Bizコンパス

企業はサイバー攻撃を排除できない。でも、リスクの管理はできる
2019.12.25

セキュリティ対策に求められる新たな視点第9回

企業はサイバー攻撃を排除できない。でも、リスクの管理はできる

著者 Bizコンパス編集部

サイバー攻撃は排除できない。最善策は何か?

 2019年の1月23日には、日本の個人情報保護委員会とEUの欧州委員会が「日EU間の越境データ移転」に関する合意を結びました。足立氏はこのことについて、個人データの移転など、個人情報の取り扱いにおける負担の軽減につながる可能性がある、とメリットを認める一方で、欧州在住者から訴えられるリスクが生じるデメリットもあると、注意を促します。

「EUに住む人が“日本企業に”自分の個人情報が適切に扱われていないと考えれば、それを訴えることが可能になったということです。2年後にはこの合意に関するレビューが行われますが、その際には日本の個人情報保護法もGDPRと同じぐらい厳しいものに変わるのではないかと言われています」

 このような個人情報を取り巻く変化への対応を考えるときに「対策していて個人情報が漏えいした場合」と「対策せずに漏えいした場合」では、大きく結果が異なることを認識しておくべきといいます。

「GDPRの話題になると、必ずと言ってよいほど莫大な制裁金の話が出てきます。制裁を受けると最大2000万ユーロ、または全世界売り上げの4%を上限に制裁金を科すというものです。もし何も対策せずに情報漏洩をした場合は4%の制裁金が科される可能性が高いでしょう。しかしGDPRの前身となるEU指令を含め過去の事例を見ると、対策していれば2%を上限に制裁金を科されていることも多いようです。企業が個人情報を守るための対策を講じることの必要性はこれまで以上に重要になります」(足立氏)

 足立氏は最後に、サプライチェーンリスクに対し、企業が取るべき“最善策”を挙げました。

「サプライチェーンリスクを含めたサイバーリスクは常に変化し続けています。そのため、企業にはまず自社のリスクを特定し、技術的対応と組織的対応をとることが求められます。そしてGDPRに代表されるレギュレーションの変化も意識する必要があるでしょう。

 サイバー攻撃は排除できません。サプライチェーンも含めた自らのサイバーリスクを“管理する”のが現在の最善策といえます」

 顧客から収集した個人情報の保護は企業にとって重要な命題であり、その保護をサプライチェーンまで含めて考えるべきタイミングが到来しています。個人情報保護法が強化されてから慌てて対応するのではなく、GDPRなどを参考に今できることに取り組むべきかもしれません。

 中島氏、足立氏の講演に共通するのは、企業は自社だけでなくサプライチェーンのセキュリティリスクを把握すべきだということ。そして、規制に合わせた対策や管理を考えるべきタイミングにきているということです。これを機会に自社を取り巻くリスクについて、もう一度考えてみてはいかがでしょうか。

SHARE

関連記事

セキュリティ対策は「経営責任」とプロが断言する理由

2019.11.29

セキュリティ対策に求められる新たな視点第8回

セキュリティ対策は「経営責任」とプロが断言する理由

DMG森精機のOTセキュリティの取り組みとは

2019.10.11

セキュリティ対策に求められる新たな視点第7回

DMG森精機のOTセキュリティの取り組みとは

NTTのCISOはどうやって経営にセキュリティを織り込むようにしてきたか

2020.03.19

セキュリティ対策に求められる新たな視点第15回

NTTのCISOはどうやって経営にセキュリティを織り込むようにしてきたか

専門家「サイバーリスクがゼロにならないなら、検知と対応に注力すべき」

2020.03.04

セキュリティ対策に求められる新たな視点第13回

専門家「サイバーリスクがゼロにならないなら、検知と対応に注力すべき」

セキュリティの専門家が語る「2020の脅威」その傾向と対策

2020.02.14

セキュリティ対策に求められる新たな視点第12回

セキュリティの専門家が語る「2020の脅威」その傾向と対策

マルチクラウドの活用に必要なクラウドマネジメントとは?

2020.01.31

DXを加速させるITシステムの運用改革第19回

マルチクラウドの活用に必要なクラウドマネジメントとは?

「DXレポート」作成者が教える「2025年の崖」を乗り越えるポイント

2020.01.29

デジタルトランスフォーメーションの実現へ向けて第28回

「DXレポート」作成者が教える「2025年の崖」を乗り越えるポイント

台風が来ると、サイバー攻撃が増加!?高度化する手口の防ぎ方

2020.01.17

セキュリティ対策に求められる新たな視点第11回

台風が来ると、サイバー攻撃が増加!?高度化する手口の防ぎ方

サイバー攻撃は避けられない。だから「リスク移転」で自社を守る

2020.01.08

セキュリティ対策に求められる新たな視点第10回

サイバー攻撃は避けられない。だから「リスク移転」で自社を守る

人手が足りなくても、セキュリティレベルは高められる

2019.11.01

DXを加速させるITシステムの運用改革第12回

人手が足りなくても、セキュリティレベルは高められる

脱エクセル!ServiceNowとTenableで脆弱性管理の自動化を実現

2019.09.27

DXを加速させるITシステムの運用改革第11回

脱エクセル!ServiceNowとTenableで脆弱性管理の自動化を実現