サイバーセキュリティーへの投資
判断するのは「経営者」である

――ヒト・カネのコスト面から、サイバーセキュリティーへの投資をためらう経営者も少なくありません。コストのかけ方については、どのように考えるべきでしょうか?

(梶浦氏)まずはサイバーセキュリティーで想定されるリスクについて、考えてみることにしましょう。セキュリティーリスクには、企業内のデータを盗まれるという直接的な被害のほかに、法令に違反することで罰金(制裁金)を支払わなければならない例が挙げられます。EUで2018年5月から施行された一般データ保護規則(GDPR)に違反すれば、何十億円という罰金を支払わなければならないケースもあり得るのです。

 法令違反にならなくても、取引先や顧客のデータを漏えいすることで、相手に迷惑をかけたことに対する損害賠償や、問題が解決するまで業務をストップさせることによる営業面での損失も考えられます。

 昨今、デジタルトランスフォーメーション(DX)という言葉がよく取り上げられますが、真のDXとはデータを生かした事業のあり方であり、新しいデータの使い方を考えることです。このとき対象となるデータは、自分たちが独自に保有しているものだけでなく、必然的に他者のデータも含めたものになります。

 DXを考慮に入れれば、自社の中だけでリスクの範囲が閉じることはなく、データの流通も視野に入れることになります。だからこそ、リスクを考えて、きちんとデータを守ることが大切になるのです。

 我々が企業からの相談を受ける中でよく「このコストはどこで回収できますか」と聞かれるのですが、経営リスク対応の費用は回収できないコストです。これは、サイバーセキュリティーに限ったことではありません。リスク管理コストは、ほかのコストとは別にカウントする必要があります。

 ただし、対応を強化すべき点については検討の余地があります。例えば、運送業など現物を扱う事業者であれば、倉庫関連のデータや機能をバックアップするなど、ほかより重視すべきポイントに投資をするといった考え方ができるでしょう。

 お金のかけ方の議論はともかく、投資を決断するのは財務部門ではなく、ましてやIT部門などでもなく、経営陣にほかなりません。お金だけでなく、モノもヒトも、資源の投入は経営の課題なのです。