[DXを成功に導く[デジタルガバナンス]戦略と実践]

2025年7月3日(木)谷田 一人（EYストラテジー・アンド・コンサルティング シニアマネージャー）

リスト

企業を取り巻く環境変化・高まるリスクへの課題

　DXの加速は、企業の生産性やサービス革新を飛躍的に高める一方で、サイバー攻撃の高度化・多様化への対処、国内外のデータ保護規制やプライバシー要件への対応、そしてセキュリティ人材不足という3つの課題をいっそう顕在化させている。データ保護やセキュリティ対応を強化し、企業の信頼性を維持する取り組みは、もはや「コスト」ではなく「生存戦略」の一部だと言える。本章では、そうした背景を踏まえ、これら3つの課題の背景とリスクについて整理する。

サイバー攻撃の高度化と多様化

　クラウドやリモートワークの普及により、境界防御に依存した従来型のセキュリティ対策では十分な防御力を維持することが難しくなっている。システム環境の分散化やクラウドサービスの利用拡大は利便性向上をもたらす一方で、新たな攻撃経路の増加という課題も引き起こしている。

　依然として、ランサムウェア攻撃の被害は高水準で推移しており、データの暗号化やシステム停止を狙った手法が拡大している（図1）。また、AIを悪用したフィッシング攻撃や標的型攻撃も増加し、偽装手法がより巧妙化している。これに対処するためには、早期検知や被害拡大防止に向けた監視体制とリスク対応力の強化が求められている。

図1：ランサムウェア被害報告件数の推移（出典：警察庁「令和6年上半期におけるサイバー空間をめぐる脅威の情勢等について」を元にEYストラテジー・アンド・コンサルティングが作成）
拡大画像表示

データ保護規制とプライバシー要件の強化

　データの適切な管理と保護は、DX推進の基盤であると同時に、企業経営における重要なリスク管理項目となっている。特に近年は、データ漏洩や誤用に対する消費者の関心が高まり、各国で法規制の強化が進んでいる。このため、企業は法的要件への対応だけでなく、透明性や信頼性を確保する取り組みを強化する必要がある。

　グローバルの潮流としては、欧州の一般データ保護規則（GDPR）を先駆けに、個人データの保護措置が強化され、規則違反に対する罰則がさらに厳格化していく傾向にある。日本国内の直近の動向としても、個人情報保護法の3年ごとの見直しの課題検討が具体化されており、「実効性のある監視・監督のあり方」（注1）など、事業者に対する監視・監督を強化する内容が検討対象として盛り込まれている。
注1：個人情報保護委員会「個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理」（2024年6月27日）より

　加えて、AIやビッグデータの活用が進む中で、データ利用の倫理性や透明性への関心も高まっている。EU AI法ではAIのリスクレベルに応じた規制が設けられ、日本でも総務省と経済産業省が事業者向けにAIガイドラインを策定するなど、倫理的利用やリスク管理の枠組みが提示されている。これらの規制強化を踏まえ、企業はデータ利用ルールの透明性確保と競争優位性の両立を目指す施策を求められている。

セキュリティ人材不足と組織対応力の課題

　第2回：DXを成功に導く「組織・人材」像─ビジネスアーキテクトの重要性でも触れたとおり、DX人材は不足しており、特にセキュリティ人材もその例外ではない。セキュリティ人材の不足は、複雑化するサイバー攻撃や急速に進展する技術環境への対応力を弱体化させる大きな課題となっている。

　一般社団法人日本情報システム・ユーザー協会（JUAS）が発行する「企業IT動向調査報告書2024」によると、2023年度人材は不足していないと回答した企業は全体の5％程度にとどまっており、担当者レベルの不足においては約7割以上が人材不足と回答している（図2）。

図2：情報セキュリティ人材不足状況（出典： 一般社団法人日本情報システム・ユーザー協会〈JUAS〉「企業IT動向調査報告書2024」）
拡大画像表示

　特に中小企業では、予算や教育リソースの制約から内製化が進まず、外部委託への依存度が高くなりがちである。これにより、ノウハウの蓄積が困難となり、長期的な対応力の構築が遅れる傾向がある。また、業務負担の大きさやキャリアパスの不透明さも離職を招く要因となっており、人材確保は一層困難になっている。

●Next：今こそ点検すべきセキュリティ・コンプライアンスの体制