経済同友会、サイバーセキュリティ対応で経営者の課題を取りまとめ
――「企業価値や企業の存立への重大な脅威」に対し、どのようにコミットしていくか――
経済同友会の「2018年度ビジネスリスクマネジメント委員会」(委員長・遠山敬史パナソニック常務執行役員)は8月6日、同委員会報告書「デジタル時代のビジネスリスクマネジメント〜企業経営者が取り組むべき課題〜」を取りまとめ、公表した。
同委員会は2017年度にも設置され、「法務、財務、技術等に関するビジネスリスクの調査研究と経営者のリスクマネジメント力強化」に向けた活動を行ってきた。副委員長・委員には複数の法律専門家・会計専門家・IT企業経営者も就任しており、2018年度は「サイバーセキュリティを中心とした技術に関するリスクに対するマネジメント」をテーマとして2018年6月の初会合以降、「モノがインターネットでつながるIoT(Internet of Things)の急速な進展に注目して、サイバー攻撃の現状を把握するとともに、企業経営者としてどのようなリスクマネジメントに取り組むべきかという視点をもって」議論。計7回の会合を経て、今般その成果を報告書として取りまとめたものである。グローバルなネットワークが重要なインフラとなっていること、2020年東京五輪の開催を控えるなかでサイバー攻撃も懸念されることが背景にある。
現状、(1)大企業にあっても「経営層の理解と対策の推進」を課題とする企業が多く、中小企業の多くは資金・人材の不足によりサイバーセキュリティ対策が十分でないという。また、(2)昨年5月に適用開始となったGDPR(EU一般データ保護規則)は域外にも適用され、EU域内に拠点を有する日本企業のほか、EU居住者向けにサービス提供する日本企業にとっては法務面やシステム面の対応が必要となること、さらに(3)昨今、検査データの改ざん・会計不正などの企業不祥事が多発している現状を真摯に受け止め、デジタル化が急速に進展する現在においてコンプライアンスの実現にどのように取り組むべきか――といった視点も共有しながら検討を進めた。報告書は「企業経営者にサイバーセキュリティへの理解をあらためて促すため、最低限取り組むべきことを整理して、とりまとめた」ものと位置付けられている。
「I. サイバーセキュリティ」「Ⅱ. IoTの進展に伴った国境を超えた個人データの移転――GDPRなどのグローバル・ルールへの対応」「Ⅲ. デジタル化、AI化、IoTの進展の中でのビジネスリスクマネジメント――ITを活用した『コンプライアンス』の実現を」の全3章構成とされた本報告書では、「I」においてまず、①日々高度化・巧妙化するサイバー脅威に晒されているITシステムの稼働停止に伴う企業経営への重大な影響、②IoT機器の増加に伴うサイバー攻撃の急増、③委託先のネットワークへのサイバー攻撃、委託先からの購入部品のマルウェア感染といったリスクを丁寧に説明。
「企業経営者は、こうしたサイバー攻撃を企業価値や企業の存立への重大な脅威として捉え、常に対峙していく必要がある」と述べたうえで、「企業経営者はサイバーセキュリティにどうコミットしていくべきか」と題する次項においては(a)「『多くの日本企業で導入されているシステムは、3世代遅れている』という警告を真摯に受け止め、危機感をもって、早急にデジタル化による変革やサイバーセキュリティへの投資を実践していかなければなら」ず、(b)「BCP(事業継続計画)やリスクマネジメントの一環であることをも超えて、企業の存立や持続可能性を支えるための投資であると捉え、企業の成長戦略として必要な予算と人員を投入すべきであ」って、(c)「……部門任せの考えを捨て、直ちにマインドセットを変革し、リーダーシップをもってサイバーセキュリティへの投資を行うべきである」などと、経営者の取組み姿勢を大きく改める必要があることを強調している。
また考え方として、(d)「機密性を重視した『情報セキュリティ』とともに、可用性をも重視した『サイバーセキュリティ』を意識した対策を講じるべき」こと、(e)「サイバー攻撃に対しては、100%完璧なセキュリティ対策はあり得ないことを前提として、不正侵入の早期発見と被害の最小化に向けて、直ちに復旧させるレジリエンスの考え方を採るべき」ことを掲げる。(d)は、IoTの急速な進展により工場の操業停止や事業活動の停滞などを引き起こすサイバー攻撃が増加しつつある現状を前提として、設備稼働の安定性を最優先とする可用性の見地をも重視していく必要性を指摘するものである。
組織体制の構築にあたっては、(f)「ITシステム部署だけでなく、プロダクトサービス、法務、財務、営業なども含めて全社挙げての横断的な組織体制の構築が必要」とされる。経営者は(g)「各部門や担当者の責任と権限を明確にする」とともに「初動対応について適切かつ迅速に判断できるように直ちに必要な情報が提供されることを意識しなければなら」ず、加えて(h)「全従業員のサイバー脅威に対する感度を高めていく施策を考え、必要な予算と人員の投入を検討する」ものとされている。
対応の時間軸として、(i)東京五輪などの大規模なイベントを控え、取組み可能な施策は早急に講じること、一方、(g)専門人材の育成や技術的な体制構築等についてはサイバーセキュリティが重大な経営課題であることを念頭に置きながら中長期的に取り組むべきことを指摘。そのうえで、5項目の「早急に対応すべき施策」と6項目の「中長期的課題」を具体化した(詳細について、本報告書7ページ)。
報告書では、「I. サイバーセキュリティ」において、続いて「IoTに関わるサイバーセキュリティ」に特化した対応を説明(本報告書8ページ)。「社会全体としてのサイバーセキュリティへの取り組みを」も提言しており、ここでは、ISAC(Information Sharing and Analysis Center)のように「同業者がサイバーセキュリティに関する情報の共有・分析、連携を行う組織」を活用し、他社事例を参考としていくことが有用・重要であるとしている(本報告書10ページ)。
報告書の後段では、「Ⅱ. IoTの進展に伴った国境を超えた個人データの移転――GDPRなどのグローバル・ルールへの対応」と「Ⅲ. デジタル化、AI化、IoTの進展の中でのビジネスリスクマネジメント――ITを活用した『コンプライアンス』の実現を」について解説している。
「Ⅱ」では諸外国の最新動向を織り込みながら、具体的な対応例を紹介(本報告書13ページ)。「Ⅲ」は「なぜ、このようなコンプライアンス違反が次々に起こるのか」を議論の起点としてAIやIoTを活用したコンプライアンスの実現を模索するもので、モニタリングの行き過ぎによるプライバシーや個人の尊厳の侵害の可能性についても配慮した(本報告書14ページ以下)。