情報システム投資の中で、企業がなかなか取り組みたがらない項目に「セキュリティ」がある。収益を生むような前向きの投資ではない。後回しにされ続けている。特に大企業で差が大きく、米国企業で全情報投資の8.4%を割り当てているのに対して日本企業では6.4%と2ポイントの差がある。特に新たに浮上しているサイバー攻撃対策はほとんど出遅れている。日進月歩のサイバー攻撃技術の前には、丸裸同然で外界にさらされている、危機的現状である。

セキュリティ投資が「後ろ向き」で利益を生まないという理由だけでなく、最近では「実態の惨状を知る」ことに対する「恐怖心」も加わっているという指摘もある。グローバルな大企業はもちろん、日本の名のある企業の情報システムは間違いなく、隣国や、場合によっては友好国からも、サイバー攻撃を浴びせかけられている。対応策を講じている企業が多くないことを考えると、相当の数の企業の情報システムが、侵入されて情報を窃取されている可能性がある。その事実を「知る」ことが恐ろしい。

情報は盗まれても、原本が残っているので、消失するわけではない。怖いのはもちろん、重要な企業機密を知られ、ビジネス上の有利を覆されることである。原本が残っているから被害を受けていないと安心できないのである。さらに、取引先に関わる情報や企業や顧客の個人情報、安全を脅かす情報がコピーし流出した痕跡でも発見された場合には、相手先に通知するだけでなく、監督官庁に報告して、大々的な記者会見を開いて謝罪しなければならない。損害賠償や経営陣の引責辞任にも発展する。

だから、実態を調査すれば良いのだが、調査して発見するよりも、知ることを先延ばしして逃げ切れることを密かに期待する、というのが実際らしい。先延ばししている間に被害が拡大している危険があるが、それよりも「現在の平穏」に浸りたい、という無責任状況になっているのではないか。

そこへ、こんなニュースが伝わって来た。

「政府は、企業がサイバー攻撃を受けた場合に想定される経営上のリスクを投資家に開示する仕組みを導入する検討に入った」という。「株主保護」がキーワードである。有価証券報告書にサイバー攻撃のリスクに関する項目を設けることを、政府の情報セキュリティ政策会議が検討中である。「金融庁を中心に制度設計し、2016年度までに結論を得る」。サイバー攻撃が毎日、毎時、毎秒、政府の中枢や企業の情報システムの中枢に対して繰り返されているというのに、やや「時間かけ過ぎ」のきらいはあるが、サイバー攻撃対策に政府が本格的に取り組むというのは大きな前進である。

企業経営者も、「自分の社長の期間に発覚しない」ことをひたすら祈って、目前の危険に頬かむりしている、というわけにはゆかなくなりそうだ。目前の重大な危機に正面から向き合って欲しい。