PwCでは、ビジネスリーダーとセキュリティリーダーを対象として、サイバーリスクに関する調査（Global Digital Trust Insights）を20年以上継続して実施しています。
2025年度は、77カ国・7地域のビジネス・テクノロジー・セキュリティなどの分野の経営層4,042名を対象に実施しました。

「Global Digital Trust Insights」によると、企業がサイバーレジリエンスを構築する上で解消すべき重大なギャップがあることが明らかとなりました。より安全で持続可能な未来を築くために、これらのギャップを解消し、サイバーセキュリティを事業戦略の中心に据えることが企業に求められます。

本レポートでは調査結果をもとにして、セキュリティ強化の上で日本企業が抱える課題と課題解決のためのアプローチ、その有効性について解説します。

企業がサイバーレジリエンスを構築する上で解消すべき重大なギャップ

サイバーセキュリティレジリエンスの実装におけるギャップ
サイバーセキュリティリスクの懸念は高まっているものの、調査対象の全項目について、サイバーセキュリティレジリエンスに向けた対応が全社的に実行されていると回答したCxOは、全体の2％に過ぎません。
サイバーリスクに対する準備態勢のギャップ
クラウド環境のリスクや第三者によるデータ漏洩などは、組織のサイバーセキュリティ上で最大の懸念事項です。しかし、組織においては、これらに対する取り組みが最も遅れていると認識されています。
CISOの参画に関するギャップ
戦略的な計画の策定、取締役への報告、テクノロジーの導入管理に、CISOがかなりの程度参画していると回答したCxOは、全体の半数を下回っています。
規制遵守に関する自信のギャップ
AI、レジリエンス、重要インフラに係る規制をどの程度まで遵守できるかについて、CEOとCISO/CSOとの間で、自社の能力に寄せる自信に格差が認められます。
サイバーセキュリティリスクの計測におけるギャップ
CxOは、サイバーセキュリティリスクの計測が重要であること認識しています。しかし、このような計測を効果的に行っているのは全体の半分を下回り、さらに、財務上の影響について相当程度に把握できているのは、全体の15％に過ぎません。

海外展開する日本企業が対応すべきデジタル法規制の動向

デジタル分野における法令・ガイドラインの数は、2020年と比較し、10倍以上に増加しています（図表1）。グローバル展開する日本企業は、準拠すべき法令・ガイドラインを把握し、組織単位で遵守に向けた統制を図る必要があります。

図表1：海外展開する日本企業が対応すべき法令・ガイドライン数の推移

出所：各国・地域の公的情報よりPwC作成

昨今では、各国のデジタル分野における法令・ガイドラインは増加され、罰則も強化される傾向にあります。
海外展開する日本企業は準拠すべき法令をタイムリーに把握・対応することが必要です。

デジタル分野における法令で課される義務および影響

デジタル分野における法規制は、主に①セキュリティ対策の構築、②サプライチェーンリスク管理、③インシデント報告の3つにおいてコンプライアンス義務を課しています（図表2）。企業がコンプライアンス要件に準拠できなかった場合、影響が企業のグループ全体にまで及ぶ可能性があります。

図表2：デジタル分野における法令と企業各部門との関係性および影響（一例）

デジタル法規制に対する日本企業の対応状況

デジタル法規制に対して準拠している自信があると回答した日本企業の割合は40％未満であり、グローバルと比較して20ポイント以上のギャップがあります（図表3）。各デジタル法規制への対応が十分でないと感じている企業が多いことが分かります。

図表3：各分野のデジタル法規制に対し、準拠している自信が「非常にある」「かなりある」と答えた割合

出所：PwC, 2025 Global Digital Insights Survey, Q15

法規制に対する組織内における認識の乖離

日本企業では、2024年の「Global Digital Trust Insights」の結果と同様に、CEOはCISOに比べて法規制の影響を過小評価する傾向があり、両者の意識に依然としてギャップが見られます（図表4、図表5）。CEOは、法規制対応の必要性を十分に認識できていない可能性があります。

図表4：新たなセキュリティ規制は、過去12カ月間に実質的な影響がなかったと答えた割合（2025年）

出所：PwC, 2024 Global Digital Insights Survey, Q17 PwC, 2025 Global Digital Insights Survey

図表5：各デジタル規制に対して大幅な業務改革が必要と答えた割合（2024年）

出所：PwC, 2024 Global Digital Insights Survey, Q17 PwC, 2025 Global Digital Insights Survey

組織内における情報連携の不足

グローバルと比較して、日本企業では経営層とセキュリティ部門との間で情報を連携する機会が少ないという結果が出ています（図表6）。情報連携が不足していることにより、経営層が組織におけるセキュリティ課題を十分に把握できず、企業のセキュリティ対応の遅れにつながっていると考察されます。

図表6：セキュリティ部門において、サイバーリスクや規制動向・対策に関するインサイトをCEO・取締役会によく提供していると答えた割合

出所：PwC, 2025 Global Digital Insights Survey Q28

経営層が組織におけるセキュリティ課題を十分に把握できていないことが、日本企業の課題だと考えられます。

日本のCISO活用における課題

日本のCISOは、グローバルに比べて経営に関与する機会が少ないという結果も出ています（図表7）。結果として、CISOを通じて組織のセキュリティ分野における課題が経営層に十分に伝達されず、組織内でのセキュリティ対応の遅れにつながっていると考えられます。

図表7：次に示す役割・業務について、CISOが積極的に関与した割合

出所：PwC, 2025 Global Digital Insights Survey, Q21

CISOは、組織のセキュリティ分野における課題を経営層に直接伝える役割を担うことが期待されているものの、日本においては、当該の役割が十分に機能していない可能性があります。

CISOの地位向上に向けた今後のアクション

CISOの地位向上は、組織のサイバーセキュリティリスクの低減とレジリエンス強化に不可欠です。CISOの地位を向上させ、経営に関与できるようにするためには、CISOと経営層の双方が協力し、戦略的なビジョンと具体的なアクションを共有することが求められます。

CISOおよび経営層に求められるアクション

CISOに求められるアクション例

経営層への説明、継続的なコミュニケーション
- 組織のサイバーセキュリティリスクの現状と影響を評価し、リスク低減のための具体的な戦略や計画について経営層・ステークホルダーに説明する
- 定期的に経営層と会議を行い、サイバーセキュリティの対応状況、組織に対する新たな脅威やリスクへの対応策を共有する
経営層（CxO）に求められるアクション例
- CISOの経営への参画、定期的なフィードバック
  - セキュリティリスクも重大な経営リスクの1つであることを認識し、CISOを経営戦略の意思決定に関与させる
  - 組織におけるサイバーセキュリティ演習やリスク評価の実施状況を把握し、定期的にCISOにフィードバックする

CISOと経営層（CxO）の双方が協力し、継続的なコミュニケーションを通じて戦略的なビジョンと具体的なアクションを共有することが重要です。実践のためには、組織においてCISOおよび経営層（CxO）の業務や役割を明確化することが必要となります。

PwCでは、最新のセキュリティ・業界知見をもとに、CISOが効果的に機能するためのアドバイザリーサービスを提供しています。

CISOの地位向上の必要性

日本企業では、CISOが経営に参画する機会がグローバルに比べて少なく、組織全体でのセキュリティ対策に遅れが生じていることが明らかになっています。CISOの立場が依然として低く、経営に関与するための権限や機会が十分に与えられていないことが課題であり、解決のためには、組織におけるCISOの地位向上が求められます。PwC Japanグループのサイバーセキュリティリーダーは以下のような観点からCISOの地位向上の必要性に言及しています。

PwC Japanグループサイバーセキュリティリーダーによる提言

経営リスクに係る説明責任を果たす上でCISOの地位向上は不可欠
セキュリティリスクは重大な経営リスクとして捉える必要があり、法規制も強化される傾向にある。組織として各国の法規制を遵守し、ステークホルダーへの説明責任を果たすにはCISOを経営の中枢に配置することが不可欠である。（PwCコンサルティング合同会社丸山満彦パートナー）
セキュリティ人材の育成を強化する上でもCISOの地位向上が必要
日本企業は長年セキュリティ人材の不足が悩まされており、人材育成が進んでいないという課題がある。組織のセキュリティ人材育成やキャリアパスのためのインセンティブとして、CISOが経営に参画することを前提とした権限・報酬体系に見直すことが必要である。（PwC Japan有限責任監査法人綾部泰二パートナー）