トップ   >    コラム   >   記事詳細

コラム

2021/10/20

サイバーセキュリティは、今やビジネスには欠かせない。

●数百億円の損失リスクにどう立ち向かうか。
ビッグデータ、AI、IoTなどテクノロジーに関することやスタートアップ企業の動向が、少し前まではビジネスニュースの中心にありました。しかし今では、米国東海岸のパイプライン停止といった大規模なセキュリティ事故・事件が、毎日のように報じられています。企業がテクノロジーの活用を進めている中、サイバーセキュリティに対する社会の認識が高まっている証拠です。

欧米では2018年、消費者をはじめとする受益者のプライバシー保護を目的に、GDPR(EU一般データ保護規則)が施行されました。それを受け、セキュリティの事故による集団訴訟が増加。ビジネスが中断した影響を含め、一度に数百億円を超える損失が計上されるケースも発生しています。

 

 

●欧米の企業は、サイバーセキュリティを経営課題として取り扱っている。
このような状況から、欧米の企業では「セキュリティを経営課題として扱わなければならない」という認識が広く浸透しています。Allianz Risk Barometer社の2020年の報告では、102カ国2700人を超える世界のリスク管理専門家が評価した結果、最も重大なビジネスリスクはサイバーインシデントであると指摘されました。
では、日本企業の場合はどうでしょう。メディアなどで取り上げられる情報漏洩事故の数が激増していることを各社が真剣に受け止め、サイバーの脅威に対する意識は確かに高まっています。しかし、以下に挙げる観点からのリスクの理解は、残念ながら欧米企業の水準には至っていません。

 

 

▼グローバル企業が直面しているサイバースペース上の課題
• 大規模化するデータ保有量に比例し、データ侵害の被害が高額化
• ビジネスメールの侵害(なりすまし)やランサムウェアなどによる業務/製造ラインの停止の増加
• 事件後の訴訟の可能性
• 国ごとの制度の違い(法令など)が、リスクをさらに複雑化
• 合併または買収(M&A)が成功しても、買収以前から存在していたシステムが問題を引き起こすリスク
• 米中の地政学的な技術覇権争いとサイバー犯罪の関連性

 

 

●日本企業ではセキュリティ対策についての議論が不十分
国内企業では、セキュリティ対策製品の機能を中心とした議論がいまだに主流となっています。多くの場合、製品のセンセーショナルな触れ込みにあおられて、盲目的に導入しがちです。それらの対策が「どのビジネスリスクに対して有効」で「どれほど効果的なのか」の議論が圧倒的に不足しています。これでは、たとえ高額であってもセキュリティへの投資が不可欠であることを、経営者やステークホルダーに説明するのは困難でしょう。

 

 

企業がテクノロジーの活用によって持続的な成長と変革を遂げ、社会的責任を果たすにあたり足枷となるビジネスリスクを特定し、最も有効な対策を行う。それを支援するのがサイバーセキュリティです。もちろん、すべてのリスクを一挙に抑えることは難しいでしょう。しかし、ビジネスリスクの視点をしっかり持てば、経営サイドとIT/セキュリティ部門でリスクに関する認識が共有され、対策の優先順位を明確にできます。こうして組織としての一体感が生まれ、さらに強靭な経営体質へと生まれ変わることができるのです。

 

このような取り組みは、IRを含めた社外への説明の場においても重要度が高まっています。ぜひ一度、ビジネスリスクの視点からセキュリティリスクを棚卸し、現行の対策を見直してみませんか?

▼参考 Allianz Risk Barometer社の2020年報告より

▼その他参考
米国におけるデータ侵害訴訟は、原告有利の流れに
• 多数の大規模な違反により、消費者または投資家による集団訴訟が起こされている。
• 米国の裁判所は、「法的地位」の問題、つまり申立人に訴訟を起こす権利があるかどうかの判断について慎重な立場をとってきたが、近年は原告を支持する傾向にある。法定および規制の変更により、補償請求が容易になった。カリフォルニア州消費者プライバシー法は、消費者が企業を訴えるための仕組みを整備するもので、米国で初めてデータ侵害に対して法的損害を設定した。

 

 

欧州において集団訴訟の権利が拡大
• GDPR(EU一般データ保護規制)により、データやプライバシーの侵害を受けた被害者が法的救済を求めることが容易になっている。
• 原告の法律事務所と訴訟資金提供者は、欧州などでデータ侵害の集団訴訟を提起しようと積極的に仲間探しを行っているケースもある。

 

 

M&Aにおけるサイバーセキュリティ・デューデリジェンスの重要性
• 2018年に発生したホテル大手マリオットのデータ侵害は、2016年に買収したスターウッドホテル&リゾートへの2014年のサイバー攻撃が原因だった。
• サイバーセキュリティが脆弱な企業を買収した場合、買収元のセキュリティ対策が万全だったとしても、大きなリスクにさらされる。合併以前の事件・事故に起因する損害に責任を負う可能性がある。
• 多くの企業は、買収先のシステムの弱点について、十分なデューデリジェンス(調査)、迅速な対応を行っていない。