「どうする!?情報セキュリティ」――。強い会社の変革者が集まり、本気で議論する「日経ITイノベーターズ」では、2016年3月25日の定期会合でずばりこのテーマでディスカッションした。

 まずは幹事会員、一般会員、賛助会員の総勢190人を対象に、会場でアンケートを実施した。質問は「『サイバーセキュリティ経営ガイドライン』を読みましたか?」。サイバーセキュリティ経営ガイドラインは、経営者がサイバー攻撃から企業を守るための理念・行動を具体的に記したもの。経済産業省が2015年12月に策定した。

 回答は「読んだ」が26%、「読んでいない」が74%だった(図1)。この質問に続けて、「あなたの会社の経営トップは、『サイバーセキュリティ経営ガイドライン』を既に読んでいますか?」と聞いてみた。その結果は、「読んでいると思う」が22%、「読んでいないと思う」が78%である(図2)。

図1●「読んでいいない」が7割以上
図1●「読んでいいない」が7割以上
[画像のクリックで拡大表示]
図2●8割が「読んでいないと思う」と回答
図2●8割が「読んでいないと思う」と回答
[画像のクリックで拡大表示]

 スクリーンを見て、当日、ゲストスピーカーとして来場していた経産省の瓜生和久商務情報政策局情報セキュリティ政策室長は苦笑い。司会者が瓜生氏に意見を求めると、「我々も経営者への認知度を高める必要性を感じており、様々な業界団体にガイドラインに関する説明を始めたところです」(瓜生氏)。

 サイバーセキュリティ経営ガイドラインについて、日本たばこ産業の引地久之IT部長はこう話す。「このガイドラインが公表されてから、まずは自分で読み、その内容を経営層にも説明しました。悩ましいのは、情報収集です。財務省、総務省など各省庁からも様々なガイドラインが出ていますし、海外では『EUデータ保護規則』など新たなレギュレーションが作られるなど、セキュリティに関する国内外の情報を収集するのに手間がかかっている状況です。セキュリティに関するレギュレーションや対応方法などを共有できるような仕組みがあると助かります」。