サイバー空間の最新状況を政治経済とテクノロジーの両面から解説頂く”国家対国家の静かなる激戦“シリーズの第2回目は、経営の視点からセキュリティをとらえる必要性について解説します。
このような状況下において、社会秩序を取り戻すための法整備はもちろんながら、それらを充てにせずとも、国家や経営者は各々のインフラをサイバー攻撃から現実的に守らねばなりません。ここで取り上げたいのは「憶測の問題」という考え方です。
これはある社会学者が提唱した考え方で、自然災害などを例にとって説明されることが多いものです。例えばあなたが地方自治体のトップだと仮定しましょう。あなたが管理する地域に巨大地震が起こった場合、大規模な土砂崩れが起こる可能性があることを有識者の一人から内密に聞かされたとします。この時、取り得る選択肢は大きく分ければ二つです。その言葉を親身に受け入れ、今年度予算から多額の資金を投じて対策を実施することを指示するか、そうせずに地震が来ないことを祈るということです。
ここに選択のジレンマが生じます。あなたが対策を実施することを選んで、実際に地震が来なかった場合、「多くの予算を起こりもしない地震の対策に費やしたのか」と非難されるかもしれません。しかし対策せずに祈っていると、地震が起こって「なぜ対策をしていなかったんだ」と非難されるかもしれません。取れる対策を可能なコストの範囲で実施して、それを上回る地震が来た場合には、例え対策をしていたとしても「なぜ十分な対策をしていなかったんだ」と非難されるかもしれません。このように、リスクに対する対策の選択というのは、おおむね意思決定者に不利な状況と言えるでしょう。
特にサイバー攻撃対策ともなれば、専門的な知識が乏しい人が世論の大半です。そのような状況であればコストをなるべく掛けず、最小限の対策で“祈る”ことを選択する経営者が多い事にも納得できるでしょう。
我が国ではさらに悪いことに、実際に被害が出た場合のペナルティも極僅かであるという現状があります。例えば日本の改正個人情報保護法における罰金は1億円以下です。しかしアメリカ カリフォルニア州のカリフォルニア州消費者プライバシー法(CCPA:California Consumer Privacy Act)によれば、被害者の請求1件当たり2500ドル(約27万5千円)、故意の漏洩だった場合には一件当たり7500ドル(82万5千円)の罰金となります。つまり個人情報を1万件漏洩する事案において過失が認められたとすれば日本では1億円以下、アメリカ カリフォルニア州では約25億円の罰金となります。
欧州のEU一般データ保護規則(GDPR:General Data Protection Regulation)においては当該企業の全世界年間売上高の4%、または2,000万ユーロ(約26億円)の制裁金となります。ある意味で日本の経営者は経済的に合理的な選択をしているに過ぎないということができるかもしれません。
しかしたとえ日本の企業でも、グローバル経営を考えれば、同じ感覚でサイバーセキュリティ対策に取り組めば大きな落とし穴にはまることとなるでしょう。米国をはじめとし、多くの国ではサイバーセキュリティにおける善管注意義務が制定され始めています。最も有名なのが米国のNIST(National Institute of Standards and Technology)が発行するSP800-171です。米国はSP800-171をベースとしたCMMC(Cybersecurity Maturity Model Certification)という認証制度を国防総省を皮切りに2025年までに米国の全省庁の重要な政府案件の入札条件とする動きをしています。
無論、日本企業もそのサプライチェーンの一部であることから無関係では済まされません。自然状態を逆手に取ったサイバー攻撃への技術的対策と、自然状態から脱却すべく繰り広げられる法整備への法的対策の両方を睨むことが、今後のサステナブル経営に求められることは明白です。
Author :
多摩大学ルール形成戦略研究所
主席研究員
西尾 素己氏