Digital Trust Insights 2026：日本企業向け示唆

PwCは、サイバーリスクに関する年次調査「Global Digital Trust Insights」を20年以上継続して実施しています。本調査は、企業のリーダーが、不確実な時代にどのように対処しているか、どういった課題を抱えているか、その課題に適切に対応するために何を変えるべきかをテーマとしています。今回は世界72カ国のビジネスリーダーおよびテクノロジーリーダー3,887名を対象に調査を実施しており、その結果は以下のとおり公開しています。

「Global Digital Trust Insights 2026」：CxOプレイブックおよび調査結果

当レポートでは、本調査の結果を踏まえつつ、日本企業が特に注目すべき課題を紹介します。

まず、日本企業を取り巻くサイバーリスク環境を概観します。

Global Digital Trust Insights 2026の主な調査結果

1. 地政学的リスクが戦略の立案に影響
   ビジネスリーダーとテクノロジーリーダーの60%が、地政学的な不確実性の増大を受けて、サイバーセキュリティリスクへの投資を重点戦略の上位3項目の1つに位置付けています。
2. レジリエンス強化の取り組みは道半ば
   地政学的情勢と連動してサイバーセキュリティリスクが高まる中で、リーダーの約半数が、組織における特定の弱点（脆弱性）をターゲットにしたサイバー攻撃に対して、自社組織は「ある程度耐性がある」と回答しています。調査において、組織の脆弱性に関連する全調査項目について自信があると回答したのは、全体の6%に過ぎません。
3. トラブルへの備え
   サイバーインシデントの未然防止策への支出が、事後対応策への支出を大幅に上回っている組織は全体の24%にとどまります。支出割合としては、前者が後者を上回ることが理想ですが、大半の企業（全体の67%）では、両者がほぼ拮抗しています。事前対応が不十分で、インシデント発生後に初めて本腰を入れて対応する場合、事業継続リスクや総セキュリティコストが増大する可能性があります。
4. サイバーディフェンスに自律型AIを活用
   自律型AIは、今後12カ月間において、各組織が最も重視するセキュリティ領域におけるAI活用事例の1つです。特にクラウドセキュリティ、データ保護、サイバー攻撃に対する防御とその運用を目的とする自律型AIの導入計画が進められています。

サイバーリスクの高まりと被害額の増大

図表1のとおり、地政学的緊張、サプライチェーンの複雑化、攻撃手法の多様化と高度化により、サイバーリスクは日本でも増大しています。本調査に回答した日本企業121社の8%が、過去3年間において、サイバー攻撃により約15.6億円（1米ドル156円換算）以上の損害を被ったとしています。

図表1：サイバーリスクの高まりと被害額の増大

サイバー攻撃がもたらす経営へのインパクト

攻撃手法の高度化・巧妙化によって、サイバーインシデントの被害はシステム復旧のコストにとどまらず、業績の悪化や経営計画の見直し、株価の下落などにも波及するようになっており、企業経営へのインパクトはますます高まっています（図表2）。

図表2：サイバー攻撃がもたらす経営へのインパクト

リスクの多様化により、コンプライアンス要件は拡大

国際社会の緊張や経済のデジタル化により、セキュリティリスクが多様化しています。各国・地域のコンプライアンス対応は、プライバシーを含むデータ保護が中心でしたが、昨今はサイバーセキュリティ対策、サプライチェーン管理、コネクテッド製品の脆弱性管理、インシデント報告など、より広い範囲を対象とするようになっています（図表3）。

図表3：コンプライアンス要件の変化

サイバー関連のリスクの重大化や多様化に対して、日本企業はどのように対応し、また、どのような課題を抱えているのでしょうか。

データ保護優先のサイバー関連支出

グローバル、日本ともに、サイバー関連の支出の優先順位に最も影響を与えているのはデータ保護です（図表3）。これは以前から法整備が進んでいたプライバシー・データ保護対応が他施策に対して優先されてきたためと考えられます。一方で、グローバルでは技術の近代化への投資に関心が移りつつあり、リスクの多様化を踏まえ日本企業でも投資の見直しが推奨されます。

図表4：今後12カ月間のサイバー関連支出の優先順位に影響を与えている要因について、上位3つに選ばれた割合

組織の弱点を突いたサイバー攻撃へのセキュリティは不十分

コネクテッド製品やサプライチェーンを狙った攻撃に対して、「現状十分に対処可能」と回答した日本企業の割合は、グローバルと比べて低いです（図表5）。これらの領域では、組織の弱点を突いたランサムウェア攻撃などが多発しており、日本を含む各国・地域では、法令や任意制度によるセキュリティ対策の規範化が進んでいます。こうした動向を踏まえると、日本企業のセキュリティ対策については、見直しが必要です。

図表5：以下の組織の脆弱性を標的とした大規模なサイバー攻撃に対して、十分対処可能と答えた割合

このような状況に対応する上で、日本企業にはCISOの役割の再定義と、他のCxOとの連携強化が求められます。

経営メンバーとしてのCISOとCxOの強い連携が必要

日本企業でもCISOの必要性についての認識は向上しつつあるものの、コネクテッド製品やサプライチェーンを含めたさまざまなリスクに対応する上で必要になる他の経営メンバー（CxO）との連携は、グローバルに比べて遅れがあります。そのため、経営メンバーとしてのCISOが他のCxOとより機動的に連携できるようにすることは、多様化するリスクに柔軟に対応する上で不可欠です。

PwC Japanグループのサイバーセキュリティリーダーによる提言

• 経営リスクに係る説明責任を果たす上でCISOの役割・責任の再定義は不可欠
  サイバーセキュリティに関する社会的重要性が増しています。法規制が強化されるとともに、企業にとって、サイバー攻撃は経営上の重要リスクになっています。これについての説明責任を果たす上でCISOの役割・責任の再定義は不可欠です。具体的には、CISOが経営メンバーとして他のCxOと連携し、全社のセキュリティを統括する必要があります。（PwCコンサルティング合同会社 パートナー 丸山 満彦）
• セキュリティ人材の育成を強化する上でもCISOの地位向上が必要
  日本企業は長年、セキュリティ人材の不足に悩まされており、人材育成が進んでいないという課題を抱えています。人材育成の強化やキャリアパスのためのインセンティブとして、経営に参画することを前提とした権限・報酬体系に見直し、CISOの地位を向上させることが必要です。（PwC Japan有限責任監査法人 パートナー 綾部 泰二）

CISOに求められる役割

CISOは、経営メンバーとして規制やビジネス戦略と整合したサイバーセキュリティ戦略とポリシーを推進することに加え、他のCxOと協力しながら、多様化するサイバーリスクに柔軟に適応できる組織の実現に向けたアクションを主導します。また、その実施に関して、取締役会を含むステークホルダーへの説明責任を果たしていくことが求められます（図表6）。

図表6：CISOに求められる役割の例

まとめ

ここまでご紹介したように、コネクテッド製品やサプライチェーンを狙った攻撃の増加など、セキュリティリスクが多様化し、その影響は重大化する傾向にあります。しかし、日本では、これらのリスクに対応する上での自組織の能力に懸念を抱く企業の割合がグローバルと比べて高くなっています。各国・地域でセキュリティリスクへの対応を義務付ける法整備が進む中で、日本企業にはCISOの役割と責任の再定義に加え、CISOと他CxOの連携を強化し、部門横断的な対策が推進できる体制を構築することが推奨されます。