第3回 経営の責任とガバナンス―取締役会等・CISOが果たすべき役割

金融庁の牧野秋恵氏と金融ISACの大日向隆之氏を迎え、「金融分野におけるサイバーセキュリティに関するガイドライン^（※）」（以下、金融サイバーGL）の浸透状況と実効性ある対応のあり方を深掘りする本連載。第3回では、取締役会等・経営陣が果たすべき役割に焦点を当てます。会社法上の責任や最高情報セキュリティ責任者（CISO）の位置づけ、経営陣の主体的関与、そして経営と現場の対話のあり方など、ガバナンスの中核となるテーマを議論します。

^※ 金融分野におけるサイバーセキュリティに関するガイドライン：2024年10月に金融庁が公表した、日本の金融機関がサイバー攻撃から金融システムと顧客資産を守るために実施すべき具体的なセキュリティ対策を体系的に示した指針
https://www.fsa.go.jp/news/r6/sonota/20241004/18.pdf

座談会参加者

• 牧野 秋恵氏
  金融庁 総合政策局 リスク分析総括課 ITサイバー・経済安全保障監理官
• 大日向 隆之氏
  一般社団法人金融ISAC 理事
  株式会社三菱総合研究所 客員研究員、三菱総研DCS株式会社 顧問
• 小林 由昌
  PwC Japan有限責任監査法人 パートナー

※本対談は2026年1月に実施されました。法人名、役職などは対談当時のものです。

会社法が求める取締役会等におけるサイバーセキュリティへの期待とは

小林：
金融サイバーGLでは、経営陣のみならず「取締役会等」に対する期待も示されています。取締役会等がサイバーセキュリティ管理態勢について十分に検証・議論を行うことが「基本的な対応事項」として明記されています。こうした内容が盛り込まれた背景をお聞かせください。

牧野：
まず、取締役会「等」と記載しているのは、業態によっては取締役会を設置していない場合でも、取締役会と同様の役割を担う理事会等の意思決定機関が存在するためです。

金融機関におけるサイバーセキュリティの確保にあたっては、業務執行を担う経営陣と、それを監督し重要な意思決定をする立場にある取締役会がそれぞれの役割を果たすことで実効性が高まるものだと思います。取締役会は単に報告を受けるだけではなく、経営陣に疑問を投げかけ、建設的に異議を唱え、十分な検証・議論を行うことが必要です。GLにおいて「取締役等の役員は、民法、会社法その他各業法等の規定に基づく責務を負うため、自組織の規模、特性又はサイバーセキュリティリスクに鑑みてサイバーセキュリティ管理態勢が不十分なことに起因して自組織や第三者に損害が生じた場合、善管注意義務違反や任務懈怠による損害賠償責任を問われ得る」という点も記載しています。このような観点から「基本的な対応事項」にふさわしいと考え、盛り込んでいます。

業務執行を担う立場、および業務執行を管理監督する立場にある取締役の方々には、金融サイバーGLでも参考文献として記載している日本経済団体連合会の「サイバーリスクハンドブック（取締役向けハンドブック）」も参考にしていただければと思います。

小林：
執行と監督という異なる機能を意識して組織としてサイバーセキュリティに取り組むことが重要ですね。次に、CISOの位置づけについて見解をお聞かせください。金融サイバーGLでは、サイバーセキュリティを統括する責任者（CISO等）の任命は「基本的な対応事項」とされていますが、CISOの専門性や立場、権限については「望ましい事項」にとどまっています。「基本的な対応事項」に含めなかった理由をお聞かせください。

牧野：
サイバーセキュリティに関する十分な知識・経験を有し、経営陣に日常的に直接レポートできるCISOがいることが理想です。しかし、中小金融機関を中心に、十分な知識・経験を備えたCISOを直ちに確保することが難しい場合もあるかと思います。

こうした状況を踏まえ、まずはサイバーセキュリティを統括管理する責任者の任命を「基本的な対応事項」とし、最低限のガバナンスを確保していただきたいです。責任者を明確にすること自体が、自社内でのサイバーセキュリティ確保の重要性に対する認識を高めることにつながると考えます。その上で、専門性や立場、権限については「対応が望ましい事項」として、各金融機関の規模や成熟度に応じて段階的に整備することを想定しています。

経営陣の主体的関与―当事者意識が現場を動かす

小林：
経営陣の関与が重要であることは第一回で議論しましたが、金融サイバーGLが求める「経営陣の主体的関与」とは、具体的に何をすることを指すのでしょうか。

牧野：
経営陣の主体的関与とは、自社を取り巻く脅威環境の変化や関係法令・規制などの内外環境を踏まえながら、サイバーリスクを経営上の重要なリスクの一つとして認識し、実効的なサイバーセキュリティ管理態勢を構築していくということだと考えます。具体的には、サイバー攻撃を未然に防止するための管理態勢を構築することに加え、不測の事態が発生した場合に備え、レジリエンスの確保に向けた備えをしておくことも含まれます。これらは、インシデント発生時の説明責任や結果責任を適切に果たすためにも不可欠です。

そのためには経営陣が、自社がさらされ得るサイバーリスクに関する情報を担当部署などから十分に把握し、認識することが出発点となります。さらに、リスクの大きさや想定される影響度を適切に評価（リスクアセスメント）した上で優先順位を付け、必要な予算や人材等のリソースを確保し、対策を講じることになります。こうした取り組みをPDCAサイクルとして継続的に回していくことが、経営陣には求められると考えます。

小林：
とはいえ、実務の現場では経営陣の理解度にばらつきがあるという声も聞きます。実際に温度差を感じることはありますか。

牧野：
経営陣の理解度に温度差があると感じることはあり、中には「IT部門に任せておけばよい」「問題が起きないようにしてほしい」と受け止めるケースも依然として見受けられます。こうした認識のままでは、現場が把握するリスクや必要な対策が十分に経営判断につながらず、対応の優先順位付けや投資判断にも影響が及ぶ可能性があります。

大日向：
経営が「自分たちの判断領域」であることを明確に認識しない限り、現場の動きにも迷いが生じます。攻撃を受けた際に誰が意思決定するのか、どこまでを許容するのかといった判断は、IT部門やセキュリティ部門だけでは決められません。経営側が当事者として向き合う姿勢を示すことが、結果として現場の動きを大きく変えるのです。

小林：
では、経営が当事者として向き合う姿勢を現場に示す際には、どのような伝え方が効果的なのでしょうか。

牧野：
この点は私も大日向さんに伺いたいのですが、経営からの指示の出し方で現場の動きやすさは変わりますか。例えば「ランサムウェア対策をしなさい」と言われるのと、「預金がいつでも引き出せるようにしてほしい」と言われるのとでは、IT部門の受け止め方は違いますか。

大日向：
大きく違います。「預金がいつでも引き出せるように」と言われれば、守るべき業務が明確なので、それに紐付く情報資産やリスクシナリオを考えて対応できます。

牧野：
なるほど。そうであれば、経営とIT部門の会話が成立しますね。現場から「脆弱性管理をやります」と言われても、経営からすると「それは何にどう影響するのか」が分かりにくい。逆に、守るべき業務を起点にすれば、対話が噛み合うということですね。

大日向：
そのとおりです。経営層が「インターネットバンキングは何としても止めないでくれ」と示せば、現場は「システムはこのような構成になっており、特に攻撃を受けやすいアタックサーフェスの管理が重要です」と説明できます。逆に現場から「アタックサーフェスマネジメントをやります」と伝えるだけでは、その必要性は経営層には十分に伝わりません。重要なのは、経営層自らが業務上の最悪の事態を想定し、その視点から現場に問いを投げかけ、具体的な指示へとつなげることです。そうした対話がなされることで、現場も目標を共有し、組織一丸となってそこに注力することが可能になります。

経営とCISOがともに担うサイバーレジリエンス

小林：
経営と現場の対話の橋渡し役を担うのがCISOです。大日向さんは元CISOとして、経営陣への報告から現場の指揮まで幅広く携わっていました。CISOにはどのような専門性や役割が求められるのでしょうか。

大日向：
CISOには、サイバーセキュリティ戦略を立案し、司令塔として陣頭指揮を執るための高度なIT・セキュリティの専門性が求められます。同時に、専門家などとの人脈を構築し外部の脅威やトレンドを吸収する力や、事業リスク全体を俯瞰する業務知識、経営陣や現場の管理者、各国監督当局や法執行機関など内外のステークホルダーと対話できるコミュニケーション能力も欠かせません。

小林：
金融分野のデジタル化が進むにあたり、CISOに求められる役割はさらに広がるように感じます。一人で全てを担うのは難しくありませんか。

大日向：
はい。まず、その負荷の大きさ自体を組織として正しく認識することが重要だと思います。CISOは自社全体の日々の脆弱性対応やインシデント対応、既知の課題への是正対応に追われる一方で、AIや耐量子暗号（PQC）といった新たな技術環境への適応、さらには中長期の戦略企画や施策推進も担うことが求められています。実際には、こうした戦略的領域に十分な時間を割けないケースも少なくありません。

しかし、この業務負荷の大きさや役割の広がりは、必ずしも組織内外で十分に共有されているとはいえないのが実情でしょう。

今後、サイバーセキュリティの難易度がさらに高まる中で、CISOが本来果たすべき戦略的役割に集中できる体制整備は不可欠です。金融ISACや外部専門家の活用によって知見を補完することも重要ですが、それ以上に自社のCIO、CRO、CCO、デジタル推進担当役員、業務担当役員などとの間で役割分担を設計し、組織として相互補完する構造を構築することが求められます。特に組織規模が大きく、グループ会社や海外拠点を抱える金融機関においては、その重要性は一層高まると考えます。

小林：
最後に経営陣へのアドバイスをお願いします。

大日向：
最善を尽くしてもなお、サイバー攻撃による業務の中断やデータの破壊、大規模な情報漏えいは起こり得ます。経営陣には、その前提に立ち、まずは自社の「サイバーレジリエンス」について真剣に議論いただくことをお勧めします。その上で、基本方針を明文化し、現場への具体的な指示につなげていただければと思います。

牧野：
サイバーセキュリティはIT・システム部門だけの課題ではなく、経営の問題です。まずは各経営陣がサイバーセキュリティに関して担う責任や役割を明確にし、経営として意思決定すべき事項を整理していただくことが重要です。その上で、経営陣がそれぞれの役割を果たしつつ連携し、脅威環境の変化や自社の状況に応じて必要な対策を継続的に見直す姿勢こそが、ガバナンスの実効性を高めることにつながると考えています。

小林：
ありがとうございました。三回にわたる議論を通じて、サイバーセキュリティはまさに経営の課題であり、形式的な対応ではなく「実効性」が問われることが改めて明確になりました。経営と現場が対話し、共通の目標に向けて歩む。その実践に本座談会がお役に立てば幸いです。