【特集】　国が企業の経営戦略と位置付けた「サイバー攻撃対策」

●経営者向けにガイドラインを公表

　もはや、企業にとってサイバー攻撃は避けられないリスクとなり、経済産業省は2015年12月、独立行政法人情報処理推進機構（IPA）とともに、経営者がサイバー攻撃から企業を守るための理念や行動をまとめた「サイバーセキュリティ経営ガイドライン」を公表。国として経営者に向けてサイバーセキュリティ対策にかかわる指針を打ち出したのは初めてのことだ。

　同ガイドラインは、企業や組織の経営者にサイバーセキュリティへの取り組みを促す目的で、経営者が認識すべき「3原則」と、経営者が情報セキュリティ担当者に指示すべき「重要10項目」で構成されている。

　さらに2016年12月には改訂版を公表し、「経営戦略としてのセキュリティ投資は必要不可欠かつ経営者としての責務である」との言葉が明記された。まさに、サイバー攻撃に対するセキュリティ投資は事業を継続させるための「企業戦略」であり、どの程度まで防衛力を向上させるべきか、企業のトップとして経営判断が求められているわけだ。

　とはいえ、サイバー攻撃も進化し続けており、企業の防衛力を高めても100％防ぐことは難しいといえる。そこで、アメリカを中心にサイバー攻撃などで受けた損害を補償する「サイバー保険」が人気を集めているが、最近では日本の損害保険会社も「サイバー保険」の商品開発に力を入れている。例えば、損保ジャパン日本興亜の「サイバー保険」は、企業のサイバーセキュリティ対策を支援するため、情報漏えいによる損害賠償金や利益損害、営業継続費用など、サイバー攻撃による被害を幅広く補償。さらに、情報漏えい等が発生した場合、被害を最小限に食い止めるため、企業には迅速な原因調査や被害拡大を防止する緊急対応が求められるが、これらの支援を行う専門業者と連携し、円滑な復旧を支援するサービスを「サイバー保険」に加入したすべての契約者に提供している。

　また、損保ジャパン日本興亜の関連会社であるSOMPOリスケアマネジメント㈱では、サイバー攻撃に対する企業としての適切な対策の検討・実施・維持していくための活動等を支援するコンサルティングサービスを提供している。

　サイバー攻撃によって、純利益の半分以上を失うような損害を受けた企業も存在する。「うちは大丈夫」だと思っていても、実際にはサイバー攻撃を受けたことに気づいていないだけで、すでにウィルスが侵入していることも十分考えられる。2020年には東京オリンピック・パラリンピックを控えているだけに、国としてもサイバーセキュリティをより強化していく方針だ。企業においても、経営者が主体となってサイバーセキュリティ対策という「経営問題」に向き合うことが喫緊の課題といえる。

　関与先企業がサイバー攻撃を受けないためにも、また、多くの顧客情報を有している税理士事務所が情報漏えいなどの被害に遭わないためにも、まずは経済産業省の「サイバーセキュリティ経営ガイドライン」などをチェックしておきたい。

経営者が認識する必要がある「３原則」

１．ビジネス展開や企業内の生産性の向上のためにITサービス等の提供やITを利活用する機会は増加傾向にあり、サイバー攻撃が避けられないリスクとなっている現状において、経営戦略としてのセキュリティ投資は必要不可欠かつ経営者としての責務である。このため、サイバー攻撃のリスクをどの程度受容するのか、セキュリティ投資をどこまでやるのか、経営者がリーダーシップをとって対策を推進しなければ、企業に影響を与えるリスクが見過ごされてしまう。

２．子会社で発生した問題はもちろんのこと、自社から生産の委託先などの外部に提供した情報がサイバー攻撃により流出してしまうことも大きなリスク要因となる。このため、自社のみならず、系列企業やサプライチェーンのビジネスパートナー等を含めたセキュリティ対策が必要である。

３．ステークホルダー（顧客や株主等）の信頼感を高めるとともに、サイバー攻撃を受けた場合の不信感を抑えるため、平時からのセキュリティ対策に関する情報開示など、関係者との適切なコミュニケーションが必要である。