[オピニオン from CIO賢人倶楽部]

2016年4月14日(木)CIO賢人倶楽部

リスト

　インターネットを活用したビジネス規模は全世界で250兆〜350兆円と言われる。一方でサイバー犯罪による損失額は、公表されているインシデントに関するものだけでも世界で50兆〜60兆円に上る。企業が血の滲むような努力の末に稼ぎ出した価値の15〜20%が奪われ、失われている計算になるわけだ。

　筆者はセキュリティインシデントに見舞われた企業を支援しているが、その過程で対応に追われる担当者の大変な苦労を見てきた。彼／彼女らは悪意のサイバー攻撃を受けた被害者である。それにもかかわらず、顧客情報の漏えいに対する補償や業務の中断による取引先への影響など、ステークホルダーに経済的損失を与えた加害者と見なされてしまうことがある。

　それだけではない。重大なインシデントでは責任を取る形でCIOやCEOの辞任に発展するケースもある。本コラムの読者には周知のことだろうが、サイバーリスクを経営課題と認識して対応することは、今や経営層にとって不可欠である。

　こうした背景もあり、経済産業省は2015年12月、企業経営者向けにサイバーセキュリティ対策の原則や重要項目をまとめた「サイバーセキュリティ経営ガイドライン」を公開した。サイバーセキュリティ経営の3原則として（1）経営者のリーダーシップ、（2）サプライチェーンを含めた対策の推進、（3）適切な情報開示とコミュニケーション、を挙げている。さらに企業が取り組むべき重要なサイバーセキュリティ対策として10項目を提起している。