Download PDF -
各国サイバーセキュリティ法令・政策動向シリーズ(1)中国・台湾
各国サイバーセキュリティ法令・政策動向シリーズの第1回目として、中国(大陸)および台湾のデジタル政府化の取り組みやセキュリティ法規制について、最新情報を解説します。
PwCはビジネス・テクノロジー・セキュリティ分野の経営層を対象に、サイバーリスクに関する調査(Global Digital Trust Insights)を、20年以上継続して実施しています。
2024年度は、今後12~18カ月間における組織内のサイバーセキュリティ向上をテーマに据え、71カ国・7地域のビジネス・テクノロジー・セキュリティなどの分野の経営者3,876名を対象に調査を行いました。
本稿では調査結果を基に、セキュリティ強化を進める上で日本企業が抱える課題と課題解決のためのアプローチ、その有効性について解説します。
変化する規制の影響と組織内の認識乖離
グローバル各国はAI、サイバーセキュリティ、プライバシー保護、製品セキュリティなどデジタル分野において、企業のビジネスモデルの変革を迫る法令を次々と制定しています。ビジネスに影響を与えるこのような法令は、今後も増加の一途を辿るでしょう。
Global Digital Trust Insightsの調査によると、増加するデジタル分野の法規制について、多くの日本企業の経営層が「大幅なコンプライアンスコスト増加や業務改革に迫られている」と認識しており、ビジネスへの多大なインパクトが読み取れます(図表1)。
こうした状況下では、経営陣(C-suite)は規制の変化をプロアクティブに把握し、規制が及ぼす影響の範囲とその大きさを継続的に評価することが求められるでしょう。
しかし、デジタル分野の法規制が与える組織への影響について、経営陣の認識は一意ではありません。
例えば、「法執行機関への報告義務への対応」に関する規制について、「大幅なコンプライアンスコスト増加や業務改革に迫られている」と答えた割合は、CISOなどのセキュリティリーダーで60%、一方CEOなどのビジネスリーダーでは25%と、大きな乖離があります(図表2)。
このような認識の乖離が生じる背景には、法規制あるいはその影響についての情報格差があると考えられます。デジタル分野の法令には、専門用語を用いて技術的実装を求める難解なものもあるため、従来の法令と比べてビジネスリーダーに伝わる情報に格差が生じやすい傾向があります。
このようなデジタル分野の法令に関するビジネスリーダーとセキュリティリーダー間の情報格差を生むものとして、主に以下の要因が考えられます。
- 法令が専門家向けの言葉で表現されている
デジタル分野の法令は専門用語が用いられている上、技術的な実装を求めるものも多いため、ビジネスリーダーが内容を理解し、必要コストを正確に把握することが困難である。 - ビジネスへの影響の大きさを把握できていない
セキュリティリーダーにとっては、法令対応がどの程度、企業活動に影響を及ぼすのか、特にコスト面で判断することが難しい。 - テック・ビジネス間のコミュニケーションが不足している
規制の影響に対する、テック・ビジネス間の情報格差を解消するため、セキュリティリーダーが積極的に、分かりやすい言葉でビジネスリーダーに働きかける必要がある。
組織内のコンプライアンスリスクを解消するBISOの存在
デジタル分野の法規制に関するビジネスリーダーとセキュリティリーダー間の情報格差を埋め、課題を解決するためには、ビジネスとテクノロジーの両方の知見を兼ね備えたリーダーを新設し、CISOと連携してセキュリティ対策を推進できる体制を整備することが有効です。
近年、ビジネス視点でセキュリティ業務を担うBISO(Business Information Security Officer)の設置がグローバル企業を中心に進んでいます(図表3)。実際に、日本においてBISOを一部でも導入している企業の割合は約83%と、グローバル平均である約76%を超える高水準となっています(図表4)。
一方で、全ての企業がBISOを最大限活用できているとは言い切れません。回答者のうち、BISO導入の効果を実感している割合は約23%と低く、BISOの設置が形骸化してしまっている可能性が考えられます。
BISOの実効性を高めるためには、以下の対策を通じて、BISOに組織横断的な働きかけの促進を求めることが重要です。
- サイバーセキュリティの専門用語で語らない
CEOやCIOなどのサイバーセキュリティの専門家以外にも理解できる言葉で語ることで、無駄な混乱を防ぐことができる。 - サイバーセキュリティを経営層の主要議題とする
サイバーリスクとその管理に関する情報だけではなく、サイバーセキュリティの取り組みがどのように事業や収益に寄与しているかについて、情報を提供する。 - 事業全体に関わる取り組みとしてセキュリティを推進する
ビジネスとセキュリティを別々に捉えるのではなく、事業全体に関わる取り組みとして、CISOとCEOがともにサイバーセキュリティを積極的に活用する。
総括
本調査の結果を基に、規制の影響に関して組織内で情報格差が生じている現状と、その解消方法であるBISOを形骸化させない方策を提示しました。
2024年にサイバーセキュリティが直面する大きな変化に対してスピーディかつダイナミックに対応するため、BISOがセキュリティリーダー(CISOなど)とビジネスリーダー(CEOなど)の橋渡し役として、情報格差を埋める働きをすることが重要です。
本稿で示した日本企業が抱える課題およびそれを解決するアプローチが、サイバーセキュリティ分野に日々携わる皆様にとって現状を理解する一助となり、企業のセキュリティ強化に寄与することができれば幸いです。
Global Digital Trust Insightsの全世界の結果レポートは以下のリンクからご覧ください。
CxOプレイブック:セキュリティをイノベーションの中核に―「Global Digital Trust Insights 2024」調査結果より
インサイト/ニュース
20 results
Loading...
Download PDF -
サプライチェーン・デジタルリスク実態調査:サプライチェーンを脅かすデジタルリスクに企業はどう立ち向かうべきか
サイバー攻撃の増加により、企業はサプライチェーン全体のセキュリティ対策を強化する必要に迫られています。本稿では、サプライチェーンのデジタルリスクとその対策について、経営層80名、セキュリティ部門200名を対象とした実態調査結果をもとに解説します。
Download PDF -
『セキュリティ・クリアランス制度』法制化の最新動向と日本企業が取るべき対応 【第3回】運用基準を踏まえた企業対応の在り方
2025年5月17日までに施行される経済安全保障分野におけるセキュリティ・クリアランス制度に関して、特に影響があると見込まれる事業者や事業者の担当者において必要となる対応を、2025年1月31日に閣議決定された運用基準を踏まえて解説します。
Download PDF -
望ましいサイバーセキュリティの未来(自動車業界編)
SDV(Software Defined Vehicle)の普及に向け、日本の自動車産業は「4つの領域」における取り組みが求められています。各領域で対応が必要となる「ビジネス戦略」と「サイバー脅威」、および「望ましいサイバーセキュリティの未来」について、PwCの知見と公開情報をもとに解説します。
Loading...
