
ヘルスケアデータ二次利用による企業価値向上を支える「デジタルコンプライアンス」の在り方(小野薬品)
小野薬品でデータ戦略を担当している山下 信哉氏をお迎えし、各部門を巻き込んだヘルスケアデータの二次利用におけるデジタルコンプライアンス体制の構築や、法規制、さらに視野を広げたELSI(Ethical, Legal, and Social Implications)リスクへの対応についてお話を伺いました。
DXの進展やサプライチェーンにおけるデジタル化に伴い、CISO(Chief Information Security Officer)の役割は多様化しています。これまでの「サイバー攻撃からITシステムを守る」ということだけでなく、「サイバー空間で起こりうるビジネスリスクを判断する」ということも求められるようになりました。そうした状況下において、「あるべきCISO」とはどのような姿なのでしょうか。
本対談では日本サイバーセキュリティ・イノベーション委員会代表理事でPwC Japanグループにおいてサイバーセキュリティエグゼクティブアドバイザーを務める梶浦 敏範と、PwC Japan合同会社でチーフセキュリティ&トラストオフィサーとチーフデータオフィサーを務める外村 慶が、これからのCISOが考えるべき論点を語ります。今回は「新たに求められるCISOの役割」に焦点を当てました。
対談者
PwC Japanグループ サイバーセキュリティ エグゼクティブアドバイザー
日本サイバーセキュリティ・イノベーション委員会代表理事
梶浦 敏範
PwC Japan合同会社 Chief Security and Trust Officer/Chief Data Officer
外村 慶
左から外村 慶、梶浦 敏範
PwC Japanグループ サイバーセキュリティ エグゼクティブアドバイザー 日本サイバーセキュリティ・イノベーション委員会代表理事 梶浦 敏範
外村:
最近、クライアントのCISOからお話を伺っていて感じるのは「CISOの担うべき役割の範囲は以前よりも拡大している」ということです。梶浦さんはこれまでのご経験からさまざまな業界のCISOを支援されてきましたよね。そのお立場からご覧になって、現在のCISOの役割をどのように捉えていらっしゃいますか。
梶浦:
日本で「CISO」という単語が知られるようになったのは、この5年ぐらいです。ただし、その役割や立場は企業規模や売上規模、さらに企業のデジタル化の進捗度合いによって異なると考えます。例えば、大手企業にCISOがいるのは当たり前です。しかし、中堅・小規模企業でCISOを擁している企業はほとんどありません。さらに言えば、CIOがいない企業も少なくないのが現実です。
CISOに求められる役割は業種によって異なり、3グループに大別されると考えます。
1つ目はITやITを活用したサービスをビジネスのコアとしている企業や通信キャリアのグループです。このグループは資産のほとんどがITやそれを活用したデジタルサービスなので、ITセキュリティは損なわれると致命傷になるのできわめて重要です。ですから、ある程度の投資をし、人的リソースも含めて予算を確保しています。これらの企業のCISOは自らの権限で実施できる施策が多い反面、責任も重いという特徴があります。
2つ目は金融や重要インフラをビジネスとするグループです。このグループはITサービスがビジネスの中心ではありませんが、ITサービスの比率が高かったり、サービスの重要基盤がITだったりします。例えば、電力会社の電力供給システムはITが支えています。もしサイバー攻撃によって電力供給が停止すれば、一般市民に多大な影響を与えてしまいます。こうした企業はCIOとは別にCISOを配置し、その役割を明確化しています。
ただし、物理的なセキュリティに対しては、CISOの権限では対処できない場合もあります。例えば、銀行の基幹システムはIT部門の管轄であり、CISOがセキュリティ対策を担います。しかし、紙幣計数機や街中に設置されているATM(現金自動預払機)など、現場に導入されている機器に対しては、CISO権限で何か対策を講じようとしても基幹システムほど容易には実行できません。
そして3つ目は製造業グループです。現在、製造現場ではITとOT(制御系システム)の統合が進んでいますが、OT環境のセキュリティ対策はIT環境とは大きく異なり、対策も複雑です。24時間365日の稼働を前提としているOTは、ITのようにセキュリティパッチをすぐに適用させられません。また、カスタマイズで作り込んだアプリケーションを利用している場合は、たとえOSのサポートが終了していたとしても、すぐにはアップデートできません。こうした領域は、CISOがどんなに頑張っても手が出せないのです。
外村:
かねてから梶浦さんは「CISOは『1.0』から『2.0』になる必要がある」と説かれています。「CISO 1.0」と「CISO 2.0」では、その役割にどのような違いがあるのでしょうか。
梶浦:
「CISO 1.0」の役割は、中長期的なセキュリティ対策を立案し、インシデント対応を含めたリスクマネジメントを担うことです。あくまでも一般論ですが、CISOがボードメンバーの一員になっている企業は、他のボードメンバーとコミュニケーションができる環境にありますから、経営層の信頼が得られやすく、ある程度の予算を持って采配を振るうことができます。ここまでが現在のCISOが担う領域で、「CISO 1.0」の世界です。
一方「CISO 2.0」は情報セキュリティの技術的な領域だけでなく、DXまでを網羅します。
私が代表理事を務めるシンクタンク日本サイバーセキュリティ・イノベーション委員会(JCIC)では「DX with Security」をテーマに掲げています。
企業にとってDXは「儲けるための手段」です。しかし、そこでセキュリティが担保されていなければ、儲けるどころか大きな損害を被る可能性が高まります。ですからCISOはセキュリティ専門家の視点で「DXに必要なセキュリティ対策とその費用対効果」を試算し、それを経営層に説明することが求められます。私は経営層に「DXで儲けたお金をセキュリティに回しましょう」と訴えていますが、そのための最も重要な職務はCISOです。
外村:
「DXにはサイバーセキュリティ対策が必然」と考える経営者が増えれば、「セキュリティへの出費は損金ではなく投資である」との認識が広まりますね。
梶浦:
「3つのディフェンスライン(防衛線)」に当てはめて考えてみると、これまでのCISO(CISO 1.0)はサイバーリスクに対する監視を行う第2線でした。これに対してCISO 2.0は第2線としての役割を果たしつつ、リスクオーナーとしてリスクコントロールを行う第1線にもある程度関与する必要がなります。これが「CISO 2.0」に対する期待です。
外村:
次にサイバーリスクについて深掘りをさせてください。先のグループ分けで考えると、1つ目のITやITを活用したサービスをビジネスのコアとしている企業や通信キャリアのグループにとってサイバーリスクは「ビジネスリスク」です。2つ目の金融や重要インフラをビジネスとするグループにとっては、社会的責任を負う「アベイラビリティリスク」ですよね。そして3つ目の製造業グループにとっては「製造工程や製品の品質に対するリスク」です。こうした異なるリスクに対し、各企業のCISOはどのようにコミットしていくべきでしょうか。
梶浦:
ITサービス中心の企業で発生しがちなのが、営業やサービス部門が「1カ月間でこんな新サービスを開発しました」といって十分なセキュリティチェックをしないままサービスをリリースし、後になって脆弱性が発覚するケースです。この場合、サービス停止はもちろんのこと、顧客対応や損害賠償に莫大な費用がかかります。いくらスピード重視といっても、サービス開発も「Security by Design」でなければなりません。
こうしたサービスのチェックは「正しく稼働するか」だけでは不十分です。特にコンシューマが利用するサービスの場合はあらゆる使われ方を想定し、CIOやCISOだけでなくその事業の責任者も交えて議論をする必要があります。場合によってはCISOが事業部門に対し、やや強権的になってでも「リスクの可能性を考えれば、これは変更(もしくは中止)したほうがよい」と意見しなければなりません。これができるか否かは、事業者の成熟度を測るバロメーターになります。私は「CISO2.0の役割を担うポジションがあり、きちんと機能している企業の株は業態を問わず買いです」と主張しています。
外村:
つまりCISOが自社のリスクに対してきちんとコミットしている企業は、業績も株価も期待できるのですね。
梶浦:
はい。ただし残念なことにCISO2.0の役割を担う人は、社内から疎まれることが多いです。事業部からすれば、「なぜ俺の事業にCISOが口を挟むのだ」という気持ちになります。当然、CISOに権限を与えた経営者に対する、社内からの風当たりも強くなるでしょう。ですから社内の反発を抑えるためには、「CISOの助言に従ったら会社の株価が上がった」という実績を作るのが理想的です。そうすれば、CISOを配した経営者の“株”も上がります。
また、製造業のCISOは「高品質の製品を提供するうえで、サイバーセキュリティは必須です」と主張することで社内のコンセンサスも得られやすく、話を進めやすい。日本の製造業は「高品質」が大きな付加価値でしたから、事業部にも“刺さる”のです。
例えば、ある大手医療機器メーカーでは通信機能を備える医療機器に対し、SBOM(Software Bill of Materials)を導入すると発表しました。SBOM導入の主な理由は、サイバーリスク対策です。輸液ポンプやインスリンポンプといった「誤作動を起こすと人命に直結する」製品は「サイバーリスク対策=高品質」であり、大きな付加価値となると同時に差異化ポイントになります。医療機器に対するサイバー攻撃が急増している状況では、こうした対策がビジネス成長の可否に大きくかかわってくるのです。
PwC Japan合同会社 Chief Security and Trust Officer/Chief Data Officer 外村 慶
外村:
お話を伺っていると、CISOはITの計画・立案・実行という役割はもとより、あらゆる事業リスクに目を配り、事業部の責任者を支える役割も求められると感じました。これが「CISO 2.0」という理解でよいでしょうか。
梶浦:
そのとおりです。これまで事業部門の責任者はサイバーリスクに関心を寄せていませんでした。「ITの不具合はIT部門の責任」というスタンスで、「サイバー攻撃なのか故障なのかは分からないが、ITシステムが停止した場合、復旧までにはどのくらい時間がかかるのか」という質問しかしてきませんでした。しかし、近年は事業部門の責任者も「サイバーリスクと故障のリスクは根本的に違う」ということを認識し始めています。
故障リスクは確率論であり、ある程度は予測できます。だからこそ定期的にメンテナンスをして予防しますよね。一方、サイバーリスクは確率論ではありません。標的にされれば、間違いなくリスクは発生します。
このリスクを低減させるには、事業部門の責任者が「サイバーリスクは事業リスク」であることを認識し、事業部の情報をCISOと共有する必要があります。同時にこれまで後付け対策でしのいできた「守りのサイバーセキュリティ対策」から、今後は事業を直接支える「攻めのサイバーセキュリティ対策」に転換しなければなりません。実際、こうした動きはすでに始まっています。その旗振り役をCISOが担う企業は、より安全で競争優位性の高い企業であると言えるでしょう。
外村:
これまでサイバーリスクと事業リスクを個別に考えていた企業も、今後は「ITリスク×(with)事業リスク」として考えるようになってきたのですね。そうなるとCISOには「ビジネスも理解したうえでサイバーリスク判定ができる能力」が求められるのではないでしょうか。
梶浦:
はい。CISOは「ITシステムを滞りなく運用する」という業務領域から、「事業リスクを想定し、その許容範囲を考える」といった、経営にかかわる領域も網羅することが求められます。その分水嶺を超えた人がCISO 2.0だと考えます。
外村:
そうなると、CISOにはどのようなバックグラウンドを持った人材が適任なのでしょうか。
梶浦:
そこが難しいところです。ITやセキュリティに詳しく、かつ事業部門に所属していた経験のある人材を擁している企業であれば、自社内で適任者を見つけられますが、そうした企業は少数でしょう。ほとんどの企業ではIT部門の中でセキュリティに詳しそうな人材を充てています。そうした人材もいない企業では、中途採用で充てることになります。
よくあるのはボードメンバーの推挙でセキュリティベンダーやシステムインテグレータからセキュリティ専門家を採用したものの、会社の事業には詳しくないため、パフォーマンスを十分に発揮できないというケースです。例えば、金融機関のCISOに就任したセキュリティエキスパートが、金融機関に特有の事業内容と経営を学びながら日々のインシデント対応や予算の確保、後継の育成までを担当するのは無理がありますよね。
外村:
セキュリティ部門とIT部門は必要とする技術に近似性があることから近くに設計され、組織によってはCIOがCISOを兼務しているケースもありますが、CISOとCIOの仕事は似て非なるものです。
梶浦:
おっしゃる通りです。CIOもCISOもITやデジタルに関する知識は必要ですが、CISOにとって最も重要なケイパビリティは「高いリスク感度」です。
リスク感度とは、言うなればリスクを嗅ぎ分ける能力で、危機を察知する動物的本能です。例えば、生成AIのような突如として現れたサービスを事業部門が前のめりで利用しようとした際、今後起こりうるリスクを肌感覚で察知し、「このままでは危険だから、ちょっと立ち止まって考えよう」と言えるかどうかです。こうしたリスク感度が高ければ、仮に技術力が弱かったとしても、その部分はIT部門にカバーしてもらえます。
外村:
最後にCISOとリスクオーナーの距離感について伺います。現在私はPwC JapanグループでCISOと同様の役割を担っていますが、2022年までは(CISOではなく)いわゆる第1線の事業リスクオーナーで、2023年はCISOと事業リスクオーナーを兼任するようなポジションでした。
実際に両方の立場を経験して感じたメリットは「第1線と第2線の立場で自問自答ができる」ことです。ですから、第2線しか知らない人間よりは、気の利いた施策が打てると自負しています。
その一方でデメリットもあると感じています。それは「第1線のことを理解しすぎると、第2線としての権威ある判断ができなくなる」ということです。理想は「ビジネスを理解し、その上でのリスク判定をする」というアプローチですが、逆説的に考えると「第1線の理解が浅いからこそ、純粋なリスク判定ができるのでは」と思うこともあります。
梶浦:
それは「ビジネス全体のアーキテクチャをどのように描くのか」という課題に関連するポイントであり、経営層を含めた場で議論する必要があります。ただし、残念ながら日本の経営者は会社としてどこまでリスクを許容するかという判断を下すことが苦手です。実際は信頼できる部下が情報を提供して解決の道筋を進言し、経営者が「だったらお前が言うとおりにしよう」というケースが大半です。
一方、米国企業のように経営者のトップダウン型で物事が決まるのであれば、CEOは防御を考えているCISOと、儲けることを考えている事業部門から説明を聞き、そのバランスラインを考えて決断します。そうしたCEOであれば、CISOは第1線の役割を求められません。
ですから、本来はセキュリティの専門家であるべきCISOが事業部門の領域まで考慮をして、適切な対策を提案しなければならないというのが日本の現状です。
外村:
CISOが「このリスクまでは許容できる」という見切りの決断もしなければならないのですね。今後CISOが果たす役割は、ますます拡大していくと実感しました。
ここまでのお話をお伺いして、これからのCISOが担うべき役割は高度化していくだけでなく、広範囲化していくということがよくわかりました。また、それに応えるためには技術力に加えて、ビジネスセンス、ステークホルダーとの折衝力など今までのCISOのイメージにない能力も必要になるのだと感じました。リスクという不確実性への対応という難しさに正面から向かい合うことがCISOとして必要な責任を果たすことにつながるのだと思います。
小野薬品でデータ戦略を担当している山下 信哉氏をお迎えし、各部門を巻き込んだヘルスケアデータの二次利用におけるデジタルコンプライアンス体制の構築や、法規制、さらに視野を広げたELSI(Ethical, Legal, and Social Implications)リスクへの対応についてお話を伺いました。
アイデンティティ(ID)管理のソリューションが求められる背景や導入の要点、やってしまいがちな失敗とその対策などについて、ID管理を手掛ける企業の専門家3名にお話を伺いました。
膨大な量の個人情報を扱うリクルートのデータ保護・プライバシー保護専門部署の責任者と、プライバシー&セキュリティコンサルティングを専門とする弁護士を招き、今必要とされている取り組みと今後の展望を議論します。
2021年2月に施行されたデジタルプラットフォーム取引透明化法の中で注目されている「モニタリング・レビュー」。同法に携わる経済産業省の担当者をお招きし、モニタリング・レビューの果たす意義と新しい時代におけるトラストのあり方を伺いました。
2024年8月、IEC 62443-2-1の改訂第2版「IACSアセットオーナーのためのセキュリティプログラム要求事項」が発行されました。第1版からの要件構成の変更、62443シリーズの他文書との連携、成熟度モデルの導入など多岐にわたり変更された第2版の概要や、改訂に伴って推奨される対応について解説します。
NISTが公表した「NIST IR 8011 v1r1 (Automation Support for Security Control Assessments)」ドラフトを解説するとともに、ISMAPにおける外部評価の一部自動化と、リアルタイム評価・継続的モニタリングを組み合わせたハイブリッド評価の可能性について考察します。
2025年5月2日付で公表された「重要経済安保情報保護活用法の運用に関するガイドライン(適合事業者編)」、「重要経済安保情報保護活用法の運用に関するガイドライン(行政機関編)」及び「適正評価に関するQ&A」の概要を解説します。
営業秘密は企業の競争優位性を支える重要な資産であり、経営層はこれをリスク管理の一環として重視し、戦略的に対応することが求められます。シリーズ第1回となる本稿では、営業秘密の定義とその重要性について解説します。