グローバルでガバナンスを効かせるために
――ロードマップの建付けとして、本社の対策充実、国内グループ会社の底上げ、そして最後に海外グループ会社を含むグローバルサイバーガバナンスの実現という順番を組まれている事例を多く見かけます。しかし、海外グループ会社までスコープが拡大したところで「法制度の相違」「言語や文化の相違」など性質の異なる課題が生じ、対応に苦慮しているという事例を多く見聞きします。みずほフィナンシャルグループでは、どう取り組まれているのでしょうか。
みずほフィナンシャルグループではデータマネジメント部ができたときに、海外を含めた100を超えるグループ会社に対し、サイバー攻撃の対象となりうる資産とその場所、パッチの適用状況などを一斉に調査しました。その結果、対象となる資産は多数あったものの、その大半は比較的少数の、一部のグループ会社の中にあることなどがわかってきました。こうなると、リスクベースの対応がしやすくなります。
海外も基本的なスタンスは同じですが、例えば北米では日本よりも進んでいることが多いです。グループ全体の戦略は伝えてあるので、それに沿った形で現地の進んだノウハウを盛り込んだ体制を築いています。そうすると北米が先行事例になりますから、そこで得られたノウハウを他の地域に拡大させていく形を取っています。異なる法制度や言語、文化への対応については、NISTのサイバーセキュリティフレームワークのような大きな枠組みを変えないことと、できるだけ直接会ってお互いに知り合うことに気をつけています。
海外の各拠点にキーパーソンがいますから、その人たち同士で分かり合えるようにすることも大事ですし、我々が彼らとコンタクトするときには、できるだけ彼らの役に立てるように、メリット感を感じてもらえるコミュニケーションをするよう心がけました。それさえできてしまえば、今はテレビ会議などやり取りする方法はいくらでもありますから、同じゴールを目指すもの同士、認め合いながら進めていくことができます。それがダイバーシティですよね。法規制は国によって色々ありますから、基本的な方針は変えないように気をつけつつ、各国当局の考えに合わせていくようにしていくのではないでしょうか。