Download PDF -
『セキュリティ・クリアランス制度』法制化の最新動向と日本企業が取るべき対応【第4回】ガイドライン及びQ&Aの公表
2025年5月2日付で公表された「重要経済安保情報保護活用法の運用に関するガイドライン(適合事業者編)」、「重要経済安保情報保護活用法の運用に関するガイドライン(行政機関編)」及び「適正評価に関するQ&A」の概要を解説します。
PwCでは、ビジネスリーダーとセキュリティリーダーを対象として、サイバーリスクに関する調査(Global Digital Trust Insights)を20年以上継続して実施しています。
2025年度は、77カ国・7地域のビジネス・テクノロジー・セキュリティなどの分野の経営層4,042名を対象に実施しました。
「Global Digital Trust Insights」によると、企業がサイバーレジリエンスを構築する上で解消すべき重大なギャップがあることが明らかとなりました。より安全で持続可能な未来を築くために、これらのギャップを解消し、サイバーセキュリティを事業戦略の中心に据えることが企業に求められます。
本レポートでは調査結果をもとにして、セキュリティ強化の上で日本企業が抱える課題と課題解決のためのアプローチ、その有効性について解説します。
企業がサイバーレジリエンスを構築する上で解消すべき重大なギャップ
- サイバーセキュリティレジリエンスの実装におけるギャップ
サイバーセキュリティリスクの懸念は高まっているものの、調査対象の全項目について、サイバーセキュリティレジリエンスに向けた対応が全社的に実行されていると回答したCxOは、全体の2%に過ぎません。 - サイバーリスクに対する準備態勢のギャップ
クラウド環境のリスクや第三者によるデータ漏洩などは、組織のサイバーセキュリティ上で最大の懸念事項です。しかし、組織においては、これらに対する取り組みが最も遅れていると認識されています。 - CISOの参画に関するギャップ
戦略的な計画の策定、取締役への報告、テクノロジーの導入管理に、CISOがかなりの程度参画していると回答したCxOは、全体の半数を下回っています。 - 規制遵守に関する自信のギャップ
AI、レジリエンス、重要インフラに係る規制をどの程度まで遵守できるかについて、CEOとCISO/CSOとの間で、自社の能力に寄せる自信に格差が認められます。 - サイバーセキュリティリスクの計測におけるギャップ
CxOは、サイバーセキュリティリスクの計測が重要であること認識しています。しかし、このような計測を効果的に行っているのは全体の半分を下回り、さらに、財務上の影響について相当程度に把握できているのは、全体の15%に過ぎません。
海外展開する日本企業が対応すべきデジタル法規制の動向
デジタル分野における法令・ガイドラインの数は、2020年と比較し、10倍以上に増加しています(図表1)。グローバル展開する日本企業は、準拠すべき法令・ガイドラインを把握し、組織単位で遵守に向けた統制を図る必要があります。
図表1:海外展開する日本企業が対応すべき法令・ガイドライン数の推移
出所:各国・地域の公的情報よりPwC作成
昨今では、各国のデジタル分野における法令・ガイドラインは増加され、罰則も強化される傾向にあります。
海外展開する日本企業は準拠すべき法令をタイムリーに把握・対応することが必要です。
デジタル分野における法令で課される義務および影響
デジタル分野における法規制は、主に①セキュリティ対策の構築、②サプライチェーンリスク管理、③インシデント報告の3つにおいてコンプライアンス義務を課しています(図表2)。企業がコンプライアンス要件に準拠できなかった場合、影響が企業のグループ全体にまで及ぶ可能性があります。
図表2:デジタル分野における法令と企業各部門との関係性および影響(一例)
デジタル法規制に対する日本企業の対応状況
デジタル法規制に対して準拠している自信があると回答した日本企業の割合は40%未満であり、グローバルと比較して20ポイント以上のギャップがあります(図表3)。各デジタル法規制への対応が十分でないと感じている企業が多いことが分かります。
図表3:各分野のデジタル法規制に対し、準拠している自信が「非常にある」「かなりある」と答えた割合
出所:PwC, 2025 Global Digital Insights Survey, Q15
法規制に対する組織内における認識の乖離
日本企業では、2024年の「Global Digital Trust Insights」の結果と同様に、CEOはCISOに比べて法規制の影響を過小評価する傾向があり、両者の意識に依然としてギャップが見られます(図表4、図表5)。CEOは、法規制対応の必要性を十分に認識できていない可能性があります。
図表4:新たなセキュリティ規制は、過去12カ月間に実質的な影響がなかったと答えた割合(2025年)
出所:PwC, 2024 Global Digital Insights Survey, Q17 PwC, 2025 Global Digital Insights Survey
図表5:各デジタル規制に対して大幅な業務改革が必要と答えた割合(2024年)
出所:PwC, 2024 Global Digital Insights Survey, Q17 PwC, 2025 Global Digital Insights Survey
組織内における情報連携の不足
グローバルと比較して、日本企業では経営層とセキュリティ部門との間で情報を連携する機会が少ないという結果が出ています(図表6)。情報連携が不足していることにより、経営層が組織におけるセキュリティ課題を十分に把握できず、企業のセキュリティ対応の遅れにつながっていると考察されます。
図表6:セキュリティ部門において、サイバーリスクや規制動向・対策に関するインサイトをCEO・取締役会によく提供していると答えた割合
出所:PwC, 2025 Global Digital Insights Survey Q28
経営層が組織におけるセキュリティ課題を十分に把握できていないことが、日本企業の課題だと考えられます。
日本のCISO活用における課題
日本のCISOは、グローバルに比べて経営に関与する機会が少ないという結果も出ています(図表7)。結果として、CISOを通じて組織のセキュリティ分野における課題が経営層に十分に伝達されず、組織内でのセキュリティ対応の遅れにつながっていると考えられます。
図表7:次に示す役割・業務について、CISOが積極的に関与した割合
出所:PwC, 2025 Global Digital Insights Survey, Q21
CISOは、組織のセキュリティ分野における課題を経営層に直接伝える役割を担うことが期待されているものの、日本においては、当該の役割が十分に機能していない可能性があります。
CISOの地位向上に向けた今後のアクション
CISOの地位向上は、組織のサイバーセキュリティリスクの低減とレジリエンス強化に不可欠です。CISOの地位を向上させ、経営に関与できるようにするためには、CISOと経営層の双方が協力し、戦略的なビジョンと具体的なアクションを共有することが求められます。
CISOおよび経営層に求められるアクション
- CISOに求められるアクション例
- 経営層への説明、継続的なコミュニケーション
- 組織のサイバーセキュリティリスクの現状と影響を評価し、リスク低減のための具体的な戦略や計画について経営層・ステークホルダーに説明する
- 定期的に経営層と会議を行い、サイバーセキュリティの対応状況、組織に対する新たな脅威やリスクへの対応策を共有する
- 経営層への説明、継続的なコミュニケーション
- 経営層(CxO)に求められるアクション例
- CISOの経営への参画、定期的なフィードバック
- セキュリティリスクも重大な経営リスクの1つであることを認識し、CISOを経営戦略の意思決定に関与させる
- 組織におけるサイバーセキュリティ演習やリスク評価の実施状況を把握し、定期的にCISOにフィードバックする
- CISOの経営への参画、定期的なフィードバック
CISOと経営層(CxO)の双方が協力し、継続的なコミュニケーションを通じて戦略的なビジョンと具体的なアクションを共有することが重要です。実践のためには、組織においてCISOおよび経営層(CxO)の業務や役割を明確化することが必要となります。
PwCでは、最新のセキュリティ・業界知見をもとに、CISOが効果的に機能するためのアドバイザリーサービスを提供しています。
CISOの地位向上の必要性
日本企業では、CISOが経営に参画する機会がグローバルに比べて少なく、組織全体でのセキュリティ対策に遅れが生じていることが明らかになっています。CISOの立場が依然として低く、経営に関与するための権限や機会が十分に与えられていないことが課題であり、解決のためには、組織におけるCISOの地位向上が求められます。PwC Japanグループのサイバーセキュリティリーダーは以下のような観点からCISOの地位向上の必要性に言及しています。
PwC Japanグループ サイバーセキュリティリーダーによる提言
- 経営リスクに係る説明責任を果たす上でCISOの地位向上は不可欠
セキュリティリスクは重大な経営リスクとして捉える必要があり、法規制も強化される傾向にある。組織として各国の法規制を遵守し、ステークホルダーへの説明責任を果たすにはCISOを経営の中枢に配置することが不可欠である。(PwCコンサルティング合同会社 丸山 満彦パートナー) - セキュリティ人材の育成を強化する上でもCISOの地位向上が必要
日本企業は長年セキュリティ人材の不足が悩まされており、人材育成が進んでいないという課題がある。組織のセキュリティ人材育成やキャリアパスのためのインセンティブとして、CISOが経営に参画することを前提とした権限・報酬体系に見直すことが必要である。(PwC Japan有限責任監査法人 綾部 泰二パートナー)
おわりに
本調査の結果から、規制への対応に関してグローバルと日本企業で格差が生じている現状が明らかになりました。また日本企業では経営層とCISOが十分な連携が取れていないことが、規制やセキュリティ対策への遅れが生じている1つの原因である可能性も見えてきました。
グローバルでますます増大するデジタル法規制にタイムリーに対応するためにも、CEOをはじめとするビジネスリーダーがデジタル法規制への対応やセキュリティ対策を経営課題として認識し、CISOと強い連携を図ることが重要です。
本レポートの示唆が、日本企業にとってCISOの役割を改めて認識し、デジタル法規制やセキュリティ対策を経営課題として推進する一助となり、セキュリティ担当者にとっては自身のキャリアデザインを描く一助となれば幸いです。
Digital Trust Insights 2025:CxOとCISOの連携が、複雑化するデジタル法規制によって生じるギャップを埋める
インサイト/ニュース
20 results
Loading...
Download PDF -
「営業秘密」の保護と利活用 第1回:競争優位性の維持向上に不可欠な営業秘密保護対応
営業秘密は企業の競争優位性を支える重要な資産であり、経営層はこれをリスク管理の一環として重視し、戦略的に対応することが求められます。シリーズ第1回となる本稿では、営業秘密の定義とその重要性について解説します。
Download PDF -
米国の船舶および港湾のサイバーセキュリティ法規制最新動向
グローバルでは近年、船舶サイバーセキュリティに関する統一規則(IACS UR E26/E27)の発行を筆頭に、海事分野におけるサイバーセキュリティの機運が高まっています。船舶・港湾分野におけるサイバーセキュリティの動向を理解し、発生しうる規制対応リスクについて解説します。
Download PDF -
航空サイバーセキュリティの強化 ―EASA Part-ISが求める情報セキュリティ要件―
航空業界は、航空機や関連システムの高度なデジタル化やグローバルなサプライチェーンによる複雑化が進む中、サイバーセキュリティの重要性がかつてないほど高まっています。こうした背景から欧州航空安全機関(EASA)が2023年10月に制定した、情報セキュリティに関する初の規則となるPart-IS(委員会実施規則(EU) 2023/203および委員会委任規則2022/1645)について解説します。
Loading...
