デジタルトラストへの道

安全性、セキュリティ、信頼性、プライバシー、データ倫理にいち早く取り組むデジタル企業が将来の巨大企業となるだろう。今からでも取り組む価値は十分にある。

デジタルトラストはデジタル経済の「心臓」

データをデジタル経済の「血液」に例えるなら、デジタルトラスト、つまりセキュアなデジタル世界を構築するための人材、プロセス、テクノロジーの信頼度は「心臓」にあたります。企業、規制当局、消費者が、ビジネス、リスク管理、コンプライアンスの新たな課題に対応するために必要とするのは、その信頼を構築するための新しい仕組みです。

PwCのグローバル情報セキュリティ調査(GSISS)は20年間、サイバーリスク環境について解説するリソースとして参照されてきましたが、近年は「情報セキュリティ」よりもデジタルリスク管理が重視されるようになっています。そこでPwCはGSISSをDigital Trust Insightsと改め、再始動します。第1回PwC Digital Trust Insights 調査では、世界各地の3,000人のビジネスリーダーを対象とし、デジタルビジネス、リスク管理、コンプライアンスに関する課題に対応するための準備状況について調査しました。その結果、人材、プロセス、テクノロジーに関して改善の余地のある点として10項目が特定されました。

デジタルトラストへの道をダウンロード

デジタルトラストはデジタル経済の「心臓」

デジタルトラストの先駆者になるために

デジタル変革の出発点からセキュリティエキスパートを参加させる

デジタル変革の出発点からセキュリティエキスパートを参加させる:デジタル変革プロジェクトを実施している企業の調査回答者の10人に9人が、プロジェクトの構想と予算化の段階からセキュリティおよびプライバシー担当者を設置し、関連するリスクを予防的に管理していると答えています。しかし、プロジェクトの予算を含む計画の「開始時から完全に」予防的なリスク管理対策を組み込んでいるという回答は53%にすぎませんでした。改善の機会は世界各地のどの企業にも残っています。

中堅企業および大企業のうち「開始時から完全に」リスクが 管理されていると主張している割合は、セクターによって異なる

人材および経営陣を「アップグレード」する:適切なチームを配置しなければ、セキュリティ、プライバシー、倫理に関するリスク管理を行うことは至難の業です。今回の調査により、最高情報セキュリティ責任者、最高セキュリティ責任者、最高プライバシー責任者、最高リスク責任者、最高データ責任者などの重要な役職を設置していない企業が多いことが判明しています。

従業員の意識を向上させ、説明責任を明らかにする:サイバーセキュリティおよびプライバシーに関する従業員の外部関係者への説明責任の向上について、改善余地のある企業は多いことも判明しています。従業員のセキュリティ意識を啓発するためのプログラムがあるという回答は34%にとどまります。さらに言えば、その必要性がまだ浸透していないことも見受けられます。プライバシーポリシーおよびその実践に関する従業員のためのトレーニングが必要であると答えたのは31%にとどまります。

プロセスの進化を重ね、新しい信頼の仕組みへ

取締役会とのコミュニケーションを改善し、かかわりを強化する:サイバーセキュリティおよびプライバシーに関して取締役会とのコミュニケーションを担当する回答者のほとんどは、サイバーセキュリティ(80%)とプライバシー(83%)に関する戦略を取締役会に提出していると述べています。しかし、そのような企業の多くがサイバーセキュリティおよびプライバシーに関する管理基準の社内報告について疑念や懸念を抱いています。取締役会がサイバーセキュリティおよびプライバシー管理基準について、十分な報告を受け取っているかどうかという点について「非常にそう思う」という回答は27%にすぎません。

取締役会とのコミュニケーションを改善し、かかわりを強化する

セキュリティをビジネス目標と結び付ける:テクノロジーを活用したビジネスモデルの積極的な採用が進み、サイバーセキュリティ対策とビジネスのずれが拡大しています。2019年、ビジネス目標と情報セキュリティ戦略の連携のための投資を計画していると答えた回答者は23%でした。

データの取り扱いを中心として長期的な信頼を構築する:世界中でさまざまなデータが急増するなか、新たな収益化の方法を追求する企業も増えています。それにより多くの企業が倫理的に越えてはならない一線を越えてしまうリスクを抱えることになります。1億米ドル規模以上の企業で、「データガバナンス」、「データの利用および保存における透明性の確保」、「個人が自身のデータに対して持つコントロールの強化」に対して多額の投資を行っているという回答は半数程度です。

サイバーレジリエンスを強化する:サイバーレジリエンスには、機敏な防御機能と回復機能の両方が含まれます。レジリエントなシステムは、サイバー攻撃を受けた場合も運用を継続でき、停止した場合も迅速に回復しやすいと言えます。サイバー攻撃やその他の破壊的事象に対してレジリエンスを大いに構築しているという回答者は、主要セクターの中堅および大企業において約半数にすぎません。自社がサイバー攻撃に対する抵抗力を十分にテストしているかについて、「非常にそう思う」と選択した回答者は半数を満たしません。

プロセスの進化を重ね新しい信頼の仕組みへ

敵を知る:サイバー脅威への懸念は業種や企業規模によって異なります。例えば、2017年の中堅および大企業の回答者の懸念を見ると、金融セクターでは国家の支援を受けたハッカー(33%)が最も増加しており、消費者市場ではサイバー犯罪(50%)に対する懸念に急増が見られます。TMTセクターでは産業スパイ(51%)が最大の懸念事項として挙げられています。しかし、自社のデジタル資産を狙う攻撃者を特定しているかという点について「非常にそう思う」を選択した回答者は全世界で31%にとどまります。

コンプライアンスに予防的に取り組む:回答者はデジタルコンプライアンスおよび倫理に関する課題として、最新の法規制の進展への対応(41%)、現在の法規制の遵守(37%)、将来の法規制に対する準備(34%)を上位に挙げています。最近の例としては、ブラジルで可決されたデータ保護に関する法案があります。おそらく最もよく知られているのは、2018年5月に施行された欧州連合の一般データ保護規則(GDPR)でしょう。しかし、1億米ドル規模以上の企業のうち、GDPRを遵守する準備が完全に整っていると回答した企業は半数未満でした。米国では、2020年に施行されるカリフォルニア州消費者プライバシー法の遵守に向けた準備状況に関する自信の度合いには、セクターによってばらつきがありました。最も自信を示しているのはTMTセクター、最も自信のないのはヘルスケアセクターでした。中国では、自国のサイバーセキュリティ法に遵守する準備が完全にできているという回答が3/4を占めています。しかし、この回答の割合は他国でははるかに少ないのが現状です。

新しいテクノロジーに合わせた管理策の開発

新しいテクノロジーに遅れず対応する:IoTが、少なくとも自社のビジネスの一部に重要な意味を持つ、と多くの回答者(81%)が選択していることは意外ではありません。ただし、IoTの導入にあたり、セキュリティ、プライバシー、データ倫理といった「デジタルトラスト」における管理策を十分に構築しているかという点について「非常にそう思う」を選択した回答者は39%にとどまっています(「ややそう思う」を選択した回答者はさらに30%に限定されます)。

人工知能(AI)など、その他の新しいテクノロジーについても、デジタルトラストにおける管理策について自信を持つ回答者は少ないです。

回答者の70%(13ページ)が少なくともビジネスの一部においてAIが重要な意味を持つと答えているにもかかわらず、AIの導入にあたってデジタルトラストのための管理策を十分に構築しているかという点で「非常に自信を持っている」との回答は31%のみです。これらの管理策のうち、最も効果的なものは設計および実装フェーズで構築されます。AIには、感染の可能性の早期発見、車両の自動運転、サイバーセキュリティの迅速化および効率化など、さまざまな可能性があります。2019年、セキュリティ保護策としてAIへの投資を計画しているという回答は全体のわずか22%にすぎない。AIへの投資の割合が高いのは、TMT(46%)、金融(40%)、その他の業界の中堅および大手企業です。

新しいテクノロジーに遅れず対応する
多くの回答者は「新しいテクノロジーがビジネスにとって重要である」と述べているが「十分なデジタルトラストの管理策が整っている」と確信している人は少ない

PwC US

主要メンバー

山本 直樹

パートナー, PwCコンサルティング合同会社

Email

村上 純一

パートナー, PwCコンサルティング合同会社

Email

{{filterContent.facetedTitle}}

{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}