サイバーリスクには、取締役レベルの関与を―米国

Season’s Report from Global

特派員 ジョー・ダブス Joe Dubbs
PwC 米国 シアトル事務所 サイバーセキュリティ ディレクター(2016年7月から2018年6月まで日本へ赴任)

米国企業の取締役は、研修に限らず他の取締役との会話やサイバー事件に関するニュースから情報を得ることで「サイバーIQ」を上げています。これにより、組織における取締役のサイバーリスクに対する監督力を強化しているのです。また独立した社外取締役は、サイバーセキュリティなどの重要なリスクについての議論を、経営陣とも積極的に行っています。

多くの米国企業は、サイバーリスクに関する調査や、リスクを把握するための主なトレンドや指標を四半期ごとに更新するなど、最新の情報を取締役会へ定期的に報告しています。例えば、CISOやCIOなどのエグゼクティブが取締役会に報告し、次のような質問に回答しています。

  • 当社が直面している主なサイバーリスクは何か。
  • そのリスクに対応するための施策は何か。
  • その施策の有効性をどのように確認するのか。
  • 当社は、当社に適用されるサイバー法およびプライバシー法に準拠しているのか。

2018年には、JPX日経400の40%以上の企業において独立社外取締役が全取締役の3分の1を超えましたが、そうした企業の割合は2014年にはわずか6%でした。日本企業では社外取締役の数が増えており、管理職はサイバーセキュリティに関する取締役会からの質問に対応する必要があります。日本企業でも、サイバーリスク対策に関する取締役会への教育を始めるのが望ましいと言えるでしょう。

英語版日本語版