3. コンプライアンス上の課題としてのサイバーリスクへの理解

もちろんGDPRやカリフォルニアでの個人情報保護規制への対応が重要なのは言うまでない。しかしながら、課題や取り組む内容があまりにも大きすぎるために、十分な対応ができていない場合もあるかもしれない。リスクマネジメントの基本に立ち返り、事業展開の状況に応じて、社内でリスクの優先順位付けを行い、対応が切実に求められる地域の法規制対応から着手していくべきであろう。もし欧米よりもアジア域内における事業展開に重きを置いている場合は、まずは同域内の法規制への対応こそが急務である。罰則金などはGDPRに比べてはるかに軽微であり、対応しやすい。たとえ罰則金などが軽微であっても、進出国におけるコンプライアンスに抵触する行為は、企業の信頼を大きく揺るがす可能性がある。

4. 最適な防御は正にナレッジである

サイバーリスクというとITやテクノロジーの問題だと思いがちだ。ソーシャルエンジニアリングに代表される、人間の心理的油断や理解不足によって引き起こされるサイバーリスクの方がより深刻であり、対策も実施しやすい。米国大手のサイバーセキュリティ企業も認めている通り、社員や取引先のサイバーリスク教育をはじめとしたナレッジこそが防御としての最大の施策かつ根幹である。

5. インシデントパネルを自ら迅速に用意できるか?

インシデントパネルとは、ITフォレンジックの専門家に代表されるサイバーインシデントが発生した際に絶対必要とされる「人財」である。例えば、サイバーリスクに精通した弁護士、危機対応コンサルタント、コールセンター、PRのプロ、損害額査定のプロ、国によって違いはあるが行政対応のプロ、モニタリング(特に米国)のプロなどである。こうしたそれぞれの分野の専門家をインシデント発生時に首尾よく配置されているかが、事後対応の鍵となってくる。

前述のポイントは基本的なものであるが、一歩ずつ着実に具体的な施策を積み上げ、サイバーリスクマネジメント実施のチェックリストの項目として役立てていただきたい。

(了)
マーシュジャパン株式会社 
シニアバイスプレジデント
佐藤徳之