日本に必要なのは「名ばかり」ではない、情報セキュリティ統括責任者だ―PwCサイバーサービス星澤裕二氏

　事後の調査報告によると対応費用は基礎年金番号の変更処理に4億、専用ダイヤルに3億、お詫び文書送付に1億。これだけでも8億円だ。公的機関だからここまで対応できたものの、一般企業でここまでできるかと考えると疑問だ。 　

　日本年金機構はサイバー攻撃の被害者ではあるものの、個人情報を流出させた加害者とみなされて批判を浴びることとなった。対応が遅れたり、適切でなければ信用喪失や株価下落など、さらに傷を広げてしまうことになる。 　

　では、企業は何を準備すべきか。星澤氏は個人情報流出の対応ポイントして、インシデント対応組織（CSIRT）手順の明確化、社員向けの対応手順の明確化と周知、インシデント発生時の対応体制の明確化、封じ込め策等の判断基準・権限者・手順の明確化、情報漏えい時の全社対応体制の明確化、ステークホルダーへの対応手順の明確化を挙げた。 　

　特に重要なのは「情報セキュリティ統括責任者」の存在である。呼称はともかく、インシデント発生時に全社横断的に指揮を執れるような存在だ。企業は万が一の事態が生じたら誰がどのタイミングで何をするか、組織体制と手順を明確にしておく必要があると星澤氏は説く。 　

　実情はどうか。PwCのグローバル情報セキュリティ調査2016によると「情報セキュリティ対策として専任者を設置しているか」という問いに対してはグローバルも日本も54％。日本は前年の40％から向上し、グローバルと並ぶレベルに達した。 　

　しかしこれだけでは安心できない。星澤氏は意思決定や効力から見て、日本はまだ課題を抱えていると見ている。例えば、同調査において情報セキュリティの統括責任者に関して「役員・取締役に直接リスクと戦略を伝えることができる」との回答はグローバルが43％なのに対して日本では半分以下の19％だ。「自社のビジネス課題と市場環境を理解している」もほぼ同程度、「ビジネス上の問題やニーズを把握するために、社内関係者と協力している」はグローバルで36％で日本は26％。 　

　つまり、まだ資質面で追いついていないということだ。これでは「名ばかり」の存在となってしまう。星澤氏は「グローバルではCEO、役員、取締役とのコミュニケーションが取れることや専任であることがスタンダードです」と指摘する。

　理想としては、企業の経営陣に直接リスクや戦略を意見できること、社内横断的にリーダーシップを発揮できること、社内外の人脈が豊富で情報収集能力に長けていること、CIOやIT部門に技術的なセキュリティ要件を提示して適切に実装されているか確認できることなどが挙げられる。人材の確保、育成も含めて対策が必要ということでもある。