悪い警官役のプレゼンは続く。米国小売大手Targetは、店舗の空調機運用を委託している事業者がハッカーに乗っ取られたことで自社への侵入を許し、顧客管理システムに到達されてクレジットカード情報などを盗まれた。銀行まで含めた決済ネットワーク全体に被害が及び、同社のCEOとCIOは首になった。さらに被害者からの個人賠償訴訟を受けている。経営者にとってはまさに恐怖のシナリオ、迫力のあるプレゼンで場内は静まり返った。

 

　その後、僕の出番。被害を受ければ株価が下がったり、お取引先に迷惑をかけることもある。地震・洪水や為替変動、人材不足など多くの経営リスクを考えておられる中で、サイバーリスクも経営者として認識してもらいたいと説明した。すでに事例を理解してもらっているので、話は早い。「COVID-19」の影響でテレワーク等が進んでしまったがそれの対応はこうしたらいいとか、政府等の支援策はこんなものがあると紹介することでいい警官役を終えることができた。

 

　　　　

 

　その後のQ&Aも活発で、チャット機能による質問もあった。丁寧にお答えしたが一つ悩ましい質問があった。それは「大手企業は出入りの中小企業に対して、セキュリティ対策を強要するのか」というもの。上記Targetの例を見れば、Targetが空調運用の事業者を監督してセキュリティ対策をとらせたり、究極はちゃんとした対策をしている事業者に乗り換えることはありそうなことだ。

 

　いい警官役の僕は、強要すれば地位の濫用にあたるのでそれはしないが、サプライチェーン全体のセキュリティを高める必要はある。大手のお取引先に対しても「営業部門と調達部門」の関係だけでなく、経営者同士がリスク認識や対策を共有する会話ができる必要があると変化球を投げた。

 

　すると悪い警官役の人が、欧米ではPL法などに倣い、セキュリティ条項を取引契約に入れるケースも増えてきた。時間はかかるかもしれないが、いずれは日本にもその流れが来ると豪速球を投げ込んだ。

 

　後で聞くと、聴衆の評判はまずまずだったようで、正直胸をなでおろした。大手企業でも気は使っているはずですが、ちょっと何かがあると「大手の下請けいじめだ」と一部メディアに叩かれてしまいます。それゆえに遠慮が出てそれが甘えに繋がり、サプライチェーン全体が脆弱になるのは問題です。このあたり、まだまだ本音の議論が要るでしょうね。