太田油脂株式会社 太田健介 Ota Kensuke

太田 われわれのような中小中堅の食品メーカーにとって、2000年代は「フードディフェンス（食品防御）」が課題でした。異物混入事件が相次いだからです。2010年代に入ると、東日本大震災に象徴される「自然災害」が課題となり、いずれのリスクに対しても、一企業として対処を進めてきました。そして現在は、やはり産業のIT化、デジタル化の影響が大きいです。事業者にとっての利便性を増すために、デジタル化をどんどん取り入れる一方、情報セキュリティを守る「壁」は非常に脆弱であり、このままではリスクが高いと感じるようになりました。

太田 当社の場合、大きく２つの事業リスクがあると考えています。当社は大手メーカーへ素材を供給したり、また油脂製品の受託製造（OEM）・PB商品への提供を行ったりしています。そのため、まず、サイバー攻撃によってこれらをサステナブルに供給できなくなってしまうリスクがあります。それから、自社ブランド商品への悪影響があります。当社は、「世界を健康で笑顔にすること」を企業理念とし、「マルタのえごま」などの健康オイルを始めとする自社ブランド製品を展開しています。こうした製品の供給が途絶えるようなことがもしあれば、製品をお使いいただいているファンの皆様の健康をサポートできず、企業理念にも反してしまいます。

太田 お恥ずかしい話なのですが、以前、社長名義のなりすましメールを社内にテスト送信したところ、開いてしまう社員が90％もいました。我が社の情報セキュリティはこのレベルなのだと、現実を思い知らされた出来事です。かといって、叱るとか注意するとかではなく、情報セキュリティを高めるにはどうしたらよいかを考え、情報セキュリティとは何か「基本の基本の基本」から学ぶことにしました。ちょうど、新型コロナ禍の影響で、手軽にウェブ会議ができる環境が整ったこともあり、週に一度、DX推進室のメンバーが講師となって、「個人情報保護研修」や「情報セキュリティ研修」などの勉強会を開催しました。また、目に見える結果を残すという意味で「プライバシーマーク」の取得も推進しました。

勉強会で工夫したことは、1回あたり15分というコンパクトな内容にし、その分1年に10回以上と、回数を増やしたことです。従業員が初めて聞く専門用語も多いため、長時間の勉強会では集中力が続かないだろうと考え、一般社員から、ある程度知識がある人まで底上げできるような工夫を行いました。

とはいえ、当社のセキュリティ対策は、まだまだ道半ばです。ITは日進月歩なので、ピントが外れたなと思ったら、スピーディに方針転換する判断ができるだけの肌感覚を養うためにも、経営者自らセキュリティを学ぶことは重要だと考えています。また、セキュリティ投資に関する判断を行い、推進力を高めていくためにも、トップが関与することは非常に重要ですね。

太田 お金のかけ方は大変難しい問題です。一般的に、中小中堅の製造業というのは、売上増に直結する「機械への投資」は前向きです。しかし、セキュリティ対策は売上に繋がる投資ではないため、二の足を踏む傾向があります。では、中小中堅の製造業がセキュリティにお金をかける意味はどこにあるのかというと、私は、事業を継続し、そこで生まれた収益を投資に回し、さらに売上を伸ばしていくという、会社の基盤にあたる部分を守るためだと考えています。それには、情報セキュリティも高めて、サイバー攻撃を防がないといけませんが、それは、大切な製品を作る工場の周りに塀を立てたり警備員を置いたりするのと同じことではないでしょうか。とは言いながら、セキュリティ対策用に新たな予算を追加するのが厳しいのも現実です。従来のIT周りの費用を見直し、そこで浮いた予算や人的リソースをセキュリティ対策に回すという方針をとっています。

人材の確保も、地方の中小企業が苦労しているところです。当社は、今いる従業員のITリテラシーを高めることと、ITリテラシーに長けた人材を外部から獲得すること、この両軸で考えています。前者についてはすでにご説明した通りですが、後者もまた難しいですね。どうしたら当社のような地方の中小企業に優れた人材が来てくれるのかと考え、働き方の規定を変えました。例えば、東京で生活しながら働けるようにしたり、副業として当社をサポートいただけるようにしたりして、都市部に住んでいるリテラシーの高い方や技術のある方が採用できるようになりました。住んでいる地域を問わず、どこでも仕事ができる時代になったことは、地方の中小企業にとってもチャンスだと思っています。

太田 もともと、地域に貢献する会社になる、社会課題を解決する会社になる、というのは当社が掲げるスローガンでもあります。過去2年間、サイバーセキュリティ対策を進めるなか、成功も失敗も経験しながら蓄積した知見を、自社のみが抱え込むのはもったいないだろうと考えました。むしろ地域の中小企業と成功事例・失敗事例をシェアし、地域経済の活性化に繋げられないかと考え、DX推進室を分社化する形でグローカルビジネスソリューションズという会社を立ち上げました。グローカルビジネスソリューションズ株式会社は、いわばIT化の支援を行うプラットフォームのような会社です。かつての当社もそうでしたが、中小中堅企業のなかにはIT人材が１人も在籍していないところも多いのです。自分たちだけで守るのではなくて、外部機関とも連携して、我が社が弱いところは外部のサービスを活用していくことで考えています。

モノではなくコトを扱うサービスを手掛けるのは、当社の歴史上はじめてのことです。これからどんな活動に発展していくのか、私たち自身も非常に楽しみにしています。グローカルビジネスソリューションズ株式会社を立ち上げる前にいくつか会社訪問をし、各社の悩みを聞いたのですが、やはりどの会社も、情報セキュリティについては課題が多いと感じました。また先程申し上げた通り、中小中堅の製造業はセキュリティ投資に消極的、という現実も目の当たりにしました。しかし、同じ製造業である私たちだからこそ、できるお手伝いがあるはずと考えます。ご存知のように、愛知県はものづくりの会社が多い地域でもあります。製造業らしいサービスを、これから提供していきたいと考えています。

太田 苦労といえばやはり、勉強会を通じて「従業員みなの意識を合わせること」だったと思います。「システムを入れる」と言うと、まず拒否反応が出るのが普通です。ですから、なぜ、何のためにシステムを入れなければいけないのかといった基本的な知識を持ち、目的を全社で共有することが大切でした。そうして「上から言われて渋々」やることではなく、「自発的に動かないといけない」ことなのだと認識してもらいました。そうでないと、数千万円を投じてシステムを購入したのに、結局使わずじまいということになりかねません。我が社にもかつてそんなことがありました。同じことを繰り返さないよう、現場のメンバーに火をつけることが大事です。勉強会を開いたのも、Pマークを取得する方針を掲げたのも、そのためです。

その過程では、私も驚くような成果がありました。行政がコロナワクチン接種を急ぐなか、地元である岡崎市・幸田町から、コロナワクチン接種にまつわる業務の一部を委託されたのです。委託にはPマークの取得が必要だったのですが、本業のビジネスとは異なる領域で、情報セキュリティを高めることが社会課題事業に貢献できるのだと、従業員一同、実感できた出来事でした。

現在は、さらにもう一段階勉強のレベルを高めて、2クール目の勉強会がスタートしています。目標は、年度内にISMS（情報セキュリティマネジメントシステム）を取得し、社内の情報資産をしっかり守ることです。今回も「週に一度、15分」とし、模擬テストを挟みながら、全18回の勉強会を予定しています。また新たな試みとして、地域の企業にオンラインセミナーを無料開放しました。これも、皆で知識を高め、シェアしていくための取組みです。まだ始めたばかりですが、これから参画企業が増えていくことでしょう。

太田 情報セキュリティの向上は事業継続のうえで重要なことです。加えて、当社は「食」を安定供給する使命を負ったフードチェーンの一員でもあります。事業継続のため、そしてフードチェーンを止めないため、セキュリティ対策に力を入れているという事実は、お客さまの信頼に繋がるものと考えています。サイバーセキュリティ対策は、食品安全マネジメントシステムの国際標準規格であるISO22000、それから事業継続マネジメントシステム（BCMS）の国際規格であるISO22301といった認証と同列に考えるべきものでしょう。

太田 予算や人材に不足しがちな中小企業が独自にサイバーセキュリティ対策を行うのは、限界があります。そのため当社では、外部事業者のクラウドサービスなどを活用し、コストを抑えながらセキュリティレベルを高めていくことがポイントだと考えています。その一方で、どんなシステムもそれを使う人間次第のところがあります。セキュリティソフト１つとっても、情報セキュリティ教育によって従業員のITリテラシーが向上すれば、効果が高まります。そこは、中小企業であっても「汗をかいて」努力をしないといけない。

幸い、情報セキュリティ教育は大きな費用がかかるものではありません。何かお困りごとがあれば地域の商工会議所に相談するのもいいですし、もちろん当社にお声がけいただいても構いません。サイバーセキュリティ対策は、何よりも経営者の役割。そう考えて乗り切りましょう。