海外拠点のリスクは組織全体のリスク

 日本貿易振興機構(ジェトロ)が日本企業の決算資料を集計した結果を見ると、2000年時点で28.6%だった海外売上高比率は、2013年に50%を超過し、それ以降、高い水準のまま推移している。また、2018年7月1日の日本経済新聞によれば、日本企業による海外企業のM&A(合併・買収)は、2018年1~6月期に、金額ベースで12兆円弱、件数は340件と過去最高を記録したという。

 国内の人口減少・少子高齢化は今後ますます深刻になり、長期的な内需の縮小は避けられない。業種を問わず、経営者が海外に成長機会を求めるのは至極当然と言える。

 しかし、重要なのはM&Aの後である。「1+1で2になりました」というだけでは、経営手腕が発揮されたとは言いがたい。1+1が3にも4にもなるように、化学反応を促したり、大胆に効率化を図ったりすることが求められる。そのためには買収した海外企業の中に手を突っ込んで、精緻に内情を把握しなければならない。

 この点は、サイバーセキュリティ管理においても同様である。ビジネスをグローバルに展開する以上、その企業グループが一体となってサイバーセキュリティを推進する必要がある。しかし、実際には、本社から目が届きやすい国内拠点だけで管理を進めてしまう日本企業が珍しくない。M&Aで取得した海外子会社や、現地採用の従業員が大半を占める海外の工場・研究所等にセキュリティ上の問題が潜む可能性が高いことに薄々気づいていても、それがパンドラの箱であるかのように遠ざけられ、放置されているのだ。

 優先順位をつけて段階的に対応することは現実的なアプローチだが、見えにくいからと言って海外拠点が最後まで手つかずの状態で放置されてしまったら、グループ全体が大きなリスクに晒される。サイバー攻撃は、組織の最も脆弱な箇所から侵入し、やがては組織全体に及ぶものである。

 また、本年5月に施行された、EUの一般データ保護規則(GDPR)では、違反時にグループ全体の売上の4%か2000万ユーロ(約25億円)のどちらか高い方が制裁金として課せられる。たとえ小規模な事業所であっても、個人情報の取扱いを誤れば、グループ全体に責任が問われることになり、隅々まで目を光らせておかなかければならない。

 

グローバルガバナンスの3つの形態とは

「ガバナンス」という言葉は定義が曖昧なので、まず分かりやすいところから考えてみたい。グローバル企業におけるセキュリティ組織を、中央集権的な形にするのか、それとも、地方分権的な形にするのかという点だ。実際の企業では、必ずしもこれらの二者択一ではなく、両社の特徴を備えたハイブリッド型が採用されるケースも多い(図1)。それぞれの特徴は以下の通りだ。

図1

①中央集権型… 続きを読む

全文(続き)を読む

続きを読むにはログインが必要です。

まだ会員でない方は、会員登録(無料)いただくと、続きが読めます。

山本 直樹

山本 直樹

PwCコンサルティング合同会社 パートナー, PwC Japan サイバーセキュリティ事業統括

コンサルティング業界で20年以上の業務経験を持ち、金融機関や大手製造業などに対して、サイバーセキュリティ、ITガバナンス、アイデンティティ管理、事業継続管理、IT組織改革、ITコスト管理、内部統制など、幅広い分野のサービスを提供。入社以前には、外資系コンピューターメーカーの情報セキュリティ統括責任者として情報セキュリティ管理、顧客情報のプライバシー保護、インシデントレスポンス、事業継続管理、SOX法対応に従事した経験も持つ。日本市場においては、サイバーセキュリティやITリスク・ガバナンスの専門家として認識され、テレビ、雑誌、ウェブなどでのコメント・寄稿やセミナー・カンファレンスでの講演などを数多く務める。近著「サイバー攻撃に勝つ経営(日経BP社)(https://www.pwc.com/jp/ja/knowledge/publication/cyber-attack2017.html)」。公認情報システム監査人(CISA)、公認内部監査人(CIA)。

関連キーワード

連載記事