デジタル化によって問われる、サイバーの「グレートリセット」

――お二人の話から脱炭素化、デジタル化といったメガトレンドが経営の不確実性を高めている状況はよく理解できました。では、その不確実性の海をどのようなかじ取りによって乗り切るべきなのでしょうか。

岩村 不確実性の先にはリスクと機会の両方が存在します。リスクを最小化すると同時に、機会を最大化していくことが重要で、それは経営の大命題そのものといえます。

不確実性が増幅する時代に、リスクテークの活路を開くマネジメントデロイト トーマツ グループ
リスクアドバイザリー ビジネスリーダー
岩村篤氏
2000年監査法人トーマツ(現 有限責任監査法人トーマツ)入社。21年デロイト トーマツ グループ執行役、リスクアドバイザリー ビジネスリーダー、有限責任監査法人トーマツ執行役およびデロイト トーマツ リスクサービス代表取締役、デロイト トーマツ サイバー職務執行者。

 例えば脱炭素化についていえば、今は二酸化炭素排出量などの非財務情報の開示ルールが世界的に議論されており、そのルールにどう対応していくかが経営にとって喫緊の課題となっています。そうした新たなルールに適切に対応していくことが、レピュテーション(評判)リスクや資金調達リスク、あるいは株価下落リスクなどを最小化することになります。

 一方で、ルールに対応しているだけでは、成長機会を生かすことができません。脱炭素化という大きな潮流の中で、非財務情報の開示を一つのきっかけとして自社を変革し、ビジネスチャンスを的確に捉えていくことが必要です。

 脱炭素化を含めてESG(環境、社会、ガバナンス)に適切に対応するためには、10年単位の時間軸で取り組む息の長い企業変革が求められます。ビジネスを通じて環境・社会価値と企業価値を同時に高めていく戦略を策定し、自社にとってのマテリアリティー(重要課題)を特定して、非財務のKPI(重要業績評価指標)と財務KPIをきちんとひも付け、KPI達成のために行動を大きく変えていく。そのように、ステークホルダー資本主義を経営に実装していく上で欠かせないのが、デジタルやデータの活用です。

 社内外の財務情報、非財務情報を収集・分析し、それを常にモニタリングしながらリスクの最小化と機会の最大化を図っていく。それを私たちは「ESGデータドリブン経営」と呼んでおり、その実践を支援しています。

 ESG対応は息の長い取り組みですから、それを継続していくためには適切な統治機構の構築と運用、つまりガバナンスが鍵を握ります。こうした長期視点でのガバナンス改革についても、私たちがご支援するケースが増えています。

桐原 デジタル化の文脈でいうと、ビジネスや社会のデジタル化が進むほどサイバー依存度が高まり、同時にサイバーリスクも増えていきます。その中で、機会を最大化するためにはサイバーの「グレートリセット」が必要だと私たちは提唱しています。

 一つは、マインドセットのグレートリセットです。これまでほとんどの企業は、自社のITをサイバー攻撃から守るという発想しかなかったため、サイバーリスクへの対応はIT部門のアジェンダでした。

 しかし、自動運転にしろ各種のクラウドサービスにしろ、デジタル系の製品・サービスはサイバー空間に依存しているわけですから、品質を担保するにも、事業を成長させるにも、サイバーインテリジェンスの強化が前提となります。つまり、IT部門のアジェンダではなく、事業部門トップあるいは経営トップであるCEO(最高経営責任者)のアジェンダなのです。

不確実性が増幅する時代に、リスクテークの活路を開くマネジメントデロイト トーマツ サイバー
代表執行者
桐原祐一郎氏
デロイト トーマツ コンサルティングにて製造業を中心に事業戦略、新規プログラム立ち上げ、M&A、組織・業務設計、IT戦略、企業風土改革など幅広い課題解決のためのプロジェクトを手掛け、同社執行役員を務めた後、デロイト トーマツ サイバーのCSO(最高戦略責任者)を経て、2021年12月より現職。

  21年には米国の大手パイプライン企業がランサムウエア(身代金ウイルス)攻撃にさらされ、一時的に操業停止に追い込まれた事件がありました。このように、最近は事業継続そのものを人質に取るサイバー犯罪が増えています。

 また、個人情報保護や国境を越えたデータの移転について各国・地域で規制が強まっており、規制や法律への対応を誤ると事業停止リスクにさらされます。CEOが率先して取り組むべきアジェンダであることが、こうした点からもお分かりいただけると思います。

 もう一つは、サイバー上のエコシステムのグレートリセットです。サイバー攻撃からの防御範囲を自社グループ、ないしは1次サプライヤーまでに設定している企業がほとんどだと思いますが、サイバー空間では企業や国境の壁はありません。

 海外のある製造大手は、商品を運ぶコンテナメーカーがマルウエア(悪意あるソフトウエア)に侵入され、そこから攻撃を受けました。ですから、サプライチェーンを広く捉え直し、エコシステム内全体でしっかりと対策を講じなくてはなりません。

 こうした対策を企業が単独で行うのは、サイバーセキュリティー人材の不足といった点からも困難です。われわれのような外部の専門家や政府機関などとの連携を深めて、サイバーエコシステムを形成することによって対策を図るのが現実的です。

 このように、マインドセットやエコシステムをグレートリセットし、プロアクティブ(能動的)にサイバーインテリジェンスを進化させていくことで、デジタル化というメガトレンドの中で機会を最大化することが可能になるのです。