セキュリティー新時代(11)日本の経営者、もっと前に

2018-10-30

本連載ではあらゆるモノがネットワークにつながる時代に備えた情報セキュリティーのあり方について取り上げてきた。サイバーリスクは今後、企業内の端末やシステムなどのIT(情報技術)環境にとどまらず、出荷する製品にも及んでくる。それを防ぐには全社的な取り組みが欠かせないが、その際、経営者はどう振る舞えばよいのだろうか。日本企業の課題を中心に説明したい。

もはやサイバーリスクをまったく考慮しない経営者はほとんどいないと思うが、どこまで真剣に考えているか、その認識の深さにおいては日本企業はまだ遅れているといえる。PwCが2017年4~5月、世界122カ国の企業の経営陣9,500人以上を対象に実施した「グローバル情報セキュリティ調査2018」にそのことを示すデータがある。「サイバーセキュリティー対策に自信がある」と答えた割合が世界平均では74%だったのに対し、日本はほぼ半分の38%にとどまったのだ。

これは何事にも断定的な回答を避ける日本人気質の表れなのだろうか。別の質問に対する回答がそうした見方を否定する。サイバー事故が発生した時にその経緯や被害範囲・内容、被害総額などの詳細について把握しているか尋ねたところ、世界と比べて日本の経営陣は「把握できていない」割合が高かった(図参照)。

「把握していない」企業の割合

これは、セキュリティーリスク対策が企業にとっての重要課題となっていながらも、経営陣の実効性ある監督業務と積極的なリスク管理姿勢に大いに課題があることを意味している。

もちろん、日本企業が先を行く点もある。同じ調査の別の質問で「従業員に対する情報リテラシーに関する教育」の実施率を調べたところ、世界平均が53%だったのに対し、日本は72%だった。また「サイバーセキュリティー戦略の策定、定期的な見直し」でも世界が56%に対し、日本が72%と同様の傾向が見られた。

ここから見えてくることは、日本企業はボトムアップの対策は実直に進めながらも、トップダウンの姿勢、経営陣の理解に改善の余地を残している点である。

地震や台風などと向き合いながら企業の成長を進めてきた日本では、こういった自然災害に対する企業の対処方法は確立されてきた。サイバーリスクも今後、これらと同じレベルで向き合う必要があるが、IT部門の課題にすぎないと高をくくってはいないだろうか。また、サイバーリスクはゼロに抑えられると過信してはいないだろうか。

今、サイバーリスク対策に最も必要なのは、企業経営者のリスクに対する正しい理解と率先した取り組みだと考える。

外村 慶

パートナー, PwCコンサルティング合同会社

Email

※本記事は、日本経済新聞社 日経産業新聞「戦略フォーサイト」コーナーに、「セキュリティー新時代」をテーマに2018年8月21日から9月12日に連載された記事の再掲載となります。

※本記事は、日本経済新聞社の許諾を得て掲載しています。無断複製・転載はお控えください。

※法人名、役職などは掲載当時のものです。

{{filterContent.facetedTitle}}

{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{contentList.viewAllLabel}}

関連サービス