Posted: 09 Apr. 2021 3 min. read

第17回:事業活動に必須な投資

シリーズ:DX時代のサイバー対策

DX時代では経営者自らがリーダーシップを発揮し、サイバーセキュリティー戦略を組織全体に方向づけていく必要があり、そのためには課題・目標や戦術、組織体制をまとめた「サイバーセキュリティー戦略」が鍵となる。それはDX時代の社会要請であり政府の方針とも整合する。

 

参考になるのが、経済産業省が取りまとめた企業の行動原則「デジタルガバナンス・コード」だ。DXによる企業価値向上に向け経営者が実践すべき事柄を定めており、その中でDX戦略の前提となるサイバーセキュリティー対策を推進することを強く求めている。

同コードに沿ったセキュリティーの具体的な要件は、同じ経産省が公表した「サイバーセキュリティ経営ガイドライン」に掲載している。まず、経営者がサイバーセキュリティー対策を実施する上で認識する必要がある「3原則」=「経営者のリーダーシップ」「委託先を含めた対策」「平時からの情報共有」を提示。さらにそれをセキュリティーの担当幹部に指示すべき経営課題に落とし込んだ「重要10項目」を示している。

同ガイドラインは経営問題としてのセキュリティー対策についても触れており、「コスト」ではなく、将来の事業活動・成長に必須な「投資」と捉えることが重要であると強調している。事業活動に直結するだけではない。同ガイドラインは「経営者が適切なセキュリティー投資を行わずに社会に対して損害を与えてしまった場合、社会からリスク対応の是非、経営責任や法的責任が問われる可能性がある」とも指摘している。こうした事態を招かないためにも、セキュリティーは経営者が率先して取り組むべき課題といえる。

さらに経産省では、DXに対応する企業を国が認定する制度「DX認定制度」を2020年5月から始めている。これは同月に施行された企業のデジタル技術活用を促進する「改正情報処理促進法」に基づく制度で、優良なDXの取り組みを進める事業者を申請によって経産省と東京証券取引所が共同で「DX銘柄」として認定する。

その際の認定の指針となるのが、先に挙げたデジタルガバナンス・コードである。このデジタルガバナンス・コードには、「ビジョン」や「戦略」「組織づくり」「ガバナンスシステム」などDXで取り組むべき方策ごとに認定基準を記載してあり、サイバーセキュリティー対策の推進もそのうちの一つとして明記している。

DXとサイバーセキュリティーはもはや不可分な関係になっていることがお分かりいただけたかと思う。個別の対策だけなく、DXの中でサイバーセキュリティーをどう位置づけるか、より大きな視点からの戦略が求められている。

※クリックかタップで拡大画像をご覧いただけます

 

本稿は2021年1月19日に日経産業新聞に掲載された「戦略フォーサイト:DX時代のサイバー対策(18)事業活動に必須な投資」を一部改訂したものです。

D-NNOVATIONスペシャルサイト

社会課題の解決に向けたプロフェッショナルたちの物語や視点を発信しています

プロフェッショナル

岩本 高明/Takaaki Iwamoto

岩本 高明/Takaaki Iwamoto

デロイト トーマツ サイバー合同会社 パートナー

大手インテグレーター、戦略系コンサルファームを経て現職。企業に対するサイバーセキュリティ戦略立案、リスク分析・対応方針立案等の業務を歴任。CISO等の経営アジェンダを広くカバーする一方、技術対策までサイバー全体に一貫整合した経験を有する。