然而，中小企業普遍反映資安投入成本過高，包括資料保護、系統更新與人力維運等均非其財力所及。

 

為此，經產省與JFTC將要求主導採購的大企業承擔供應商部分資安成本，包括人力、管理與系統升級等間接費用。

 

政府同時指出，即使企業沒有直接要求供應商提高資安，仍應接受因資安投入而產生的報價上調。若採購方缺乏談判意願，可向JFTC尋求協助。

 

建立五級資安標準 2027年實施

 

為使採購需求更為透明，日本政府今年4月推出五級資安防護標準，協助大企業向供應商明確提出資安要求。例如，3級為所有供應鏈企業必須達到的最低安全水準；5級則依據國際標準，採用風險導向管理並落實最佳實務，屬於最高級別。

 

供應商可向日本資訊處理推進機構（IPA）申請資安等級認證，證書效期一至三年不等。IPA也將公開通過認證的企業名單，以便採購方識別符合要求的供應商。

 

政府預計在2026年3月底前完成標準細節，並最早於2027年3月底開始全面實施。自2027財年起，政府還將為中小企業取得認證提供專家技術支援。

 

日本政府指出，隨著網絡攻擊手法不斷升級，僅靠單一企業難以應對風險，通過提升整體供應鏈的資安成熟度，並在交易關係中促進合理的成本分擔，才能有效降低系統性風險。

 

（本文參考了《日經亞洲》的報導）

 

責任編輯：李沐恩