column
マルチステークホルダーを意識した サイバーセキュリティリスクの開示
情報セキュリティ大学院大学 客員教授 丸山 満彦
セキュリティ事故は、企業を取り巻く、投資家、行政機関、取引先、委託先などの多くのステークホルダーに大きな影響をおよぼす。このため、ステークホルダーに対するリスク情報の開示、セキュリティ対策の開示等の重要性が高まりつつある。ステークホルダーに対するセキュリティ開示の在り方を考える。
1. 社会がサイバー空間に広がっていく
日本は社会を上げてデジタル改革を推進している。デジタル技術を活用し、企業や行政機関等の業務を改革するだけでなく、企業や行政機関等が提供するサービスもデジタル技術を活用した上で企業や、個人等に提供している。例えば、多数の構造物の画像データから保守が必要な部分を、AIを活用した分析により見つけ、構造物の保守業務の精度を上げるとともに効率化を図っている企業もあるようである。また、過去の乗車履歴やイベント情報等を組み合わせてタクシー需要の予測を行い、それに基づいたタクシーの配車を行い、稼働率を上げている企業もあるようである。地域の物理的な空間をサイバー空間に再現し、水害や地震等の災害のシミュレーションをすることにより地域住民の安全を図ろうとしている行政機関もあるだろう。このような取組みは、今後ますます高まっていくだろう。これらの活動の結果、社会が物理空間からサイバー空間に連続的に広がっていく状況となっているのである。
2. サイバー空間のリスクが増大していく
サイバー空間における企業や行政機関等の活動が増加するにつれて、企業や行政機関等のサイバーセキュリティリスクも増大していくことになる。サイバー空間での活動量の増加はサイバーリスクが発現する可能性を高めることになる。また、サイバー空間での活動がより組織の重大な活動や、人命や生活に大きな影響を与える分野に広がるにつれ、サイバーリスクが発現した場合の影響度も大きくなる。そして、社会のデジタル化が進めば進むほど、サイバー空間での相互依存性(例えば、サイバー攻撃により電力システムが止まれば、スマートシティが機能しなくなったり、高度な医療システムが止まったりするというようなこと)が高まり、社会におけるリスクはより加速度的に増加するだろう。
3. 自らのリスクはステークホルダーのリスク、ステークホルダーのリスクは自らのリスク
さて、社会のさまざまな主体(企業、行政機関、個人等)がデジタル空間も含めて相互依存的に繋がっているという状況になれば、企業や行政機関のリスクはそれと繋がっている企業や行政機関等のリスクにもなる。つまり、企業や行政機関等のリスクは、そのステークホルダーのリスクともなるのである。例えば、取引先がサイバー攻撃により自組織の個人情報を漏えいすれば、自組織も当然にその影響を受ける。また、その結果、株価が暴落すれば、投資家や株主にとっても影響が出る。情報漏えいの被害にあった個人は自らの情報が悪用されないかと心配になるし、場合によっては損害賠償請求訴訟を起こすかもしれない。いわゆるサプライチェーンリスクも含めて、相互依存性が高まっている社会においては、サイバーセキュリティリスクの広がりはより大きくなるのである。さらに、自らのリスクはステークホルダーのリスクになるということは、跳ね返って自らのリスクにもなるということである。自らのサイバーリスクを低減することは、ステークホルダーのリスクも低減させ、社会全体のリスクも低減させることにつながる。
4. コミュニケーションを通じてステークホルダーのリスクを減らす
このような状況のもとで、企業や行政機関等はどのように対応すべきであろうか。まずは、適切なサイバーセキュリティ対策をし、適切な予防、早期発見と対応をすることにより、自らのサイバーリスクの発現可能性を低減するとともに、リスクが発現したとしてもその影響をできる限り限定するようにすることが重要である。自組織のサイバーリスクがどのような状況であるかを、ステークホルダーと適切にコミュニケーションをすることにより、ステークホルダーのリスクを適切に低減させることができれば、自組織のリスクも低減することになる。ステークホルダーのリスクを低減するためには、ステークホルダーに適切な情報を適切な方法で提供し、ステークホルダーが適切な意思決定ができるようにすることが有効な方法といえる。
5. ステークホルダーに応じたコミュニケーションの取り方
ステークホルダーが適切な意思決定ができるようにするために、リスクに関する情報を提供するときに考慮すべきことは何だろう。意思決定に資する情報の要件としては、次のことが考えられる。
-
- (1)情報の内容
-
- ・関連性(意思決定に関連する情報でないと意味がない)
- ・信頼性・正確性(情報自体が正確で、利用するに足ると信頼がもてなければならない)
-
- (2)情報提供の形態
-
-
- ・理解容易性
- (利用者がその情報の内容を容易に理解し、活用できるようにしなければならない)
-
- ・加工容易性
- (利用者がさらに自分に必要な情報に加工することが容易にできることが望ましい)
-
-
- (3)情報提供のタイミング
-
- ・提供の適時性(有益な意思決定ができる時間内に提供されなければならない)
ただ、このような項目について、すべて満点をとることはできない。項目間のトレードオフが生じる場合もある。例えば、迅速な情報提供は、情報の正確性を落とすことになるだろう。また、理解が容易な情報にしようと情報をまとめると、情報の信頼性や正確性が犠牲になるかもしれない。また、情報提供側と情報入手側のコンフリクトも考えられる。特に自社に不利な情報は、ステークホルダーにとって有益な情報の場合もあるが、あまりに詳細な情報を提供すれば自社のリスクを増加させることにつながる。このようなことを考慮して、どのようにリスク情報を提供すべきかはステークホルダーとも調整をしながら決めていくことが肝要である。サイバーセキュリティのリスクが社会にとって非常に重要なリスク項目で、ステークホルダーとの調整が非常に重要ということであれば、社会全体としての開示のあり方についても検討していく必要があるだろう。その際には、上場企業の企業情報の開示制度や、監査制度が参考になるだろう。
6. 世の中は繋がっている:社会全体のリスクの減少を通じて社会全体でメリットを享受する
自らのリスクを減らすためには、ステークホルダーのリスクを減らすことも効果がある。自らとステークホルダーのリスクを減らすことにより、社会全体のリスクも低下する。その結果、社会全体が繁栄し、自らの成功の可能性も高まる。まずは、ステークホルダーとどのような情報提供が必要か、コミュニケーションを通じて決めていくことが重要であろう。また、その重要性が高いのであれば、制度として検討することも考えられる。(今回は平時のリスクコミュニケーションにフォーカスした。緊急時にも同様の問題がある。)サイバーセキュリティリスクの開示等の適切なリスクコミュニケーションは、ステークホルダーのリスクを低減させ、ひいては自組織のリスクも減らす。その結果、社会全体のリスクも低減することになる。サプライチェーンのなかでサイバーセキュリティが注目を集めている背景には、そういうことがあるということも理解しておくことが肝要であろう。