サイバーセキュリティとプライバシー保護を通じて信頼を築くための5つのステップと日本企業の課題
KPMGコンサルティング株式会社(以下、KPMGコンサルティング)は、ビジネスの幅広い領域でデジタル化が進むなか、サイバーセキュリティとプライバシー保護がステークホルダーとの信頼の構築と維持に果たす役割について調査した結果をまとめ、「KPMGサイバートラストインサイト2022」(日本語版)として発表した。
企業活動において最も重要な要素の1つに「信頼」が挙げられる。デジタル化された社会では、情報の収集と処理における公平さや誠実さが成功のカギで、取引先をはじめ、顧客や従業員、投資家などのステークホルダーは信頼できる組織を求めている。企業における「デジタル技術の活用への信頼=『デジタルトラスト』」を築き、維持するためには、サイバーセキュリティとプライバシー保護が不可欠である。
本レポートは、KPMGが日本を含む世界各国の企業の経営者など約1900人の上級管理職を対象に実施した調査を基に、「信頼性の向上が企業活動にもたらす効果」「デジタルトラスト(デジタル技術の活用への信頼)の動向」「信頼の構築において最高情報セキュリティ責任者(CISO)が果たす役割」などについてまとめるとともに、サイバーセキュリティとプライバシー保護を信頼構築に生かすための5つの重要なステップを紹介している。また、KPMGコンサルティングが日本とグローバルの調査結果を比較した日本企業の特徴もあわせて解説している。
【サイバーセキュリティとプライバシー保護を通じた信頼構築のための重要な5つのステップ】
1.サイバーセキュリティやプライバシー保護をビジネスと結びつけて扱う サイバーセキュリティとプライバシー保護を、組織のビジネスプロセス、ガバナンス、文化に組みこむことで、コンプライアンス部門主導ではなく、ビジネスに不可欠な要素とする。 2.社内の協力関係を築く CDO(最高データ責任者)やCPO(最高プライバシー責任者)などと協力し、デジタルトラストの確立、定着、維持に貢献する。 3.CISOの役割を再認識する より幅広い課題を受け入れ、ESGからAI倫理に至るまで、幅広い貢献ができることを認識する。 4.経営層の支持を得る CISOは経営層や取締役会の支持を得ることで、信頼に関する課題の推進に貢献しやすくなり、つまり、CISOを狭義の技術的役割から、組織の戦略的キーパーソンへと進化させることが重要となる。 5.エコシステムを頼る 組織のエコシステム内の主要なパートナーを特定し、それらのパートナーと密接に連携し、信頼とレジリエンスの向上に貢献する。 |
■主な調査結果
【デジタルの進化】
企業におけるDXが本格化するなか、ステークホルダーとの「信頼」はかつてないほど重要になっており、その影響を受けるのは組織の評判のみにとどまらない。今回の調査でも、回答者の多くが信頼性の向上による主なメリットとして、「収益性の向上」(37%)、「顧客維持率(カスタマーリテンション)の向上」(36%)、「取引先との関係性の強化」(34%)を上位に挙げている。
企業がDXを推進する過程でサイバーセキュリティとプライバシー保護への投資は戦略的イニシアティブの達成に不可欠なものとみなされるなか、80%以上の回答者が「サイバーセキュリティとデータ保護の改善が重要」と認識し、51%が「サイバー攻撃からIT資産を保護することが大切」としている。
【デジタルトラストの動向】
産業界でAI(人工知能)やML(機械学習)の利用が進むにつれ、信頼に関する新たな課題が生じている。これらの技術は取扱いを間違うと、サイバーセキュリティやプライバシーのリスクを高め、風評被害や規制当局の制裁を受ける可能性がある。
組織はこういったリスクを認識し始めている。78%の回答者が「AIとMLが特別な注意を必要とするサイバーセキュリティの課題をもたらす」ととらえている。「これらのテクノロジーを導入する際には解決すべき基本的な倫理課題がある」とも考えており、課題への対応について、組織は一段とオープンに開示していく必要があると答えている。
【信頼できるコミュニティの構築】
エコシステム全体への信頼確立を目指す必要があり、回答者の79%が「効果的なサイバーセキュリティにはサプライヤーの建設的な関与が不可欠」と述べている。ただ「その実現に向けて実際に協力している」と答えた回答者はわずか42%で、こうした消極的な姿勢は重大な弊害をもたらす可能性がある。60%の回答者が「サプライチェーンの脆弱性によって攻撃される可能性がある」と答えている。
【CISOの進化】
CISOの役割はデジタル変革、サイバー犯罪の増加、規制の厳格化などを背景に、過去5年間で急速に拡大している。CISOは「革新と成長にブレーキをかける存在」と見られがちだが、今や成功要因として重要な役割を果たす立場にある。一方で、CISOと取締役会の関係について、回答者の2人に1人が高い信頼で成り立っているか、疑問に感じている。回答者の3人に1人が「取締役会はCISOを重要な幹部とみなしていない」と答えている。
■日本の特徴
日本でも、サイバーセキュリティは重大な問題と捉えられており、他国と同様、セキュリティと真剣に向き合う傾向が顕著に現れている。日本はグローバルに比べ、組織におけるCISOの影響力が限られている点や、サイバーセキュリティ強化のための社外(パートナー企業、政府、NGOなど)との連携が十分ではない点がみられる。
グローバル全体と比較して、日本の取組みが進んでいた点は「リスクモデリングによるサイバーリスクの定量化と取締役会への視覚的な報告」で、グローバル全体よりも10ポイント以上高い結果となった。
リスクモデリングによってサイバーリスクを定量化し、取締役会にリスクを視覚的に報告していますか
「非常にそう思う」と回答した人の割合
CISOの影響力の向上
日本では、「取締役会はCISOを重要な幹部とみなしていない」「CISOは十分な影響力を持っていない」との回答が高い傾向に。
取締役会とCISOに関連する日本とグローバル全体の比較
各選択肢において「当てはまる」と回答した人の割合
社内外でのセキュリティ連携強化
日本では、「サイバーセキュリティに関する教育・啓発の推進」「サイバーインシデント発生時のステークホルダー・広報対応」において、力が発揮できていない傾向に。
自組織のCISO/セキュリティチームは以下の領域で力を発揮することができていますか
各項目において、自組織のCISOや情報セキュリティチームが「効果的な役割」を果たしていると評価した回答者の割合
サイバーセキュリティコミュニティの構築
日本では、社外との連携が弱い傾向にありました。サプライチェーン攻撃への対応強化としてパートナー企業との連携の強化、また、情報共有先として政府、NGO、国際機関等とのコミュニティ構築が求められます。
サイバーセキュリティ強化のために、次のうちどの組織と協力/情報交換をしていますか
「KPMGサイバートラストインサイト2022」概要
KPMGインターナショナルは2022年5月から6月にかけて、世界各国の上級管理職1,881名を対象に調査を実施し、さらに企業経営者5名を対象に、サイバーセキュリティとプライバシー保護が信頼の構築と維持に果たす役割についてインタビューを行なった。
調査対象サンプルのうち、42%がCxOを含む経営層で構成されている。回答者には、31の市場(アジア太平洋地域24%、欧州・中東・アフリカ地域50%、北米16%、南米10%)および次の主要産業分野(エネルギー・天然資源、金融サービス、ライフサイエンス・製薬、メディア、娯楽、技術、公共部門、通信)のリーダーが含まれている。
全回答者は、1億米ドル以上の年間売上高があり、うち45%は5億米ドル以上、23%は10億米ドル以上、7%は50億米ドル以上。
本レポートの全文はこちらからダウンロードが可能
https://kpmg.com/jp/ja/home/insights/2023/04/cyber-trust-2022.html