アジェンダブログ:取締役会がサイバーセキュリティの新ルールに備えるには
優れたビジネス戦略には、優れたサイバー戦略が欠かせません。世界の規制当局はサイバーセキュリティ対応を進めており、米国証券取引委員会(SEC)も上場企業によるサイバーリスクの監視・監督に関する新たなルールを提案しています。本記事では、How to prepare company boards for new cybersecurity rulesと題するアジェンダブログをご紹介します。
原文はこちら↓
サイバーセキュリティは、リーダーの中核能力に
投資家が企業戦略を理解するために、SECはサイバーリスクの監視・監督を明確に呼びかけています。サイバーリスクを知らされる立場にあるている役員は誰か、サイバーリスク情報の受け取り方、取締役会がサイバーリスクを検討する頻度、事業戦略・リスク管理、財務監督にサイバーリスクがどのように統合されているかといった要件に加えて、サイバーセキュリティに関する取締役会メンバーの専門知識の開示を義務づけることも提案されています。これはサイバーセキュリティをバックオフィス機能からリーダーの中核能力へと転換させ、サイバーリスクが最重要事項であるというシグナルを世界中の投資家に送ることになります。
サイバー脅威に対する備えと回復力に関する企業幹部の認識と、サイバーセキュリティの専門家が報告する現場との間には、乖離があります。SECの提案は、公開企業(少なくとも米国の取引所で取引されている企業)に対し、その乖離を縮める、もしくはその理由を投資家に説明することを要求しています。
どう備えるべきか
世界経済フォーラムによる2021年版ガイダンス「Principles for Board Governance of Cyber Risk」(NACDおよびISAと共同で発表)は、サイバーレジリエントな組織として6つの点を掲げています(下表)。
なかでも、以下の3つはSECによる提案にも関連しています。
① サイバーセキュリティを戦略的なビジネス・イネーブラーとしてとらえる
優れたサイバーセキュリティは価値の創造と維持に貢献します。サイバーリスクをIT部門のコストから、取締役会による戦略事項へと、認識を改めることが必要です。特にSECは最高情報セキュリティ責任者(CISO)の指名に関する報告を求めています。CISOはサイバーリスクとその全社的な影響を把握するために必要な専門知識を有するだけでなく、サイバーレジリエンスを推進するための十分な権限、リソース、シニアリーダーへのアクセスも持つ必要があります。
② サイバーリスクの経済的要因と影響を理解する
取締役会はサイバーリスク指標を財務的・経済的に提示し、その他のリスクや優先順位と比較できるようにすることが求められます。
③ 取締役会のガバナンスに、サイバーセキュリティの専門知識を取り入れる
サイバーリスクに関する知識は、取締役会全体に求められ、「サイバーセキュリティ取締役」に押し付けるものではありません。サイバーセキュリティに関する専門知識を持つ取締役は、取締役会全体の継続的な教育を確保するための重要なパートナーであり、サイバーリスクを十分に考慮するよう経営陣に説明責任を持たせるための重要なリーダーであると言えます。
持続可能でレジリエンスな組織文化をつくる
世界経済フォーラムが発行したグローバルリスクレポート2022でも、サイバーセキュリティは詳細に論じられています。今回取り上げたアジェンダブログは企業リーダー達に求められる要件が変化していることを指摘していますが、この変化はもちろん企業に限らず、政府や自治体を含めたあらゆる組織に必要です。国内においてもCISOの任命が進んでいますが、その本質ともいえる持続可能でレジリエンスな組織文化の構築は始まったばかりです。
執筆:
世界経済フォーラム第四次産業革命日本センター
シャルマグンジャン(インターン)