{{item.title}}
{{item.text}}
{{item.title}}
{{item.text}}
2020-03-13
2020年、日本では東京オリンピック・パラリンピック競技大会の開催に伴う各種インフラの刷新や次世代通信「5G」の商用サービス開始、職場以外で働くテレワークの本格化、キャッシュレスのさらなる普及など、デジタル化がさらに加速することが予想されます。一方で同時に深刻さを増すのが、ITシステムへの攻撃や個人情報の漏えいといった、サイバーリスクの増大です。昨今の国内外の事例が示すとおり、サイバーセキュリティやプライバシー保護といったトピックは、企業の持続的成長を揺るがす経営リスクとなっています。
PwCが発表した「第23回世界CEO意識調査」では、各国政府による有害情報のブロックやプライバシー保護を目的としたインターネット規制に関して、各国CEOに見解を伺いました。その結果、上記については日本と各国のCEO間で認識に大きなギャップがあることが分かりました。日本の場合、インターネット空間における政府の規制は民間の自由な活動を妨げないと予想するCEOが多数を占めますが、世界全体では3分の2を超えるCEOが、政府は規制を強化すると考えていることが分かりました(図表1の1番目のグラフ)。
また、「政府は、消費者の信頼を高めると同時に企業の競争力を維持できるプライバシー規制を設計していますか」という質問に対して、中国のCEOは8割が「設計している」と答えましたが、日本では33%、米国では24%、英国では20%しか肯定しませんでした(図表2)。
これらの調査結果から、日本のCEOは政府がインターネット規制強化に本格的には乗り出さないと考えていると同時に、競争力強化支援にはあまり期待していない姿が浮かび上がります。しかし、ここで盲点になりがちなポイントがあります。デジタル化の加速は、グローバル化も加速させます。ビジネスが国をまたいで拡大していくには、当然、進出先のプライバシー保護に関する規制にも対応する必要があります。そのため、国際情勢によって各国政府の方針がどのように変わるかも注意深く観察することが求められます。日本のCEOが本気でデジタル技術を活用したビジネスを展開したいと考えるのであれば、地政学リスクとインターネット規制は表裏一体であることを強く認識する必要があるでしょう。
インターネット規制強化に関して、世界各国のプライバシー規制は既に現実的なリスクになっています。日本企業からの注目度が高かったEU一般データ保護規則(GDPR)においては、昨年より、プライバシー保護違反を理由に数百億円レベルの制裁金が企業に課される事例が増えています。またGDPRの施行に前後して、各国でGDPRに似た規制が次々に施行されていることが、図表3から見て取れます。日本では、2020年に個人情報保護法が改正される予定であり、企業の責任が厳格化される見込みです。
また、インターネット上の言論の自由を尊重している米国であっても、SNS事業者からの個人情報漏えい事件を契機にして、州ごとにプライバシー規制が乱立し始めています(図表4)。現在、連邦政府による全土をカバーしたプライバシー規制はないため、米国でビジネスを展開する日本企業は州ごとの規制に対応する必要があり、それゆえ、かなり煩雑な運用が求められています。そこで、アメリカ国立標準技術研究所(NIST)が2020年1月にプライバシーフレームワークを公開し、個人のプライバシー保護のために各企業・組織が遵守すべきベースラインの設計をしやすくしました。
またプライバシー保護だけでなく、IoT(Internet of Things)セキュリティをはじめとした、法律やガイドラインによるサイバーセキュリティ規制強化も世界で進んでいます(図表5)。EUでは、欧州サイバーセキュリティ法(EU Cybersecurity Act)が2019年6月に施行され、現在は新たなサイバーセキュリティ認証制度を整備しています。また米国のカリフォルニア州では、2020年1月よりIoTセキュリティ法が施行され、IoT機器の製造業者に対して、セキュリティ機能を備えることを義務化しています。さらに言えば、自動車の分野では「CASE※」を見据え、世界でサイバーセキュリティに関する標準化作業が進んでいます。
※自動車の革新技術である「Connected:コネクテッド化」「Autonomous:自動運転化」「Shared/Service:シェア/サービス化」「Electric:電動化」の4つの頭文字をとったもの
今やあらゆる業界において、新規ビジネス創出や業務改革のためには、インターネットやデジタル技術の活用は不可欠です。その一方で、各国政府はプライバシー保護やコンテンツ規制、サイバーセキュリティ関連の法規制を強化しています。今後CEOには、適切な法規制対応やリスク管理が当然のこととして求められます。そしてさらに、そうした対応の上でデジタル技術やデータ利活用をリードし、ビジネスにおけるステークホルダーとの信頼を構築すること、つまり「デジタルトラスト」の姿勢が求められているとも言えるでしょう。
PwCが今回の調査を通じて世界の経営者と議論して得た知見より、デジタル社会においてCEOに求められる3つのプラクティスを以下に示します。
まず、CEOが自らデジタルに関するリスク感覚を養う必要があります。社内におけるCEOへのリスク関連情報の報告のプロセスにおいては、リスクの内容がありのままに報告されることはまれであると言えます。CEO自身が各種報道や他社の動向をもとに、自社のデジタル戦略を推進する上では何がリスク要素になるのか、という意識を常に持つ必要があります。
次に、取締役会や経営会議で、デジタルに関する議論を増やす必要があります。例えば、新規事業におけるデジタル関連のリスクは何か、ワークスタイル変革におけるセキュリティリスクは何かなど、CEOと役員のリスク感覚の差分を確認することは、危機的な事態が発生した際に必ず役に立ちます。
今後も強化される各国のインターネット規制に対し、1つずつ個別に対応していくのは非効率です。自社が守るべきコンプライアンスレベルやプライバシー保護のベースライン(基準値)を策定するよう、CEOは指示をするべきです。
このようなデジタルトラストの姿勢をCEOが社内外に示すことが、さらに本格化するデジタル社会における企業の持続的成長に、必ずつながるはずです。