内部統制のキホン「3層防御」がうまく機能しない……第1線と第2戦の溝を埋める「第1.5戦」とは？

業界基準と社内統制が違う場合の落としどころは？

　グループ会社が多業種にまたがるコングロマリット企業では、各事業部が準拠すべきセキュリティ基準が異なることが珍しくありません。金融業界ではFISC安全対策基準に準拠したシステム管理が求められますし、自動車業界では国連のUN-R155に基づくCSMS（Cyber Security Management System）の構築が求められます。第2線が定めたセキュリティ要件と重複したり、ときに矛盾したりすることがあります。

　たとえば、ある自動車部品メーカーでは、欧州向けの製品を扱う事業部がUN-R155に準拠したサイバーセキュリティ管理体制の構築を求められました。一方、全社的にはISMSに基づくセキュリティ統制が運用されており、UN-R155とISMSという異なる2種類の膨大なセキュリティ要件を一つひとつすべて埋めていくには負荷が高く、対応が形骸化する要因となっていました。このとき、第1.5線が中心となり、UN-R155の要求事項を精査し、ISMSの管理策とのマッピング表を作成。重複する管理策は一本化し、UN-R155特有の要件（たとえば車載ECUの脅威分析）については、追加要件として第1線に伝達し、必要な要件のみに絞ることで異なる2種類のセキュリティ要件に準拠することを実現しました。

　このように、第1.5線は業界基準と社内統制の橋渡し役として、現場の実情を踏まえた柔軟な対応を可能にします。第2線が一方的にルールを押し付けるのではなく、第1.5線が調整に入ることで、現実的かつ実効性のあるセキュリティ対応が実現されるのです。

単なる橋渡し役で終わらせない、第1.5戦導入の手引き

　第1.5線が登場して第1線の事業部門と第2線のセキュリティ部門の連携が円滑に進むようになりましたが、第1.5線の立場は決して楽ではありません。第1線からは「またセキュリティか」「本業に支障が出る」といった反発を受ける一方で、第2線からは「この対応はいつ完了しますか？」「セキュリティチェックシートが未提出です」といった期限遵守の圧力がかかります。実際に、第2線が年次でのセキュリティアセスメントを実施する時期が第1線の繁忙期と被り、第1線の協力を得られないということも。第1.5線の担当者は、第2線から期限を守るよう催促されつつ、第1線からは「今は対応できない」と突き返されるという典型的な板挟み状態がありました。第1.5線を単なる橋渡しにとどめず、戦略的な役割として機能させるためには、以下のような設計と支援が不可欠です。

1. 役割と責任の明確化

　第1.5線が何を担い、どこまでの裁量を持つのかを明文化し、第1線・第2線双方に共有します。これにより、「誰が何をやるのか」が曖昧なまま第1.5線に双方のしわ寄せがくる事態を防ぎます。

2. 第2線との協力体制の構築

　定例ミーティングやグループチャットを設け、第1.5線が気軽に相談・エスカレーションできる体制を整えます。第2線側も第1.5線が板挟みにあわないよう支援する姿勢を持つことが重要です。

3. 業務負荷の可視化と調整

　第1.5線の業務量を定量的に把握し、必要に応じてリソースの追加や期限の調整を行います。特に第1.5線の担当者が兼務者の場合は、セキュリティ業務に割ける時間を考慮する必要があります。また、第2線のリスク評価手法を見直して効率化を図る、リスク評価やコミュニケーションのプラットフォームを整備して人手による作業を減らすことが重要です。

4. 評価制度への反映

　第1.5線の活動が人事評価に反映されるようにすることで、モチベーションの維持と役割の正当性を担保します。また、第1.5線を経験することで専門職や管理職へのキャリアアップが可能であることを示すことで、モチベーションを維持します。

5. 人材育成

　第1.5線は第1線と第2線の橋渡しをするうえで双方の知識が必要なのはもちろん、バランス感覚も求められます。制度を設けて担当者を任命するだけでは機能しにくいのが現状です。ジョブローテーション制度を用いて、第1線と第2線の担当者を入れ替え、双方の業務を経験してもらう、既に機能している第1.5線担当者にOJT形式で教育するといった方法があります。

　第1.5線の導入は容易ではありませんが、導入により第1線と第2線の連携が円滑に進む効果があることも事実です。まずはスモールスタートとして第1.5線の導入を検討してみていただければ幸いです。