三角育生教授が説く「戦略マネジメント層」の重要性──セキュリティリスクを経営陣に理解してもらうには？

日本の「DXの経営ごと化」に対する遅れとセキュリティリスク

　DXは単なるデジタル化ではない。経済産業省が情報処理推進機構（IPA）などと共同で行っている「DX銘柄」で評価された企業の事例を見ると、DXの本質は企業や組織の「価値観」や「行動様式」そのものを変革することにある。三角氏はまず、DX銘柄に認定されている味の素の取り組みを一例にあげながら詳細を解説した。

　味の素は、トップがミッション・ビジョン・バリュー（MVV）を明確に定め、グループ全体に共有することで、組織全体がデータとICTを駆使して社会貢献を目指せる仕組みを構築した。これは、単に業務をAIなどに置き換えるのではなく、経営層が率先して旗を振り、企業文化の変革と人材育成をセットで進めることで、ICT活用がビジネス成果に直結した典型的な事例と言える。

　また、中小企業においてもDXに取り組む企業は増加傾向にある。内実を見ると、ICT活用による業務効率化だけでなく、既存製品・サービスの価値向上や新製品・サービスの創出といった、より広範なビジネス成果を目指している企業ほど、プラスの効果を出しているとのことだ。

　しかし、日本企業におけるDX推進は依然として課題を抱えている。日米比較のデータによれば、日本は米国に比べてIT関連の知識を持つ役員の割合が低く、経営者とIT部門、事業部門との連携も十分とは言えない。また、DX推進のための予算が単年度予算に依存している企業も多く、中長期的な視点での投資が不足している実態も示された。これは、DXが経営の中心課題として十分に認識されていないことの現れだろう。

　こういった背景の中で、ICT活用が深化すればするほど、サイバー攻撃のリスクは高まる。近年のサイバー攻撃におけるリスクは、もはや情報漏洩のみに留まらない。特定の組織を狙うランサムウェア攻撃は、企業が保有するファイルを暗号化するだけでなく、情報を盗み出し公開を盾に身代金を要求する「二重恐喝」の手口が主流となっている。被害に遭えば事業を停止せざるを得なくなり、その損失は数十億円規模に及ぶ可能性もある。

　「とある大阪の病院では、ランサムウェア攻撃によりネットワークを遮断したことで事業がストップし、約二桁億円の損害を被りました。また、私が所属している東海大学もランサムウェア攻撃の被害に遭っています。被害が生じてから対策するのでは遅く、一度情報が流出すれば被害額がどんどん大きくなる可能性があるため、早期の対策が求められます。これは、IT部門だけでなく事業部門や経営者も巻き込んで考えるべき問題です」（三角氏）