2015年5月、サイバー攻撃によって日本年金機構から125万件もの個人情報が流出してしまいました。この事件は、1ヵ月後の米国での連邦人事管理局(OPM)へのハッキング事案と同様、日本で注目を集めました。近年情報流出が続く中、この日本年金機構の事件は日本を震撼させ、経営者層の意識を高めるとともに、日本のサイバーセキュリティ態勢に大きな影響を与えています。

 7ヵ月後となる2015年12月、経済産業省及び独立行政法人 情報処理推進機構(IPA)は、「サイバーセキュリティ経営ガイドライン Ver 1.0 」を発表しました。この36ページに及ぶ文書は、経営者層向けに専門用語を廃し、平易な日本語で書かれています。同ガイドラインでは、積極的にセキュリティ対策を推進する経営幹部のいる割合がグローバルでは59パーセントであるのに対し、日本ではわずか27パーセントにとどまるというPwCの調査結果 が引用されています。この結果に経済産業省及びIPAは衝撃を受けました。

 このガイドラインの発表後、産業界の関心は高まりました。日本の経営者層は、自社のサイバーセキュリティ対策の方向性を学ぼうとしています。ガイドラインに関するセミナーは東京をはじめとする大都市で盛況です。従来であれば、サイバーセキュリティ系のイベントに主に参加するのは技術者だったのとは対照的に、マネジメント層や経営者層も足を運ぶようになってきています。また、日本のキープレイヤーたちもこうした動きに呼応しています。2016年1月に経団連は「サイバーセキュリティ対策の強化に向けた第二次提言」を発表し、経営者層の意識向上を促すとともに、サイバーセキュリティの確保を「経営上のリスク管理の重要項目」と位置づけています。

 経団連が先鞭を付けた後、今年4月には富士通株式会社がグループ全体に適用するグローバルな「富士通グループ情報セキュリティ基本方針」を策定・発表しました。日本企業は文化的に足並みをそろえることを好むため、他企業も今後続々とポリシーの策定をするものと思われます。

 では、日本人以外の読者にとって、本文書はどのような意味を持つのでしょうか?

 日本政府は、ガイドラインの概要の中で、サイバーセキュリティは経営問題であり、知財など企業価値を守るためIT及びセキュリティに対する投資を経営判断としてすべきであるとうたっています。合わせて、経営者が認識する必要のある3原則及び情報セキュリティ対策を実施する上でのトップとなる最高情報セキュリティ責任者(CISO)に指示すべき重要10項目について説明が加えられています。

 3原則とは、下記のとおりです。

  • 経営者がリーダーシップをとって、経営に対して受容できるリスクのレベルを勘案し、サイバーセキュリティに投資する
  • 情報漏えいリスクの軽減のために、自社のみならず、系列企業及びビジネスパートナーのセキュリティ対策も策定する
  • サイバーセキュリティ対策について関係者に説明し、コミュニケーションをとり、信頼を構築する

 重要10項目は、より具体的にとるべき手段について説明してあり、経営者とセキュリティ担当者との橋渡し役になることを求めています。経営者層がCISOに指示すべき項目は、下記のとおりです。

  1. セキュリティポリシーの策定
  2. 適切な管理体制の構築と責任の明確化
  3. 守るべき資産の特定、セキュリティリスクの洗い出し及びリスクへの対処計画の策定
  4. PDCAの実施
  5. 系列企業やビジネスパートナーによるPDCAの運用
  6. 必要な予算の確保及び人材育成
  7. 自社の技術力や効率性を鑑み、自組織で対応する部分と他組織に委託する部分との適切な切り分け
  8. 情報共有活動への参加及び貢献
  9. 緊急時の対応体制の整備及び演習の実施
  10. 被害発覚後の通知先及び開示が必要な情報項目の整理

 本ガイドラインは法的拘束力がある訳ではないものの、日本政府から民間企業への期待値が示されたものです。日本では政府からの期待にかなりの重みがあり、行動が求められます。こうした文化的な背景に加えて、日本企業の間では(海外企業と同様に)サイバーセキュリティの強化の必要性がますます認識されるようになっており、変革の土台が築かれています。

 サイバーセキュリティ経営ガイドラインの発表のタイミングは、日本企業が自らの価値を急速に理解するようになってきたこととも一致しています。日本年金機構の事件後、改正個人情報保護法 が2015年9月に成立し、個人情報を保護し、漏えいを防ぐためのセキュリティ措置が全企業に求められるようになりました。また、2016年1月からのマイナンバー制度の開始も影響しています。

 これらの動きは、2014年、 約3500万件の顧客の個人情報 を名簿業者にベネッセの子会社の派遣社員の元SEが売却していたことが明らかになり、ベネッセは顧客に200億円分の補償をし、情報漏えいへの法的リスクが明白化したことなどを受けたものです。会社法 (専門家によるブログ記事)では、CIOやCFOなど役員が情報セキュリティを含む内部統制構築義務を負うことになっています。

 当該ガイドラインが出てから5ヶ月が経ちましたが、上述のとおり、新たにサイバーセキュリティのポリシーを策定・発表する企業も出てきており、これは日本国内及び国外のビジネスパートナーにも影響を与えるものと思われるため、本ガイドラインの英語への翻訳は有益でしょう。そうすれば、世界中の人々が日本のサイバーセキュリティの方向性を理解し、ベストプラクティスを共有し、ガイドラインにコメントを寄せ、政府の努力が国際動向に沿ったものにする機会を最大化していくことが可能となるからです。

 こうしたアプローチは、既に最近グローバルにメッセージを発信する上で実を結んでいます。内閣サイバーセキュリティセンター(NISC)が2015年にサイバーセキュリティ戦略を策定した際、ほぼ同時期に日本語版と英語版を発表しました。日本政府は従来英語版を出すことがあっても、翻訳に数ヶ月を要しており、これは日本政府にとって新たな試みでした。影響力を日本国内にとどめるのではなく、グローバルに影響を及ぼす戦略を作ろうとする日本の強い決意を反映していたと言えるでしょう。

 サイバーセキュリティを自力のみで確保できる国、セクター、企業は存在しません。チームワークとコミュニケーションが不可欠です。サイバーセキュリティ経営ガイドラインは、歓迎すべきものです。パロアルトネットワークスを含めグローバル企業の多くが政府による健全かつ官民連携に基づくサイバーセキュリティ政策の推進を強く支持しており、そうした政策の推進があってこそ、直面するサイバーリスクを組織が評価・対処することが可能となります。日本は世界三位の経済大国であり、サイバーセキュリティ強化に向けての努力はグローバルにインパクトを与えます。日本のサイバーセキュリティ経営ガイドラインは、グローバルに読まれるべきものなのです。

 本ブログは、松原実穗子及びダニエル・クリズによる政府、グローバル企業などの読者を対象とした、日本のサイバーセキュリティの取り組みとその意義について紹介する共著ブログシリーズ第一弾です。次回以降、サイバーセキュリティ経営ガイドラインに関する続編、2016年5月下旬に日本が主催するG7サミット、グローバルなサイバーセキュリティの能力構築における日本の役割、日本におけるサイバー脅威情報共有及び今後の見通し、2020年の東京五輪に向けたサイバーセキュリティへのインパクトなどについて書いていく予定です。