信頼性につながる顧客データへの期待がCISOの役割をビジネス直結に、KPMGのサイバーセキュリティ調査

　KPMGコンサルティング（以下、KPMG）の『KPMG サイバートラストインサイト 2022（日本語版）』は、CxO（最高責任者）を含む約1900人の上級管理職を対象にしたグローバルでの調査結果の日本語版。サイバーセキュリティとプライバシーの保護がステークホルダーからの信頼性にもたらす効果などをまとめた。調査は2022年5月から6月にかけて実施した。

　同レポートによれば、企業に対するステークホルダーからの信頼性向上がもたらすメリットは、「収益性の向上」が37%、「顧客維持率の向上」が36%、「取引先との関係性強化」が34%だった（図1）。

図1：信頼性の向上がもたらす効果についての回答（出典：KPMG）

　信頼性を高めるための具体的な投資対象としては、「顧客／取引先とのデジタル交流をリアルタイムで調整するための顧客体験データの活用」が37%、「顧客体験向上のためのマルチチャネルの統合」が36%と上位に挙がり、顧客体験（CX：Customer Experience）を高めるためのデジタル施策への注目が高まっている。

　これらデジタル施策の前提になるのが顧客データ。だが、顧客データを集めれば集めるほど個人情報保護やプライバシーの保護などデータに対するガバナンス（統治）が重要になる。こうしたデータやデジタル施策に対する信頼性をKPMGは「デジタルトラスト」と呼び、「企業がデジタル技術を活用する際はデジタルトラストのためのサイバーセキュリティやプライバシーの保護が重要になる」と指摘する。本調査でも、「サイバーセキュリティとデータ保護の改善が重要」とする答えは80％以上だった。

　サイバー攻撃への防御・対処に加え、顧客接点におけるデータガバナンスへの対応が期待されるのがCISO（Chief Information Security Officer：最高情報セキュリティ責任者）である。

　CISOが果たしている成果については、「サイバー攻撃から顧客／取引先のデータを効果的に保護するためのテクノロジーの導入」が80%、「データ利用およびプライバシー／データ保護に関する透明性の向上」が79%と高く評価されている。経営層からも「情報セキュリティチームは、組織の安全を守るための自らの役割を理解し、自信を持って行動している」という回答が78%だった。

　だが一方で、「取締役会とCISOの関係は、高い信頼と密なコミュニケーションがある」とする割合は58%と半数強にとどまった（図2）。セキュリティに対して「必要なコストとみなしている」が49%、「CISOは組織とデータを守るために必要な影響力を持っていない」は36%と、CISOの重要性は認識していても、コミュニケーション不足や十分な権限を与えていない様子が読み取れる。

図2：経営層の立場からみたCISOの影響力を問うた回答（出典：KPMG）

　CISOの側からも「経営層は情報セキュリティの強化による信頼性の向上がもたらす競争上のメリットを十分に理解していない」という回答が57%ある（図3）。

図３：CISOと情報セキュリティチームの立場からみた回答（出典：KPMG）

　こうした傾向は日本では、より強まる。本調査の回答者の10%が日本からの回答だが、例えば、取締役会とCISOについて「CISOは組織とそのデータを守るために必要な影響力を持っていない」がグローバルの36%に対し日本は50%、「取締役会はCISOを重要な幹部とみなしていない」がグローバルの31％に対し日本は45%と、日本ではCISOの立場がグローバルより低い傾向にある（図4）。

図4：日本とグローバルで比較したCISOへの期待の差（出典：KPMG）

　これらの結果についてKPMG パートナーの澤田 智輝 氏は、「日本のCISOは、国内の対応はしっかりやれていても、グローバルには手を伸ばせていないこともある」と指摘する（写真1）。「今後は日本企業でもCISOの立場を高めることが強く求められる。そのためにはCISOの、社員やステークホルダーとの連携やコミュニケーションが鍵になる」（同）とした。

写真1：KPMG パートナーの澤田 智輝 氏

　KPMG アソシエイトパートナーの大西 武史 氏は、「従来のCISOのイメージは、ガバナンスの観点から物事に制約を設けたりブレーキを踏んだりする立場だった。だが近年では、ESG（Environment：環境、Social：社会、Governance：企業統治）の文脈で企業の成功に重要な役割を果たす立場にある。デジタルトラストとビジネスを結びつけることが重要だ」と話す（写真2）。

写真2：KPMG アソシエイトパートナーの大西 武史 氏