経済安全保障推進法でもサイバーセキュリティが対象になっているように、日本企業へのサイバーリスクは高まっている。大手企業の経営者はおおむねそれを理解しているのだが、実際にリスクに対応するのはCISOやそれに関連する人たちだ。一口にCISOといっても、業種・業態・主要顧客・規模などによってその役割は多岐にわたる。だからいろいろなCISOさんたちとの意見交換は、ポリシーとしてサイバーセキュリティ対策を勉強している僕らにとっては、毎回教えられることの多い機会である。
今回、外資ではないデジタル産業のグループCISOという人の話を聞くことができた。有名なトップダウン型の企業で、いくつもの事業会社を傘下に持っている。トップの意向が迅速に反映され、事業展開が早い一方、新しいリスクに直面することも多い。そのあたり、どうCISOとしての役割を認識して、果たしているのかと聞くと、
・デジタル産業の「信頼」の基盤は、利用者の安全&安心
・プライバシー保護はもちろん、サービスの事業継続は必須
・新しい(サービス)事業を考える時、必ずCISOとしてチェックし助言する
・時には「トップの強い意向」で押し通そうとするヤカラもいる
・それには「俺がCISOである限り、このまま事業開始は許さん」とクビを賭けて対応する
と仰る。トップの信頼もあるのだろうが、なかなか意気軒昂な人だ。グループ傘下の事業をどうマネージしているかと聞くと、
・どんな小さな単位でも、事業をするならCISOを置かせている
・そのCISO達は、必ず自分が面談等して信頼できる人物を指名する
・就任するCISOには、自筆の任命書を手渡すことにしている
という答え。特に最後のものはややアナクロ的だが、デジタル産業だからこその配慮なのかもしれない。企業によって、トップやCISOの人物やによって、100社には100様のCISOの役割があるようです。まだまだ勉強しますよ。