経財論

ハンドブック一読を セキュリティー対策には経営者の関与が欠かせない

 経団連サイバーセキュリティ委員長・遠藤信博氏、金子眞吾氏

 デジタル化の急速な拡大により、サイバーセキュリティーに対する脅威はかつてないほど高まっている。サイバー攻撃は、企業に直接的な損害だけでなく、レピュテーション(評判)の低下など間接的かつ広範囲に影響を及ぼす可能性があるため、会社全体のリスク管理上の問題と言える。また、サイバー攻撃への対処には投資も必要であり、セキュリティー対策には経営者の関与が欠かせない。

 ホームページに公開

 そこで、経団連は、10月31日に「サイバーリスクハンドブック 取締役向けハンドブック日本版」を経団連ホームページに公開した。本ハンドブックは、米インターネット・セキュリティ・アライアンスと全米取締役協会が発行したハンドブックおよびその英国版を基に、日本の法律や制度に応じて一部改変し、日本版として作成したものである。

 本ハンドブックでは、サイバーリスクの影響を管理・軽減するために取締役が取り組むべき原則を提示しており、以下に紹介したい。

 サイバーリスク管理の原則

 まず取締役は、サイバーセキュリティーを、単なるITの問題としてではなく、全社的なリスク管理の問題として理解し、対処する必要がある。企業はこれまで、サイバーセキュリティーを、IT部門が対処すべき技術・運用上の問題として捉えてきた。しかし、ITがビジネス戦略の中心的な役割を担っている現在、サイバーセキュリティーは全社的なリスク管理に関わる問題であり、取締役会において検討されなければならない。

 次に取締役は、自社固有の状況と関連付けて、サイバーリスクの法的意味を理解すべきである。サイバー攻撃が発生した場合、取締役に対する訴訟や、規制当局による法的措置につながる可能性がある。しかし、サイバーセキュリティーに関する法規制は複雑であり、常に変化している。そのため、取締役は、社内の法務部門や社外の専門家を通じて各種法規制などの情報を把握しておく必要がある。

 また取締役会は、サイバーセキュリティーに関する十分な専門知識を利用できるようにしておくとともに、取締役会の議題としてサイバーリスク管理を定期的に取り上げ、十分な時間をかけて議論を行うべきである。取締役はサイバーセキュリティーの専門家ではない。しかし、少なくとも、取締役会は、サイバーセキュリティー担当取締役を指名し、サイバーセキュリティーに関して社内の複数の部門から報告を受け、多角的な視点で検討できるようにしておくべきである。

 そして取締役は、十分な人員と予算を投じて、全社的なサイバーリスク管理の枠組みを確立すべきである。企業は、自社のリスク分析、脅威環境の評価を行い、リスクの許容範囲、サイバーリスク軽減のための必要なリソースの継続性などを理解しておく必要がある。また、リスク管理のために、最高リスク責任者などの組織上の役割と責任を明確に定めることが有益である。

 最後にサイバーリスクに関する取締役会における議論の内容として、回避すべきリスク、許容するリスク、保険などによって軽減・移転すべきリスクの特定や、それぞれのリスクへの対処方法に関する具体的計画などを含めるべきである。

 取締役は、機密性や重要性などの各データの性質と、対策コストを勘案してサイバーリスクを分析し、画一的ではない、リスクに合わせた対処方法を定めるべきである。

 東京オリンピック・パラリンピック競技大会が来年に迫るなか、一人でも多くの経営者にこのハンドブックをお読みいただき、各社のサイバーセキュリティー強化につなげていただくことを期待する。

【プロフィル】遠藤信博

 えんどう・のぶひろ 東工大大学院理工学研究科博士課程修了。1981年NEC入社。執行役員常務、取締役、社長を経て、2016年会長。17年経団連審議員会副議長。今年から経団連サイバーセキュリティ委員長も務める。神奈川県出身。

【プロフィル】金子眞吾

 かねこ・しんご 中大法卒。1973年凸版印刷入社。取締役、常務、専務、社長を経て2019年会長。今年から経団連サイバーセキュリティ委員長を務める。埼玉県出身。

Recommend

Ranking

アクセスランキング

Biz Plus