(上杉氏)日米欧でセキュリティー対策の開示について違いがあるとすれば、取締役や執行役員への訴訟が米国では特に多いことが挙げられるかもしれません。これはサイバー脅威に対するものだけでなく、例えば仮に出社を強制したことで新型コロナウイルスに感染した従業員が亡くなれば、経営者は遺族に訴訟されますし、それで株価が下落すれば株主訴訟が行われるでしょう。
彼らは、いつ訴訟になってもよいように、「ここまでは対応していた」「このリスクは想定が困難だった」と示すために情報を開示しており、ディスクロージャーの観点が違います。しかし、日本でもステークホルダーへ情報開示すること、自社の取り組みを示すことは、安心や信頼を得られ、プラスの影響を与える意味があります。
セキュリティー対策の詳細な方法を示せば、逆に攻撃しやすくするのではとの懸念もあると思いますが、対策が漏れるほど情報開示する必要はありません。どのような姿勢で取り組んでいるかを示せば、それで十分かと思います。
サイバー攻撃はなくならない
従業員へのリテラシー教育の必要性も
――今後、サイバー攻撃の脅威はますます高まると考えられますか?
(梶浦氏)もちろん、今後もサイバー攻撃はなくなりません。私はデジタライゼーション、グローバリゼーションは止まらないと考えています。それに伴って当然リスクは幾何級数的に増すので、サイバーセキュリティー対策のほうも、技術開発、各社の投資、従業員へのリテラシー教育、専門家教育も含め、増やしていかなければならないものだと思います。
脅威は、安全保障領域にまで関わるものも出始めています。民間だから関係ないというのではなく、企業が社会的責任からサイバーセキュリティーに投資すること、姿勢を社会へ問うことは、企業の大小にかかわらず責務だと考えます。
また今後、テレワークなどの働き方の変化により、自由に使える時間が増えることで、副業も増えると考えられます。私自身も本業である企業に所属しながら、委員会の代表理事を務めているわけですが、どうセパレートするかを常に考えています。クリエイティビティーは副業などで上がると思いますが、モラルやリテラシーを考え、学びながら働くことは、大切になっていくのではないかと思います。