企業のリスクマネジメントの考え方を「実際のトラブル」を例に挙げながら解説します(写真:metamorworks/PIXTA)

企業の不祥事や問題、トラブルが報じられるニュースは枚挙に暇がありません。たとえばセキュリティー対策や人権・労働問題、商品の品質やマーケティングなど、その種類はさまざまです。しかし、これらのニュースを「ESG」の文脈から見ている人は少ないのではないでしょうか。

『あわせて学ぶESG×リスクマネジメント』の著者で公認会計士の木村研悟氏曰く、「環境:Environment、社会(人権):Social、ガバナンス:Governanceの頭文字をとったESGの本質は、『その企業のリスクマネジメント』にある」と話します。

そこで、この記事では企業のリスクマネジメントの考え方を「実際のトラブル」を例に挙げながら解説します。

「プライバシー=個人情報保護」なのか?

プライバシー問題と聞くと、「個人情報保護」をイメージする人も多いはずです。しかし、プライバシー問題は個人情報保護よりも広い概念であるため、「個人情報保護の法対応だけしておけばOK」ではありません。

総務省、経済産業省『DX 時代における 企業のプライバシーガバナンスガイドブックver1.2』にもあるとおり、プライバシー問題を作り出す諸活動の類型は「データ収集」「データ処理」「データ拡散」「個人への直接的な介入」の4つに分かれます。

企業は顧客や従業員から多くの個人情報を収集し、それを適切に管理する責任を負っています。万が一プライバシーを侵害した場合は、企業の評判を損ね、顧客の信頼を失い、最終的には法的な問題に発展する可能性があります。

■国を越えて流通する「越境データ」

現代、国を越えた流通は、人・モノ(貿易)・カネ(ファイナンス)だけでなく、データの流通が特に重要な役割を担っています。こうした「越境データ」は、情報、検索、通信、取引、映像、企業間データなど多岐にわたる情報を含みます。

McKinsey Global Instituteの調査結果によれば、物品や財政資源の国境越えの流通は増加が鈍化している一方で、データの越境流通はインターネットの発展により国家や企業、個人をつなげ、その量は驚異的なスピードで増加しています。

具体的には、2005年から2014年の間に越境データの転送帯域が4.7Tbps(毎秒テラビット)から211.3Tbpsへと、10年で約50倍に拡大したのです(出所:Mckinsey Global Institute DIGITAL GLOBALIZATION: THE NEW ERA OF GLOBAL FLOWS)。

そしてIoT関連のデータの流通やそれに伴うビジネスやアプリケーションの展開が、さらなる越境データ流通の拡大を予示しています。

プライバシーに関する情報がインターネット上で移動することが当たり前になるとともに、利用者の不安も高まっている状況です。

「インターネット利用時に感じる不安の内容」の第1位は「個人情報やインターネット利用履歴の漏えい」(88.7%)です。その後に「コンピュータウイルスへの感染」(64.3%)、「架空請求やインターネットを利用した詐欺」(53.8%)と続きます(出所:総務省「令和4年通信利用動向調査の結果」)。人々の情報漏えい問題に対する意識が高まっていることからも、企業のプライバシー問題への対応はこれまで以上に重要といえるでしょう。

では「プライバシー問題」について、企業はどのようなことが求められているのか、セクター・業種ごとの取り組みと実際の事例を一部紹介していきましょう。

個人情報が重要な財産となるITサービス

ソフトウェアおよびITサービスの企業は、テクノロジーの力で新規性の高い商品・サービスを提供し、顧客の課題解決を目指します。特に、サブスクリプションサービスによるサービス型ソフトウェア(SaaS)モデルが業界に浸透しています。

一方で、クラウドアプリケーションおよびクラウドプラットフォームの提供事業という個人情報の取り扱いが必要不可欠な業務を行っていることに鑑み、個人情報が個人の重要な財産であることを認識することが重要です。個人情報に関する法令等を遵守するため、個人情報保護マネジメントシステムを確立し、その継続的な見直しと改善に努めることが社会から求められています。

主要なサステナビリティ基準であるSASBスタンダードでは、ターゲット広告の販売、事業体の製品またはサービスの販売、レンタル、または共有等を通じて、データや情報を第三者に転送する二次目的で利用される利用者の数を開示することが求められることが特徴的です。

事例:クラウドアプリケーション事業者による個人データ管理不備※

コミュニケーションアプリ運営会社は、業務委託先の中国の関連会社の従業員が国内の個人情報データにアクセス可能な状態だったと発表。2018年8月から2021年2月まで、中国の関連会社の従業員が国内サーバーにある個人情報にアクセス可能な状態でした。関連会社は違反通報内容の分析ツールなどの開発業務を受託。個人情報には氏名、電話番号などのほか、通報内容にあたる「トーク」機能内や利用者が保存したメッセージ、画像も含まれていました。

さらに、送受信された画像、動画およびファイルが韓国のデータセンターに保存されていたにもかかわらず、ユーザーを含め対外的には、「個人情報を扱う主要なサーバーは日本国内にある」 という不正確な説明をしていたことも指摘されています。

※出所:Zホールディングス「グローバルなデータガバナンスに関する特別委員会 最終報告書」

サイバー空間の脅威が増大している

技術の進展や社会構造の変化により、サイバー空間の社会への拡⼤・浸透がより⼀層進むなか、サイバー空間における悪意ある主体の活動は、社会・経済の持続的な発展や国⺠⽣活の安全・安⼼に対する深刻な脅威となっています。また、国家が政治的、軍事的⽬的を達成するため、諜報活動や重要インフラの破壊といったサイバー戦能⼒を強化していると見られており、安全保障の観点からも、サイバー攻撃の脅威は重⼤化しています。

下の図は、2000年から2020年の間で起こった世界的なサイバー事件の一例です。図には含まれていませんが、2020年は日本で重要な情報を狙うと思われるサイバー攻撃、特に防衛産業を対象にしたサイバー攻撃の事件が次々と明るみに出ました(公安調査庁「経済安全保障の確保に向けて〜技術・データの流出防止〜」)。

今後もDX(デジタルトランスフォーメーション)やメタバースなどデジタル化が進展していくため、サイバー空間における脅威もそれに比例する形で深刻さを増していくと考えられます。


■最もハッカーに狙われた国とは?

ここで、皆さんに質問です。ハッカーから最も狙われている国はどこだと思いますか?

個人向けの仮想プライベートネットワークサービスプロバイダであるNordVPNの調査結果(2022年)によると、過去15年間で重大なサイバー攻撃を受けた国は、1位アメリカ198件、2位イギリス58件、3位インド32件、4位ドイツ25件、日本は11位の16件です(出所:NordVPN「過去15年間でハッカーに最も狙われた国トップランキング」)。

調査対象は、政府機関、防衛・ハイテク企業に対するサイバー攻撃、もしくは100万ドル以上の損失を伴うサイバー犯罪です。

なお、5位のウクライナは、2015〜2016年頃よりロシアのハッカーによる電力会社へのサイバー攻撃の被害に遭っており、同国へのロシアからの攻撃は2018年からさらに増大しています。

また3位のインドは、領土問題を抱える隣国パキスタンと相互にサイバー攻撃を交えています。このパターンは、イランとイスラエル、イランとアメリカ、そして北朝鮮と韓国、北朝鮮とアメリカや日本の関係にも見受けられます。

これらの事例から、サイバー攻撃を大量に受けている国々の背後には、敵対的な国家が存在し、その国家が後援する強大なサイバー攻撃組織からの攻撃を多く受けている可能性が高いと考えられます。

では「セキュリティー問題」について、企業はどのようなことが求められているのか、セクター・業種ごとの取り組みと実際の事例を一部紹介していきましょう。

ECサイトも十分なセキュリティー対策を

マルチライン、専門小売業者、卸売業者は、国内外に数多くの店舗を保有するとともに、自社でのECサイトを構築・運用しています。特に近年では、デジタルテクノロジーへの取り組みを強化し、価格の最適化や消費者ニーズの分析など、小売業の新たな時代への対応に注力しています。

競合他社との価格競争が激しいなか、市場シェアの維持と、自社開発商品の展開による利益率の高い商品・サービスづくりが、重点課題の1つとなっています。


競争が激しい事業環境下において、個人情報の漏えいや、セキュリティー事案発生によるサービス停止は、企業に重大な影響を及ぼします。そのため、厳しい経営環境下においても、リソースを適切に導入しセキュリティー対策を十分に行うことが求められています。

主要なサステナビリティ基準であるSASBスタンダードでは、セキュリティーの運用手順や管理プロセス、取引先の選定、従業員に対するトレーニング、技術的な対策などの情報セキュリティーに関する取り組みと、法律違反、自主規制違反の事案について、データ漏えい件数、個人を特定できる情報(PII)に関する割合、影響を受ける利用者数を開示することが求められます。

事例:カタログギフトECの情報漏えい※

カタログギフト販売ECサイトの運営事業者は、第三者による不正アクセスを受け、顧客のクレジットカード情報(最大2万8700件)および個人情報(最大15万236件)が漏えいした可能性があることを発表しました。ECサイトの脆弱性を攻撃した不正アクセスで、アプリケーションが改ざんされたことが原因とされています。
漏えいした可能性のあるクレジットカード情報には、名義人名、カード番号、有効期限、セキュリティーコードを含んでいます。漏えい懸念が発覚したのが2022年2月、そして本件の公表をしたのが2022年7月ということで、公表に時間を要したことも問題視されました。
※出所:株式会社ハーモニック「弊社が運営するカタログギフト販売ECサイト『カタログギフトのハーモニック』への 不正アクセスによる個人情報漏えいに関するお詫びとお知らせ」

(木村 研悟 : 公認会計士)