解説:デジタル化時代の消費者向け製品・サービス企業に求められるサイバーセキュリティ対策について

POV
解説:デジタル化時代の消費者向け製品・サービス企業に求められるサイバーセキュリティ対策について
近年、企業や消費者があらゆる面でITへの依存度を高めていくにつれて、サイバーセキュリティの必要性はますます高まっています。多くの経営者は、サイバー攻撃とは、起きるか起きないかの問題ではなく、いつ起きるかの問題だと理解しています。
Protivitiとノースキャロライナ州立大学ERMイニシアティブとの最新の共同調査「トップリスクに対する経営者視点サーベイ」によれば、消費者向け製品・サービス業からの回答は、2017年の業界リスク上位5つの中に以下の2つリスクを挙げています。
(1)中核事業を大きく混乱させる、および/あるいはブランドを毀損する可能性のあるサイバー攻撃の脅威を管理する上で、組織は十分な準備ができていない可能性がある。
(2)プライバシー・アイデンティティ管理および情報セキュリティ・システム保護に膨大なリソースが必要となる可能性がある。
さらに言えば、1つ目のリスクに対するスコアは、2016年から大幅に高くなっています。
こうした状況を踏まえて、消費者向け製品・サービス企業にサイバーセキュリティが求められている背景と、それに対する各企業に必要な取り組みについて見ていきます。
■サイバーセキュリティが求められる背景
電子商取引とモバイル決済、IoTなどのデジタル化が拡大していく中、消費者向け製品・サービス企業が、高度にカスタマイズされた製品、サービス、および体験を顧客に提供するためには、膨大なデータを収集する必要があるでしょう。
しかし、こうしたデジタル化の進行と共にサイバー脅威のビジネスへの影響は着実に高まっています。以下は、Ciscoの最新のサイバーセキュリティレポートに掲載されたCisco 2017 Security Capabilities Benchmark Studyの2016年の統計情報です:

●5社に1社がサイバー攻撃による顧客離反を経験
●約30%の企業が売上減少を経験
●約4分の1の企業のビジネスの機会損失を経験

これらのデータと、最近の大手小売業者、レストラン、ホテル、その他の消費者向け製品・サービス各社に対するハッキングや情報漏洩のニュースとを考え合わせると、業界の経営者がサイバー脅威に関心を持つのは当然と言えます。
情報漏洩が起きた場合、事業運営と財務に次いで、最も強い影響を受けるものの一つがブランド・レピュテーションです。
ブランドイメージを育て宣伝するために毎年何百万ドルも費やしている消費者向け製品・サービス企業にとって、ハッキングや情報漏洩は、企業のレピュテーション、ひいては当期利益に甚大な打撃を与える可能性があります。
たとえ、企業がそのような危機事象から迅速に回復し、顧客に正しい対応を行ったとしても、そのイメージは、しばらく損なわれたままでしょう。

そんな中、今後の消費者向け製品・サービス業界では以下のような動きが予測され、サイバーセキュリティの重要性は今後も高まっていくと考えられます。

●より多くのモバイル製品とデジタル製品を顧客に売り出す。
●アプリケーションやデバイスからより大量の顧客データを収集、保存、分析する。
●急速に発展し高度に相互接続されたIoTのために設計されたアプリケーションとデバイスを開発、利用する。
●デジタル化を受け入れ、「アナログ」アプローチから、顧客、製品、サービス、オペレーティングモデルに対して「オールウェイズ・オン」のリアルタイムかつ情報豊富な市場に移行する。

こうした背景から消費者向け製品・サービス企業にとって、サイバーセキュリティの改善とサイバー攻撃耐性の構築は、ブランド保護のために不可欠かつ優先して行なわなければならない取り組みであることがわかります。
■各企業に必要な取り組み
上記のような状況に対して各企業が有効なサイバーセキュリティを構築・維持するには主に以下の2つの取り組みが必要です。
(1)サイバーインシデントに対する行動計画の作成
ハッキングや情報漏洩を防ぐための措置を講じることは、あらゆるビジネスにとって常に最優先事項であることは言うまでもありません。しかし、さらに重要なことは、企業がサイバーインシデントに迅速に対応し、その危機事象がビジネスとその顧客に及ぼす影響を軽減し、ブランドを保護するための、十分に考案されテストされた行動計画を作成することです。Protivitiの取締役会のリスク監視:Risk Oversightの最近の号では、ますます危険なサイバー脅威環境において、消費者向け製品・サービス企業のブランド・レピュテーションのより良い保護に役立つ幾つかの洞察を提供しています。
世界クラスの対応の構築には、取締役会と経営者は危機発生以前から以下の各項目を確実にしておく必要があります。

●準備が必要な領域を識別するリスク評価プロセスが設計されている。
●危機管理チームが存在し、具体的な突発的危機のシナリオに対処する準備ができている。そうでない場合、迅速な対応はほぼ不可能となる。
●危機対応チームは、透明性、率直な会話、ソーシャルメディアの効果的な利用の重要性に重きを置いた、堅固なコミュニケーション計画によって支えられている。
●危機対応チームは、定期的に緊急対応計画の更新とテストを行っている。

現在は、消費者が、企業に対して個人情報やプライバシーの保護への可能な限りの対応の保証を望んでおり、上述のような行動は、単なる組織的なサイバー耐性強化だけでなく、顧客ロイヤルティ獲得にも大きく寄与します。

(2)ビジネス、IT、内部監査で連携したサイバーセキュリティの推進
すでに述べた通り、消費者向け製品・サービス企業は今後、プライバシー確保、アイデンティティ管理対応、そして情報とシステム保護に、より多くのリソースを投入する必要があります。その上でサイバーセキュリティを組織で有効に機能させるには、ビジネスとIT、更には内部監査との連携が必要です。
最近では、既存リスクだけでなく、デジタル化やIoTに関する新たな課題に対応するためにビジネスとIT、内部監査との連携を推進している企業が増えています。ビジネスリーダー、ITリーダー、そして内部監査リーダーは、これらのリスクに対するそれぞれの視点を共有して、消費者向け製品・サービス企業が、高度に接続されたデジタル世界において、顧客のプライバシーと個人情報の保護のために必要なすべての対策の徹底を支援すると共に、より多くのチャネルを通じて消費者と接触し、ビジネスの獲得と維持に役立つプログラムやその他のサービスを革新する自信を得ることに寄与します。

(メールマガジン特集記事2017年6月)

Ready to work with us?