デジタル法規制による自社への影響 CISOに比べてCEOは過小評価する傾向がある:PwCがサイバーリスクに関する調査結果を発表
PwC Japanは、サイバーリスクに関する調査「Global Digital Trust Insights」の結果を発表した。増加するデジタル分野の法規制について、日本企業の経営層は「大幅なコンプライアンスコスト増加や業務改革に迫られている」と認識していることが分かった。
PwC Japanは2024年4月17日、サイバーリスクに関する調査「Global Digital Trust Insights」の結果を発表した。この調査は、ビジネスや技術、セキュリティ分野の経営層を対象に、増加するデジタル分野の法規制への対応について聞いたもの。71カ国で実施し、3876人の有効回答を得た。
それによると、増加するデジタル分野の法規制について、多くの日本企業の経営層が「大幅なコンプライアンスコスト増加や業務改革に迫られている」と認識していることが分かった。
経営層同士でも発生する“認識違い”
AI(人工知能)やサイバーセキュリティ、プライバシー保護、製品セキュリティなどのデジタル分野で、企業のビジネスモデルの変革を迫る法令が世界各国で次々と制定されている。「このような状況下では、経営陣は規制の変化をプロアクティブに把握し、規制が及ぼす影響の範囲とその大きさを継続的に評価する必要がある」とPwC Japanは指摘している。
一方、「法執行機関への報告義務への対応」に関する規制について、「大幅なコンプライアンスコスト増加や業務改革に迫られている」と答えた人の割合は、CISO(最高情報セキュリティ責任者)などのセキュリティリーダーの60%に対して、CEOなどのビジネスリーダーは25%と経営層同士であっても、認識は一意ではなかった。
PwC Japanによると、こうしたビジネスリーダーとセキュリティリーダーの間のデジタル分野の法令に関する情報格差を埋めるために、ビジネス視点でセキュリティ業務を担う「BISO」(Business Information Security Officer)を設置する企業が増えているという。調査結果によると、BISOを一部でも導入している企業の割合は、世界平均の76%に対して日本は83%と高かった。ただし、日本の企業はBISOを最大限活用できているとは言い切れないようだ。BISO導入の効果を実感している日本企業の割合は23%で、PwC Japanは「BISOの設置が形骸化してしまっている恐れがある」と分析している。
BISOの実効性を高めるためには組織横断的な働き掛けが重要だとPwC Japanは考えており、具体的な対策として次の3つを挙げる。
- サイバーセキュリティの専門用語で語らない
- サイバーセキュリティを経営層の主要議題にする
- 事業全体に関わる取り組みとしてセキュリティを推進する
「2024年にサイバーセキュリティが直面する大きな変化に対してスピーディーかつダイナミックに対応するため、BISOがセキュリティリーダー(CISOなど)とビジネスリーダー(CEOなど)の橋渡し役として、情報格差を埋める働きをすることが重要だ」(PwC Japan)。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
みずほフィナンシャルグループCO-CISOが語るセキュリティの“かたち”――フレームワーク、組織、共助
2024年2月27日、アイティメディアが主催するセミナー「ITmedia Security Week 2024 冬」で、みずほフィナンシャルグループ 執行理事 情報セキュリティ共同担当(グループCO-CISO)寺井理氏が基調講演「みずほの“グループCISO”から見る、セキュリティのかたち、組織のかたち」に登壇した。
従業員に起因するサイバーセキュリティリスクの軽減における生成AIの可能性
データ侵害の大部分は、人的要素が関与している。生成AIは、従業員に起因するサイバーセキュリティインシデントを減らす切り札になるだろうか。
何でもかんでも「クラウドサービスだから利用禁止」にしないためには? クラウド時代のセキュリティ運用の在り方を考える
クラウドサービス利用が拡大したことで、企業には新たなセキュリティ運用における課題が生まれています。しかも、運用部門、セキュリティ管理責任者、企画部門など、それぞれの職務によって異なる問題と悩みを抱えています。こうした課題が積み重なった結果、「クラウドサービスは禁止」と決定する極端なケースもあります。本稿では、クラウド時代のセキュリティ運用を考えます。