企業経営者が担うべき役割の一つが、自組織のリスクマネジメントであることは言うまでもないが、経営者の立場からすればサイバーセキュリティは企業活動に関わる様々なリスクの中でもだいぶ厄介なリスクではないだろうか。財務や防災などのリスクであれば過去の経験などからリスクの中身や影響の程度はおおよそ想定できるが、サイバーセキュリティ関連のリスクとなると、発生頻度や被害規模の想定ができるのは従業員によるパーソナルコンピュータ（PC）の紛失やメールの誤送信程度であって、誰が行っているかもわからないサイバー攻撃が自社にどのような影響を及ぼすかは見当もつかない。かといって、対策せずに被害が発生して社会的な非難を浴びても困るので、やむを得ずセキュリティベンダーの提案のままに発注しているケースも多いかもしれない。もっとも、ベンダーの提案通りに対策したところで被害がゼロにはならないので万一のためのインシデント対応体制まで整備せよというのであるから、費用対効果も読めず理不尽と感じられても致し方のないところである。
本稿では、そのような悩ましいサイバーセキュリティリスクを、どのように企業活動のリスクマネジメント（ERM：エンタープライズリスクマネジメント）に取り込んでいくべきかについて論じてみたい。

多様化するデジタルリスク

振り返れば、企業で用いるPCがインターネットに接続され始めたことで、コンピュータウイルス感染によって業務が滞ったり、外部からの不正アクセスで情報漏えいが生じたりといったリスクへの警戒が呼びかけられたのが2000年代初頭であった。2003年には個人情報保護法が施行され、一定規模の個人情報を扱う企業においては安全管理措置の実施が法定義務となった。一方で、この頃までは企業におけるサイバーセキュリティ対策はパッチプログラムの適用やソフトウェアの更新等、どの企業でも概ね同じものであり、担当者が適切に対策を講じていれば、経営者の出番は対策費用の承認程度で済んでいたのである。
それから20年余りを経て、企業におけるデジタルトランスフォーメーション（DX）が進展し、様々なものがネットワークにつながっていく流れの中で、リスクは年々多様化・複雑化している。企業が直面しているリスクとして、それぞれのリスクがもたらす脅威シナリオの例を次表に示す。レピュテーションリスクのように、セキュリティとは言えないリスクもあることから、ここでは表に挙げたようなリスクを総称して「デジタルリスク」と呼ぶこととしたい。

企業におけるデジタルリスクの例

出典：みずほリサーチ&テクノロジーズ作成

ガバナンスの視点をデジタルリスクに適用する

このように多様化・複雑化したリスクに適切に対応するには、コーポレートガバナンスの視点で捉えたリスクマネジメントの考え方をデジタルリスクにも適用する必要がある。コーポレートガバナンスは「企業統治」と訳されることもあって、「統治」のニュアンスから経営者の方針を現場まで伝え、徹底させることであると解釈されがちである。それはもちろん重要であるが、経営者が何をリスク対策と認識し、企業としてどのような体制を構築してどのような対策を実施するかという意思決定もガバナンスの対象である。どの企業もやるべきことはほぼ同じであった20年前とは異なり、企業の事業内容・体制に応じて「どこにどのように対策すべきか」が変わってくる現状において、従来のような担当者任せではガバナンスは機能しない。経営者が適切な方針を示し、その実施に必要な予算を割り当てることで初めて、有効なデジタルリスクガバナンスが成立するのである。経済産業省が2023年に公表した『サイバーセキュリティ経営ガイドラインVer3.0』^*1では、経営者が認識すべき3原則の第一項として、「経営者は、サイバーセキュリティリスクが自社のリスクマネジメントにおける重要課題であることを認識し、自らのリーダーシップのもとで対策を進めることが必要」である旨を示し、その補足説明として、「経営者はリーダーシップをとってサイバー攻撃のリスクと企業への影響を考慮したサイバーセキュリティ対策を推進するとともに、企業の事業継続のためのセキュリティ投資を実施すべきである。」としている。自社におけるデジタル活用の実態をもとに、対策投資に関する意思決定が経営者に求められている。
それでは、デジタルリスクガバナンスの実践にあたり、どのような点に留意すればよいのだろうか。まず認識すべきは、リスクを限りなくゼロにすることは求められていないことである。莫大な費用をかければそれに近いことは可能かもしれないが、株主や投資家がそれを歓迎することはなく、従業員も顧客もセキュリティ最優先がもたらす煩雑さには拒否反応を示すはずである。一方で、業界や業務内容に応じて最低限やっておくべき対策（ベースライン）も存在する。対策を実施するには予算がいるので、その予算配分を通じて経営者によるガバナンスの方針が対策として具体化する。自社のデジタルリスクを社会的に許容され得る範囲に収めるために必要十分な予算の見極めは決して容易ではないが、その実践によって、企業はデジタル社会における責任を果たすことができる。
次に留意すべきことは、生成AIの技術革新の速さに示されている通り、デジタル活用の分野は変化が速く、そのリスクも絶えず変化するということである。そのような状況において、「いったん方針を決めたら5年間はそれを維持する」といった自社都合の押しつけは通用しない。そこで、このような変化を踏まえたガバナンスの在り方として、「アジャイル・ガバナンス」が提唱されている^*2。これは、「システムデザイン→運用→評価」というガバナンスのサイクルにおいて、その前提となる環境分析やゴール設定を常に見直し続けると共に、外部に対する透明性やアカウンタビリティを確保するようなモデルを想定することで、変化に対応可能なガバナンスを実践するという考え方である。投資家、経営者、担当者といったガバナンスに関するすべてのステイクホルダーの間でこのような考え方を共有し理解を得たうえで、デジタルリスクへの対応を継続的に見直し、改善していくことでガバナンスの目標を達成に導くことができる。

専門家集団の活用

このように、デジタルリスクの影響を抑制するために欠かせないガバナンスであるが、デジタルの得体の知れなさを鑑みると、「これからはアジャイル・ガバナンスだ」と言われても実際にどうすればよいのか自信を持てない方がほとんどではないか。その感覚は極めて正しく、自社のデジタルリスクへの対策計画の妥当性を判断するにも一定程度の専門的かつ最新の知識が求められることから、意思決定は専門家のアドバイスをもとに行うことが望ましい。専門家といっても、多様化したデジタルリスクの全てに強い専門家はまずいないので、専門家集団という表現が適切かもしれない。さすがにそれが無料でというわけにもいかないが、方針策定のアドバイザリーに費用をかけることへの抵抗感がある方々も多いかと思う。それでも、判断の誤りが原因で企業ブランドを大きく棄損するような事態を招く可能性を考えると、デジタル投資における重要な構成要素との認識も必要ではないか。このとき、自社のシステム等を調達したベンダーに相談することも有益であるが、残念ながらベンダーの中には、貴社のあるべき姿よりもベンダー自身の都合を優先させた提案をするところもあるようである。そのような場合は、医療等と同様、セカンドオピニオンを得ることが有用である。弊社に限らず、経営戦略の観点も含めた多様なデジタルリスクのガバナンス及びマネジメントに関するコンサルティングサービスが提供されているので、まずは気軽に相談してほしい。専門家に丸ごと任せてしまうのではなく、一緒に考えるなどの工夫によってコストを抑えることも可能である。
最後ながら、今まで述べた専門家集団はあくまでアドバイスの提供元であり、最終的には意思決定を経営者（社内のセキュリティ担当（CISO：Chief Information Security Officer）も交えて）が行う必要がある。そのために知っておくべきセキュリティに関する知識として、政府機関でとりまとめている結果もあるので参考にしていただきたい^*3。デジタル社会で企業を導く経営者においては、このように専門家を上手に活用しつつ、リスクを恐れず挑戦する企業を目指していただきたい。