「経営会議でサイバーセキュリティを取り上げる頻度は?」との質問に対して、挙手の状況は、
・毎月 ⇒ ナシ
・3ヵ月に一度 ⇒ 少々
・6ヵ月に一度 ⇒ その倍くらい
・1年に一度 ⇒ さらにその倍くらい
・わからない ⇒ 同上
だった。2年ほど前、ネット企業の役員に聞いたところ、「経営会議の最初の議題はサイバーセキュリティ、最長の議題もそう。だから私は大変なのだ」と言っていた。参加者の中にはそういう企業もいたはずだが、参加者が知らないのかこういう場で目立ちたくなかったのか、どちらだろう。
説明者はハンドブックの特徴を挙げて、
・薄い (30ページ余だが、本当のコア部は10ページちょっと)
・専門用語が全くない (実際その通り、デジタルに暗い人でも読める)
・取締役が会議で質問するべきことを示している
最後の点が一番重要、世の中に「セキュリティ本」は一杯あるのだが、技術的な説明ばかりだったり対策の方法論が延々述べられているものが多い。株主の代理人であり企業の執行を監督する立場の取締役は、技術や対策の「答え」を言うのではなく、適切な質問を取締役会で発するべきなのだ。
最後に「経営者がおこなうべきサイバーセキュリティ対策」と題したパネルディスカッションが行われ、ハンドブック日本語版を監修した弁護士、大手コンサル企業のTOP、経産省の課長が登壇した。モデレータが用意した質問は、
・守らなくてはならないものをどう決めるか?
・変化するリスクにどう対応するか?
・自社のセキュリティ力をどう見て、発信するか?
だった。自社の事業でこのような点を、ハンドブックを見て改めて考えてもらおうという意図と思われる。特に最後の「発信」が重要で、日本企業は「情報発信」が苦手、悪く言えば「隠したがる」傾向にある。
講演の中で経産省の人は、ノルウェーの金属会社の例を挙げ、資料を広げて意見を戦わせトライアルをしている復旧課程をそのまま映像配信した結果、株価の下落は最小限になったと言っていた。弁護士先生も「説明責任」という言葉を何度か使っていたし、この流れでいくと今度は「情報開示」がテーマになりそうだ。
社外取締役はもちろん「社外」の人だから、彼ら/彼女らに説明することができれば、株主や市場にもできるはずですからね。