ヘルスケアデータ二次利用による企業価値向上を支える「デジタルコンプライアンス」の在り方(小野薬品)
小野薬品でデータ戦略を担当している山下 信哉氏をお迎えし、各部門を巻き込んだヘルスケアデータの二次利用におけるデジタルコンプライアンス体制の構築や、法規制、さらに視野を広げたELSI(Ethical, Legal, and Social Implications)リスクへの対応についてお話を伺いました。
DXの進展やサプライチェーンにおけるデジタル化に伴い、CISO(Chief Information Security Officer)の役割は多様化しています。これまでの「サイバー攻撃からITシステムを守る」ということだけでなく、「サイバー空間で起こりうるビジネスリスクを判断する」ということも求められるようになりました。そうした状況下において、「あるべきCISO」とはどのような姿なのでしょうか。
本対談では日本サイバーセキュリティ・イノベーション委員会代表理事でPwC Japanグループにおいてサイバーセキュリティエグゼクティブアドバイザーを務める梶浦 敏範と、PwC Japan合同会社のチーフセキュリティ&トラストオフィサーとチーフデータオフィサーを務める外村 慶が、これからのCISOが考えるべき論点を語ります。
対談者
PwC Japanグループ サイバーセキュリティ エグゼクティブアドバイザー
日本サイバーセキュリティ・イノベーション委員会代表理事
梶浦 敏範
PwC Japan合同会社 Chief Security and Trust Officer/Chief Data Officer
外村 慶
左から外村 慶、梶浦 敏範
PwC Japanグループ サイバーセキュリティ エグゼクティブアドバイザー 日本サイバーセキュリティ・イノベーション委員会代表理事 梶浦 敏範
コミュニケーションの第一歩は同じ土俵に乗ること
外村:
今回はCISOが抱える課題について見解を聞かせてください。CISOの悩みの1つに挙げられるのが、経営層との「コミュニケーションギャップ」です。経営層は「CISOは説明不足で、話す内容が分からない」と悩み、逆にCISOは「経営層はセキュリティの重要性を理解していない」と諦めてしまうというケースが見受けられます。こうした状態に陥らないようにするためには、どのようなコミュニケーションが必要でしょうか。
梶浦:
経営層に技術的な話をしてもなかなか伝わりません。例えば、「セキュリティパッチを当てないと不正アクセスされます」と言っても、「自社がリスクに晒されている」という危機感は伝わりません。CEOが知りたいのは「不正アクセスされるかどうか」ではなく「不正アクセスによってビジネスにどれだけのダメージがあるか」です。ですからCISOは「今回リリースする新サービスは、事業リスクとして○○の可能性があります。最悪の場合は○○円程度の損失が発生します」という、CEOが危機感を持つような伝え方をすべきです。
そのうえで、「事業リスクを回避するアプローチは3案あります。A案は事業部門長とCISOが話し合ってリスクの許容範囲を決めたもの。B案は事業部門サイドの意見を反映させて許容リスクを増やしたもの。そしてC案はCISOサイドの視点で考えたリスク回避を優先させたものです。それぞれの詳細について説明します」という言い方をすれば、話は聞いてもらえるでしょう。つまり、CEOと同じ会話の土俵に乗れるのです。
こうしたリスク感覚を伝えるコミュニケーションは非常に重要です。前編でお話したように、経営層に「危険な匂いがする」という感覚を持ってもらえれば、話はそこから進むのです。
外村:
CEOとCISOで会話がかみ合わないのは、どちらに責任があるとお考えですか。
梶浦:
CISOを任命しているのはCEOですから、最終的な責任はCEOです。ただし、任された範囲でCISOがミッションを果たさなければ、それはCISOの責任です。CISOの重要任務の1つは「セキュリティのことが分からない経営者や役員にリスク感覚を伝える」ことです。先述した事例のように、リスクの許容に応じてA案・B案・C案を提示して説明するなどして、CEOが決断できる環境を作るのはCISOの役割です。
外村:
私が同じ質問を受けたら、難しい選択ですが「CISOの責任」だと回答します。CISOはリスク管理者ですから「1年間でどのような施策を講じ、その結果どれだけのリスクを削減できたか」を経営層が理解できるように説明することが求められます。それできていないのであれば、自社が直面しているリスクの整理が足りていないことになります。つまり、リスク管理者として一番重要な責務を果たしていないと考えるからです。
梶浦:
その考えは正しいと思います。ただし技術的な側面から考えると、CISOが1人で責任を負う必要はないと考えます。少し話は飛びますが、NICT(国立研究開発法人情報通信研究機構)の関係者と話をしていたとき、「私たちの成果で大きなものはサイバーセキュリティを可視化したことです」と言うのですね。
NICTは大規模サイバー攻撃観測網である「NICTER」で、サイバー空間における攻撃状況を可視化しました。NICTERは無差別型サイバー攻撃の大局的な動向把握を目的としたもので、攻撃の様子が矢印で3次元的に示されます。こうした視覚的効果は、「今、自分たちはターゲットになって集中砲火を浴びている」ことを感覚として理解しやすいのです。これを経営会議などで経営層に見せれば、技術的な知識がない人でもその状況を把握できます。NICTERのような外部ツールをコミュニケーションの手段として活用することも一案でしょう。
危険なのは「リスクオーナーの認識不足」
外村:
次に「セキュリティ人材」について伺います。一言で「セキュリティ人材」といってもリサーチスタッフからCISOまでさまざまですが、現在は役職を問わず「セキュリティ人材の不足は危機的状況」だと言われています。しかし、この危機意識は正しいのか、疑問に感じます。確かに需要に対してそれを満たすスキルを持った人材は不足しているのかもしれませんが、それは本当に喫緊の課題なのでしょうか。
梶浦:
難しい問題提起ですね。確かにサイバーセキュリティの専門家を公募しても人は集まりにくい状況ですが、それを言い訳にしてセキュリティ対策を後回しにしている企業もあるように感じます。
これは鶏卵議論に近いですが、仮に優秀なセキュリティ人材を採用できたとしても、組織がその人材の能力を活用できるのかは疑問です。優秀な人材を採用しても組織のトップがセキュリティの重要性を理解していなければ、“宝の持ち腐れ”になってしまいます。例えば、指揮官クラスのセキュリティ人材を採用したのであれば、その指揮官の下で働く人材も補充しなければなりません。
組織体制の全体像がないまま「セキュリティ人材をかき集めろ」と言っても、企業全体のセキュリティレベルが向上するとは思えません。以前、ある組織がサイバーセキュリティ人材を採用する際、待遇を組織トップと同等の給与水準にすると公示し、実地テストをしたそうです。しかし、実地テストで採用できるのは、現場の“兵隊クラス”です。そうした人材に組織トップと同額の給料を支払うのはおかしな話ですし、現場の士気は低下してしまいます。仮に“下士官クラス”の人材を採用しても、そうした人材を的確に使える指揮官がいなければ、下士官はその実力を発揮できません。
外村:
処遇も含めた組織設計ができていないところに人材だけを引っ張ってきても、上手くいきませんよね。さらに言えば、専門性のある人材は入社後のキャリアパス設計がない組織で働きたいとは思わないでしょう。
もう1つ疑問があります。「セキュリティ人材」と聞くと、卓越した能力を持つホワイトハッカーをイメージするのですが、果たしてそうした人材を各社が抱える必要があるのでしょうか。やり方によっては天才的な1人のホワイトハッカーを複数の企業が共同で雇うというアプローチもできると思うのですが。
梶浦:
それは“あり”だと思います。サイバーセキュリティは協調領域ですから、(ホワイトハッカーがオーバーワークにならないようにするなどの)環境を整えれば、十分に機能するアプローチです。
それよりも本当に不足している人材は、「リスクオーナー」です。DXが加速している状況で、事業部門の担当者にデジタルリスク感覚がないのは致命的です。盗難や地震といった物理的な被害や風評被害などのリスク感覚はあっても、サイバー攻撃に対するリスク感覚がゼロであれば、リスクオーナーとして失格です。
もちろん事業部門のリスクオーナーがホワイトハッカーと同等の専門知識を持つ必要はありませんが、「サイバー攻撃がどのようなリスクをもたらすのか」「そのためにはどのようなセキュリティ対策が必要なのか」「何をやったらリスクが高いのか」を判断できる知識は備えていなければなりません。
さらに言えば、経営者や事業部門の責任者にも最低限のセキュリティリテラシーは必要です。例えば偽サイトを見た時に「何かがおかしいぞ」と感じたり、疑わしい情報に接したりするときに「裏取りをしよう」と複数のソースに確認を求めるというリテラシーですね。そうした意味ではリスクオーナーとしてのスキルを持つ人材は圧倒的に不足しています。
外村:
「セキュリティ人材が不足している」というよりも「リスクオーナーが不足している」という表現のほうが腹落ちします。例えるなら、セキュリティ人材と聞いて連想するホワイトハッカーは1台のスーパーコンピュータで、リスクオーナーはグリッドコンピュータというイメージです。
超高性能で全てのトラフィックを分析し、瞬時に脆弱性を見つけられるスーパーコンピュータは素晴らしいですが、コストやメンテナンスの観点からも各社が1台ずつ所有することは現実的ではありません。それに対してグリッドコンピュータは、「各コンピュータが自分の持ち場で小さなリスクを検知していく」というアプローチです。
DXやデータ分析の民主化が進む状況下では、「スーパーコンピュータ1台に全て任せる」というアプローチはそぐわないと思います。そう考えると、セキュリティ人材不足という課題も違った様相が見えてくるのではないでしょうか。
梶浦:
セキュリティ人材の課題として私が挙げたいのは、教育プログラムの不足です。日本では事業部の責任者やDXで新サービスを立案するのは文系人材が多いですよね。3つのディフェンスラインでいえば、第1線を担うマネジメント層を担っているのは文系人材が多いです。しかし、彼らに対してのサイバーリスク感覚を養う教育プログラムやリカレントプログラムが充実しているとは言いがたいです。
外村:
ホワイトハッカーレベルの人材を育成するプログラムはさておき、NICTなどの組織やITベンダーが提供しているのは、エンジニアを対象にした技術的なスキルを学ぶ理系プログラムですよね。
梶浦:
リスクオーナー不足を解決するために取るべき施策は、文系人材を対象にしたプログラムを充実させること。そして、サイバーリスク感覚を獲得した人材が自身のキャリアアップにつながるような社内の人事制度を整備することです。
一方で理系のエンジニアに対しては、対人コミュニケーションスキルを磨くようなプログラムが必要かもしれません。コミュニケーション能力がゼロであれば、経営層にリスク感覚を伝えられません。そうなるとCISOの任務を遂行するのは難しくなってしまいます。
PwC Japan合同会社 Chief Security and Trust Officer/Chief Data Officer 外村 慶
CISOのキャリアゴールはサイバー空間の平和維持活動
外村:
最後にCISOのキャリアパスについて伺います。CISO自身がキャリアアップをするためには何をすべきでしょうか。
梶浦:
米国企業型人事のキャリアパスであれば、より大きな会社のCISOになるのが主流です。「私は○○人規模企業のCISOを3年間経験しました。在任中も重大インシデントは2回しか発生しておらず、その時はこうした対策を講じ、被害を最小限に抑え、追加の攻撃をブロックしました。さらにCEOとは密にコミュニケーションをし、株主に対してこんな情報を提供しました」ということを明確に説明できれば、より好待遇の組織へのキャリアアップが期待できます。実際、中堅企業のCISOとしてキャリアを積んだ後、10倍規模の企業に転職して報酬が2倍になるというケースも少なくありません。
外村:
理想的なキャリアアップですね。
梶浦:
もう1つ、私が日本のCISOにキャリア形成の1つとして考えてもらいたいのは、「日本全体のセキュリティレベルの向上に貢献する」ことです。個人的見解ですが、日本企業である程度キャリアを積んだCISOには、自社だけにとどまらず、業界を横断するような社会(社外)に貢献してほしいのです。
経済団体のメンバーであれば、自分の実績・経験を活かして政府に提言をしたり、外郭団体や政府審議会、業界団体の一員として積極的に情報を発信したりするといったことが考えられます。あるいはJCIC(一般社団法人 日本サイバーセキュリティ・イノベーション委員会)のようなシンクタンク組織で研究・情報発信をするといったことも、キャリア形成の一環として視野に入れていただきたい。攻撃に関する情報やインシデント対応のノウハウなどを企業や組織の枠を超えて共有すれば、日本企業全体のセキュリティの底上げにもなります。日本企業は組織横断的に活動することに消極的ですが、ぜひその部分に目を向けていただきたいです。
外村:
先にサイバーセキュリティは「競争領域」ではなく「協調領域」だと指摘されました。サイバーセキュリティはビジネス上のコンフリクトにならない稀有な存在ですよね。
梶浦:
そのとおりです。話は大きくなりますが、サイバー空間は国境のない1つの世界です。私は世界のデジタル人材は全員がフラットな立場であると考えています。ですから、世界のデジタル人材が一致団結してサイバー空間の“平和”を守ってほしいのです。理想論に聞こえるかもしれませんが、私はそうした世界を信じていますし、それを実現するための労力を惜しみません。
特別対談:デジタルトラストの構築に向けたPwCのアクション
20 results
Loading...
デジタルアイデンティティを支える技術―ソリューション導入の失敗事例と成功事例―(SailPoint/Okta/CyberArk)
アイデンティティ(ID)管理のソリューションが求められる背景や導入の要点、やってしまいがちな失敗とその対策などについて、ID管理を手掛ける企業の専門家3名にお話を伺いました。
プライバシーガバナンス最前線―データ利活用を促進していくために、いま企業に求められていること―(リクルート/TMI)
膨大な量の個人情報を扱うリクルートのデータ保護・プライバシー保護専門部署の責任者と、プライバシー&セキュリティコンサルティングを専門とする弁護士を招き、今必要とされている取り組みと今後の展望を議論します。
デジタルプラットフォーム取引透明化法の「モニタリング・レビュー」にみる、新しい時代のトラストとは(経済産業省)
2021年2月に施行されたデジタルプラットフォーム取引透明化法の中で注目されている「モニタリング・レビュー」。同法に携わる経済産業省の担当者をお招きし、モニタリング・レビューの果たす意義と新しい時代におけるトラストのあり方を伺いました。
Loading...
インサイト/ニュース
20 results
Loading...
IEC 62443-2-1第2版の改訂内容と推奨される対応
2024年8月、IEC 62443-2-1の改訂第2版「IACSアセットオーナーのためのセキュリティプログラム要求事項」が発行されました。第1版からの要件構成の変更、62443シリーズの他文書との連携、成熟度モデルの導入など多岐にわたり変更された第2版の概要や、改訂に伴って推奨される対応について解説します。
ISMAP管理策評価の自動化に向けた洞察―NIST IR 8011 v1r1ドラフトを踏まえて
NISTが公表した「NIST IR 8011 v1r1 (Automation Support for Security Control Assessments)」ドラフトを解説するとともに、ISMAPにおける外部評価の一部自動化と、リアルタイム評価・継続的モニタリングを組み合わせたハイブリッド評価の可能性について考察します。
『セキュリティ・クリアランス制度』法制化の最新動向と日本企業が取るべき対応【第4回】ガイドライン及びQ&Aの公表
2025年5月2日付で公表された「重要経済安保情報保護活用法の運用に関するガイドライン(適合事業者編)」、「重要経済安保情報保護活用法の運用に関するガイドライン(行政機関編)」及び「適正評価に関するQ&A」の概要を解説します。
「営業秘密」の保護と利活用 第1回:競争優位性の維持向上に不可欠な営業秘密保護対応
営業秘密は企業の競争優位性を支える重要な資産であり、経営層はこれをリスク管理の一環として重視し、戦略的に対応することが求められます。シリーズ第1回となる本稿では、営業秘密の定義とその重要性について解説します。
Loading...
