社会的な議論が高まるサイバーセキュリティは、あらゆる業界の取締役会にとって、より重要な課題となっています。「環境・社会・ガバナンス(ESG)」との関連性から、探求すべき新たな機会が開かれていると言えるでしょう。自身のサイバーセキュリティに焦点を当てるのは簡単ですが、実際は、サイバースペースは複雑かつ相互依存と統合が進んでおり、「良きサイバー市民」であることが非常に重要です。自らが属しているコミュニティが脆弱であれば、自身も脆弱になります。
機密情報を保護し、搾取を避け、テロを減らし、他者の安全を重視するなどの対策を含む、サイバースペースにおける社会的責任への要求が高まっています。
これは単なる技術的な問題ではありません。組織の情報資産を守るだけでなく、より広範なコミュニティの観点を生み出しています。優れた「サイバー衛生」を実施しつつ職場のネットワークを保護することは、共通の利益のために考慮しなければならない重要なステップです。
サイバーセキュリティがもたらす社会的影響
デジタル時代においてサイバーセキュリティと消費者および組織の保護は、健全で安全な社会にとって不可欠であり、企業の社会的責任についてより広い視野を持つことが求められています。
データ漏洩は大きな影響を与える可能性があり、消費者のプライバシーと機密データを保護する組織の責任はますます強いものとなっています。顧客は、情報保護と個人のプライバシー権を最優先に考え、個人データが共有・侵害・搾取されたりしないと確信できることを求めています。
組織は顧客を引き付け、維持したいのであれば、顧客データベースのセキュリティとプライバシーを優先しなければなりません。サイバーセキュリティインシデントを組織にとっての商業上のリスク(潜在的な身代金を支払うための単なる「ビジネスコスト」)としか考えないのであれば、顧客、サプライヤー、そしてコミュニティ全体に対するより大きな影響を無視することになります。
サイバー犯罪の影響は増大しており、デジタル世界への依存度が高まるにつれ、「ハイパーコネクテッド・ソサエティ(極度に接続された社会)」になりつつあります。サイバーセキュリティは、インフラを保護し、スマート化が進む都市を稼働させ、日常生活を継続させるために不可欠な役割を担っています。また、地政学的な観点からは、紛争時にサイバー攻撃が戦術として用いられることで、サイバー犯罪の社会的側面がより明らかになってきています。
サイバーセキュリティとプライバシーにおける企業のコミットメントの透明性を求める圧力もあります。プライバシーに関する法律は、ヨーロッパで確立された一般データ保護規則(GDPR)を補完するために、世界中で展開されています。サイバーセキュリティは現在、多くの規制当局の議題となっており、タイムリーで包括的なインシデント通知とサイバーセキュリティ制御の成熟度の開示に対する要求が、規制当局からだけでなく、クライアント、株主、投資家からも高まっています。
社会的要請としてセキュリティを重視することで、企業はデジタルのエコシステムをより安全な場所にするための重要な役割を果たすことができ、ステークホルダーとの信頼関係を構築することができます。
行動への呼びかけ ~コミュニティの反応
コミュニティ活動のパワーは否定できません。最も強力な組織は、仲間と協力し、情報や優れた実践を共有することに前向きな組織です。組織犯罪グループは、単一のターゲットだけを攻撃するのではなく、セクター、組織、そのサプライチェーン全体をターゲットにしています。組織がサプライヤー、顧客、規制当局と協力することで、エコシステム全体、さらには産業全体のサイバーセキュリティの水準を向上させることができるのです。サイバースペースでは、どの組織も孤立しているわけではなく、すべて相互につながっており、相互依存しているのです。
また、サイバーセキュリティには企業の社会的責任という側面もあり、「サイバー上のいじめや詐欺、搾取から地域社会や弱い立場の市民を守るために組織がどのような役割を果たせるか」を考える必要があります。KPMGは毎年、グローバル・サイバー・デーを開催しており、昨年は世界各国のメンバーファーム参加のもと、60の国と地域の590校で10万人以上の学生にメッセージを送りました。
コミュニティ活動を推進するための具体的なステップを紹介します。
- 仲間と共有する
サイバー脅威や優れたセキュリティ対策に関する見識、情報を仲間と共有し、その一翼を担います。コラボレーションを阻むものを見つけるのは簡単です。サイバー脅威や攻撃に対処する上で、信頼はすべての人に利益をもたらします。 - エコシステムのセキュリティに注力する
主要なサプライヤーや広範なエコシステムの支援に取り組むことは、契約や義務にとどまらず、サプライヤーのサイバーセキュリティ能力の構築のために何ができるかを考えることでもあります。このなかには、教育、アドバイスとサポートの提供、およびエコシステムの防御に役立つコミュニティ・イニシアチブのサポートが含まれます。 - 顧客の利益を第一に考える
サイバー詐欺、個人情報の盗難、およびその他の形態の搾取から顧客を保護するために、さらにできることがないか、自問自答してください。また、法執行機関や同業者と協力し、サイバー犯罪に対処した経験を示すことができるか考えてみましょう。 - 次世代に投資する
企業は現在と未来のデジタル社会の責任ある一員となるために、必要なサイバースキルを次世代に教育し身につけさせ、サイバー能力の向上を支援することに大きく関与する必要があります。これは多くの利益をもたらし、将来的なスキルの構築にも役立ちます。 - デジタル社会で自らの役割を果たす
良きサイバー市民として、デジタル社会の未来と倫理に関する議論に参加しましょう。そして、自らの行動が社会的利益に貢献しているかどうかを自問してください。
今、我々は、サイバー犯罪に取り組むためのコミュニティやマルチステークホルダーアプローチの重要性を認識する初期段階にあると言えます。しかし長期的には、すべての組織が良きサイバー市民となり、サイバーセキュリティをESG戦略の中心に置くことによって、その水準を高められる可能性があります。
本稿は、KPMGインターナショナルが2022年5月に発表した「Being good cyber citizens in a digital world」を翻訳したものです。翻訳と英語原文に齟齬がある場合には、英語原文が優先するものとします。
全文はこちらから(英文)
Being good cyber citizens in a digital world