Download PDF -
各国サイバーセキュリティ法令・政策動向シリーズ(5)ブラジル
各国サイバーセキュリティ法令・政策動向シリーズの第5回目として、ブラジルのデジタル戦略と組織体制、セキュリティにかかわる政策や法令とその動向などについて最新情報を解説します。
PwCはビジネス・テクノロジー・セキュリティ分野の経営層を対象に、サイバーリスクに関する調査(Global Digital Trust Insights)を、20年以上継続して実施しています。
2024年度は、今後12~18カ月間における組織内のサイバーセキュリティ向上をテーマに据え、71カ国・7地域のビジネス・テクノロジー・セキュリティなどの分野の経営者3,876名を対象に調査を行いました。
本稿では調査結果を基に、セキュリティ強化を進める上で日本企業が抱える課題と課題解決のためのアプローチ、その有効性について解説します。
変化する規制の影響と組織内の認識乖離
グローバル各国はAI、サイバーセキュリティ、プライバシー保護、製品セキュリティなどデジタル分野において、企業のビジネスモデルの変革を迫る法令を次々と制定しています。ビジネスに影響を与えるこのような法令は、今後も増加の一途を辿るでしょう。
Global Digital Trust Insightsの調査によると、増加するデジタル分野の法規制について、多くの日本企業の経営層が「大幅なコンプライアンスコスト増加や業務改革に迫られている」と認識しており、ビジネスへの多大なインパクトが読み取れます(図表1)。
こうした状況下では、経営陣(C-suite)は規制の変化をプロアクティブに把握し、規制が及ぼす影響の範囲とその大きさを継続的に評価することが求められるでしょう。
しかし、デジタル分野の法規制が与える組織への影響について、経営陣の認識は一意ではありません。
例えば、「法執行機関への報告義務への対応」に関する規制について、「大幅なコンプライアンスコスト増加や業務改革に迫られている」と答えた割合は、CISOなどのセキュリティリーダーで60%、一方CEOなどのビジネスリーダーでは25%と、大きな乖離があります(図表2)。
このような認識の乖離が生じる背景には、法規制あるいはその影響についての情報格差があると考えられます。デジタル分野の法令には、専門用語を用いて技術的実装を求める難解なものもあるため、従来の法令と比べてビジネスリーダーに伝わる情報に格差が生じやすい傾向があります。
このようなデジタル分野の法令に関するビジネスリーダーとセキュリティリーダー間の情報格差を生むものとして、主に以下の要因が考えられます。
- 法令が専門家向けの言葉で表現されている
デジタル分野の法令は専門用語が用いられている上、技術的な実装を求めるものも多いため、ビジネスリーダーが内容を理解し、必要コストを正確に把握することが困難である。 - ビジネスへの影響の大きさを把握できていない
セキュリティリーダーにとっては、法令対応がどの程度、企業活動に影響を及ぼすのか、特にコスト面で判断することが難しい。 - テック・ビジネス間のコミュニケーションが不足している
規制の影響に対する、テック・ビジネス間の情報格差を解消するため、セキュリティリーダーが積極的に、分かりやすい言葉でビジネスリーダーに働きかける必要がある。
組織内のコンプライアンスリスクを解消するBISOの存在
デジタル分野の法規制に関するビジネスリーダーとセキュリティリーダー間の情報格差を埋め、課題を解決するためには、ビジネスとテクノロジーの両方の知見を兼ね備えたリーダーを新設し、CISOと連携してセキュリティ対策を推進できる体制を整備することが有効です。
近年、ビジネス視点でセキュリティ業務を担うBISO(Business Information Security Officer)の設置がグローバル企業を中心に進んでいます(図表3)。実際に、日本においてBISOを一部でも導入している企業の割合は約83%と、グローバル平均である約76%を超える高水準となっています(図表4)。
一方で、全ての企業がBISOを最大限活用できているとは言い切れません。回答者のうち、BISO導入の効果を実感している割合は約23%と低く、BISOの設置が形骸化してしまっている可能性が考えられます。
BISOの実効性を高めるためには、以下の対策を通じて、BISOに組織横断的な働きかけの促進を求めることが重要です。
- サイバーセキュリティの専門用語で語らない
CEOやCIOなどのサイバーセキュリティの専門家以外にも理解できる言葉で語ることで、無駄な混乱を防ぐことができる。 - サイバーセキュリティを経営層の主要議題とする
サイバーリスクとその管理に関する情報だけではなく、サイバーセキュリティの取り組みがどのように事業や収益に寄与しているかについて、情報を提供する。 - 事業全体に関わる取り組みとしてセキュリティを推進する
ビジネスとセキュリティを別々に捉えるのではなく、事業全体に関わる取り組みとして、CISOとCEOがともにサイバーセキュリティを積極的に活用する。
総括
本調査の結果を基に、規制の影響に関して組織内で情報格差が生じている現状と、その解消方法であるBISOを形骸化させない方策を提示しました。
2024年にサイバーセキュリティが直面する大きな変化に対してスピーディかつダイナミックに対応するため、BISOがセキュリティリーダー(CISOなど)とビジネスリーダー(CEOなど)の橋渡し役として、情報格差を埋める働きをすることが重要です。
本稿で示した日本企業が抱える課題およびそれを解決するアプローチが、サイバーセキュリティ分野に日々携わる皆様にとって現状を理解する一助となり、企業のセキュリティ強化に寄与することができれば幸いです。
Global Digital Trust Insightsの全世界の結果レポートは以下のリンクからご覧ください。
CxOプレイブック:セキュリティをイノベーションの中核に―「Global Digital Trust Insights 2024」調査結果より
インサイト/ニュース
20 results
Loading...
Download PDF -
パーソナルデータの利活用におけるデジタル先進企業のプライバシーガバナンスの取組状況
プライバシーガバナンスは、プライバシー問題に関するリスクを適切に管理し、消費者やステークホルダーに対して責任を果たすことを指します。この見直しは、社会からの信頼を得るとともに企業価値の向上に寄与します。企業のプライバシーガバナンスへの取り組み状況として2社の事例をご紹介します。
Download PDF -
脆弱性開示ポリシーと報奨金制度 ―脆弱性報告窓口運用におけるリスクと企業がとるべき戦略―
昨今の製品セキュリティを取り巻く規制や制度への対応に伴い、企業では脆弱性開示ポリシーの整備が進んでいます。脆弱性を迅速かつ効果的に修正し運用するための、脆弱性を発見した報告者と企業との協力関係の構築と、報告者に対して企業が支払う報奨金制度の活用について解説します。
Download PDF -
JC-STAR普及に向けた政府動向とSecure by Demandによる製造メーカーへの影響
2025年3月末より、IoTセキュリティ適合性評価及びラベリング制度(JC-STAR)の運用が開始されました。行政機関や地方公共団体、民間企業に向けてさまざまな政府機関が発行するガイダンスについて紹介、解説します。
Loading...
