ガイドラインには、経営者が認識する必要がある「3原則」と責任者に指示すべき「重要10項目」が明記されています。

川口:サイバーセキュリティー対策で何をやればいいのかを示したことが、今回のガイドラインの意義です。部下に丸投げせず「リーダーシップ」を持ち、委託企業などの「パートナー」も管理したうえで、平時から関係者と「コミュニケーション」を深めておく。この3つの原則が経営者に求められています。

 ガイドラインは法律ではないので、違反しても罰則はありません。そのため、軽視している企業も多いでしょう。しかし今後、仮に情報漏洩があったとしたらガイドラインを順守していたかが必ず問われます。ガイドラインを無視した状態で事故が起きたらどうなるか、想像しておくべきでしょう。

「ゴールキーパー」と「監督」は違う

経営者は具体的に何をすべきなのでしょうか。

川口:最優先すべきはリソースの配分です。サッカーに例えて考えてみましょう。

 企業ではこれまで、情報システム部門がサイバーセキュリティーを担っていました。ゴールキーパーのように「0点」に抑えるのが当たり前で、もし失点すると評価が下げられてしまう。情報システムという評価軸しか持っていないと、点を取られたくない一心で、とにかく守りを固めようとします。

 しかし監督の視点は違います。仮に1点失っても、2点奪って勝利すれば評価が高まるからです。ささいなミスがあったとしても他のところで取り返し、結果的に会社を成長に導ければよいのです。選手の調子や相手の出方を見極めて優先順位を決めるのが監督、つまり経営者の役割です。

サイバーセキュリティーでは、一度の「失点」が命取りになる気がします。

川口:何が「失点」なのかを定義するのも経営者の仕事です。

 不審なメールを開いてウイルスに感染しても、社外に情報が漏れなければ問題はないはずです。情報が漏洩したとしても、その件数によって対応は異なります。1万件が漏洩したら社会的に大きな影響がありますが、数件程度にとどまったのなら、役員が菓子折を持参して謝罪すれば収まるかもしれません。

 どこまでならミスを許容できるのか。何が起きたら、経営リスクに直結するのか。判断できるのは経営者だけです。