さて、今回はハンドブックの第5章「ITを使った効率化によるセキュリティコスト捻出」というテーマです。
テーマだけ聞くと、魅力的ですね。何度か申し上げましたが
「セキュリティ対策をしても、直接売上・利益が出ないし経費の削減にもならない」
のは事実ですし、とは言え、事故が発生した際には相応のコストが発生しますから、対応をせざるをえない、という経営のジレンマを、解決してくれそうだからです。
が、結論から言えば、
「目からうろこがでるほど、おいしいハナシは、書いていません」
です・・・。
ここで第5章をざっくりまとめると
- セキュリティ事故が発生した際には、どんなレベルにせよ対応に追われるので「業務が止まる」。その間、本来あげられたはずの売上や利益が上がらないので、セキュリティ対策の費用を「売上や利益を上げるための経費/投資」と考えましょう
- テレワークや、クラウドサービス・アウトソーシングなどを活用して、自社内システムを含むオフィス維持コストを削減しましょう
というものです。
どうでしょうか? 皆さまにおいては、ピンとくる「セキュリティコストの捻出」方法でしょうか?
1はあくまで「機会損失」の話であって、タイトルの「コスト捻出」とは直接、つながりません。
また、2は、クラウドサービスやアウトソーシングを使えと言っているのですから、
また、2は、クラウドサービスやアウトソーシングを使えと言っているのですから、
「却って費用がかさむじゃないか?」
と思ってしまいますよね。
実は私の考えは、上記1も2も同意なのですが、ガイドブックのこの章は、正直、書きっぷりが甘い、という感じです。
この章では、上記1,2以外に
(というか、「これらの対策も、コストがかさむじゃないか!」と)
まあ、本章で言っているのは
「事故が発生したら、さまざまな損害や時間ロス【ガイドブックでは、これを"負のコスト"と呼んでいる】がかかるのだから、"負のコスト"を発生させないために、セキュリティ対策にコストをかけましょう」
なのですが、やはり、「セキュリティコストの捻出」からは無理があるかな・・・と思います。
- 適切に個人情報を取り扱うこと
- 取引先の監督を徹底すること
- 著作権を考えたうえで、インターネット上のコンテンツを利用する
(というか、「これらの対策も、コストがかさむじゃないか!」と)
まあ、本章で言っているのは
「事故が発生したら、さまざまな損害や時間ロス【ガイドブックでは、これを"負のコスト"と呼んでいる】がかかるのだから、"負のコスト"を発生させないために、セキュリティ対策にコストをかけましょう」
なのですが、やはり、「セキュリティコストの捻出」からは無理があるかな・・・と思います。
そこで「セキュリティとコスト」の観点で、この章のテーマを踏まえ、私なりの意見をまとめてみます。
セキュリティ対策は労働災害対策と同じ「必要経費」である
この言い方のほうが正直だと思います。
セキュリティ対策とは、労働災害対策と同じで「リスク対策」です。
ちなみに「リスク」とは
「まだ発生していないが、将来、発生するかもしれない災害で、発生すると相応の損害が生じる"可能性"」
です。労働災害も、そうですよね。
そして、一般に、リスク対策の方針としては、大きく、以下の4つがあります。
「セキュリティリスクを受容する」
という経営判断をしたことになります。
それは一つの重要な経営判断なので、私がどうこう言えるものではありません。
一方、セキュリティ対策をするということは、
「セキュリティリスクを回避、或いは軽減する」
という経営判断です。
さて、皆さまの会社では、どんな業種であろうと、労働災害を発生させないために、現場の3S活動(整理・整頓・清潔)などをしたり、規則を作ったり、環境を整備したりなど、いろんな対策を講じていると思います。
それは「労働災害と言うリスクの回避、或いは軽減」です。
いくら労災保険に入っているからと言って、「リスクの受容=労働災害のリスクに対し、会社として、何もしない」は、普通は選択しませんよね。
労働災害対策は、それ自体、売上や利益を生み出しません。それは会社の資産・信用・従業員の皆さまを守るための「必要経費」と考えているはずです。
セキュリティ対策も労働災害対策と全く同じことです。
「事故から、会社、従業員を守る」
という点において。
労働災害は会社の設備や、従業員のみなさまの身体が損傷を受けますが、セキュリティ事故も会社の資産=情報やIT設備・会社の信用・従業員のみなさまのモチベーションや時間などを奪うものですから。
ですので、経営管理者の皆さまにおいては、セキュリティ対策は「必要経費」と考えて頂きたいと思います。
「転嫁: リスクが発生したとき、その損害を第三者に賠償してもらうこと」
というものがあります。
これは分かりやすい話で言えば、「保険に入ること」です。
労災保険がまさにそうです。労災保険は、家族従業員ではない、従業員の方がいる事業主の方は、必ず加入されていますよね。
セキュリティにも保険があります。
私は保険屋さんではないので、個別の紹介は致しませんが、サイバー攻撃で被害に遭った場合に損害をある程度補償してくれる保険や、個人情報が漏えいした場合に、その損害をある程度補償してくれる保険などです。
ご興味のある方は、インターネットで「サイバー保険」や「個人情報漏洩保険」などのキーワードで調べてみてください。
サイバー攻撃や漏えい等が発生した場合の調査費用やデータやシステムなど復旧費用、それに事故発生時に一番重要だと思われる、お客さまやお取引様への賠償費用や、訴訟になった場合の費用など、プランによって異なりますが、補償があります。
ただし・・・「保険に入っているからと言って、セキュリティ対策をしなくてもよい」ということではありません。
何故なら、「どこまでの対策を講じているか」によって、保険料も変わるからです。業種によっても変わります。
まあ、生命保険などの持病や生活習慣によって保険料が異なるのと同じですね。
また、これはあくまで、発生した直接損害に対する賠償で、発生した結果、信用が失われ、取引がなくなったなどの「副次的な」、しかし、事業継続にとって非常に重要な損害は補償されません。
ですので、「保険には限界がある」こともご承知おきください。
ここでいう「結果責任」とは、セキュリティ事故が発生した場合の「損害を賠償する・負うこと」とお考え下さい。
そして「説明責任」=これはもともとは英語の「アカウンタビリティ」と言う用語に由来し、これについては、いろんな解釈があるのですが、ここでは
「セキュリティ事故が発生し、お客さまやお取引さまに損害を与えた際の釈明」
と理解してください。
結果責任=事故が発生した場合の損害賠償など=を負うのは当然のことですよね。
これは避けられません。
しかし同時に、被害を与えたお客さまやお取引様に対し
これは、事故が発生した際に、必ず、お客さまやお取引さまに対し実施すべき事項です。
賠償することは当然のこととして、釈明も必要なのです。
被害に遭われた方は、聞きたいはずだから。
そのときに、
「いやあ、ウチは小規模なので、サイバー攻撃や社内漏えいが起こるとは、まったく考えていませんでした。このような結果になり、申し訳ございません」
と言うのと
「ウチは小規模なので、正直、セキュリティ対策にお金をかける余裕はなかったのです。しかし、最低限、ウイルスソフトの定期実行とバージョンアップの適用、パスワードの管理、また、従業員へのセキュリティ教育は行っていたのですが、このような結果になり、申し訳ございません。今後はXXXの対策を行うことによって・・・」
と話すのと、どちらが、お客さまやお取引さまに対して、信用のおける企業と言うイメージをつけることができるでしょうか?
で、この釈明のレベル感によって、お客さまやお取引様の、みなさまに対する印象だけでなく、今後のおつきあいも変わってくると思います。
いや、この説明責任によって、今後のお取引が続けられるか、賠償訴訟になるかなどの「結果責任」にも影響を与える可能性があります。
というわけで、この「説明責任を果たす」上でも、セキュリティ対策をどう考えるか、を経理管理者の方には、お考えになって頂きたいと思います。
次回は、この「セキュリティとコスト」の観点で、ガイドブックに書かれている
「テレワークや、クラウドサービス・アウトソーシングなどを活用して、自社内システムを含むオフィス維持コストを削減しましょう」
を、「セキュリティコストの捻出」ではない観点でお話し申し上げたいと思っています。
では、次回も、よろしくお願い申し上げます。
セキュリティ対策とは、労働災害対策と同じで「リスク対策」です。
ちなみに「リスク」とは
「まだ発生していないが、将来、発生するかもしれない災害で、発生すると相応の損害が生じる"可能性"」
です。労働災害も、そうですよね。
そして、一般に、リスク対策の方針としては、大きく、以下の4つがあります。
- 回避: リスクの発生を避けること
- 軽減: リスクが発生する可能性を下げること
- 転嫁: リスクが発生したとき、その損害を第三者に賠償してもらうこと
- 受容: リスクが発生したとき、その損害を引き受けること
「セキュリティリスクを受容する」
という経営判断をしたことになります。
それは一つの重要な経営判断なので、私がどうこう言えるものではありません。
一方、セキュリティ対策をするということは、
「セキュリティリスクを回避、或いは軽減する」
という経営判断です。
さて、皆さまの会社では、どんな業種であろうと、労働災害を発生させないために、現場の3S活動(整理・整頓・清潔)などをしたり、規則を作ったり、環境を整備したりなど、いろんな対策を講じていると思います。
それは「労働災害と言うリスクの回避、或いは軽減」です。
いくら労災保険に入っているからと言って、「リスクの受容=労働災害のリスクに対し、会社として、何もしない」は、普通は選択しませんよね。
労働災害対策は、それ自体、売上や利益を生み出しません。それは会社の資産・信用・従業員の皆さまを守るための「必要経費」と考えているはずです。
セキュリティ対策も労働災害対策と全く同じことです。
「事故から、会社、従業員を守る」
という点において。
労働災害は会社の設備や、従業員のみなさまの身体が損傷を受けますが、セキュリティ事故も会社の資産=情報やIT設備・会社の信用・従業員のみなさまのモチベーションや時間などを奪うものですから。
ですので、経営管理者の皆さまにおいては、セキュリティ対策は「必要経費」と考えて頂きたいと思います。
「リスクの転嫁」=保険に入ることも選択肢の一つですが・・・
リスクの対応方針には「転嫁: リスクが発生したとき、その損害を第三者に賠償してもらうこと」
というものがあります。
これは分かりやすい話で言えば、「保険に入ること」です。
労災保険がまさにそうです。労災保険は、家族従業員ではない、従業員の方がいる事業主の方は、必ず加入されていますよね。
セキュリティにも保険があります。
私は保険屋さんではないので、個別の紹介は致しませんが、サイバー攻撃で被害に遭った場合に損害をある程度補償してくれる保険や、個人情報が漏えいした場合に、その損害をある程度補償してくれる保険などです。
ご興味のある方は、インターネットで「サイバー保険」や「個人情報漏洩保険」などのキーワードで調べてみてください。
サイバー攻撃や漏えい等が発生した場合の調査費用やデータやシステムなど復旧費用、それに事故発生時に一番重要だと思われる、お客さまやお取引様への賠償費用や、訴訟になった場合の費用など、プランによって異なりますが、補償があります。
ただし・・・「保険に入っているからと言って、セキュリティ対策をしなくてもよい」ということではありません。
何故なら、「どこまでの対策を講じているか」によって、保険料も変わるからです。業種によっても変わります。
まあ、生命保険などの持病や生活習慣によって保険料が異なるのと同じですね。
ですので、「保険には限界がある」こともご承知おきください。
「結果責任」と「説明責任」は別の話
少しテーマから逸れますが、セキュリティにおける「結果責任」と「説明責任」について、お話しさせてください。ここでいう「結果責任」とは、セキュリティ事故が発生した場合の「損害を賠償する・負うこと」とお考え下さい。
そして「説明責任」=これはもともとは英語の「アカウンタビリティ」と言う用語に由来し、これについては、いろんな解釈があるのですが、ここでは
「セキュリティ事故が発生し、お客さまやお取引さまに損害を与えた際の釈明」
と理解してください。
結果責任=事故が発生した場合の損害賠償など=を負うのは当然のことですよね。
これは避けられません。
しかし同時に、被害を与えたお客さまやお取引様に対し
- 経緯の説明: なぜ、事故が起こったのか
- 対策の説明: 事故を未然に防ぐ対策を、どこまで講じていたのか
- 今後の対策の説明: 今後、事故を防ぐための対策を、どう実施するのか
これは、事故が発生した際に、必ず、お客さまやお取引さまに対し実施すべき事項です。
賠償することは当然のこととして、釈明も必要なのです。
被害に遭われた方は、聞きたいはずだから。
そのときに、
「いやあ、ウチは小規模なので、サイバー攻撃や社内漏えいが起こるとは、まったく考えていませんでした。このような結果になり、申し訳ございません」
と言うのと
「ウチは小規模なので、正直、セキュリティ対策にお金をかける余裕はなかったのです。しかし、最低限、ウイルスソフトの定期実行とバージョンアップの適用、パスワードの管理、また、従業員へのセキュリティ教育は行っていたのですが、このような結果になり、申し訳ございません。今後はXXXの対策を行うことによって・・・」
と話すのと、どちらが、お客さまやお取引さまに対して、信用のおける企業と言うイメージをつけることができるでしょうか?
で、この釈明のレベル感によって、お客さまやお取引様の、みなさまに対する印象だけでなく、今後のおつきあいも変わってくると思います。
いや、この説明責任によって、今後のお取引が続けられるか、賠償訴訟になるかなどの「結果責任」にも影響を与える可能性があります。
次回は、この「セキュリティとコスト」の観点で、ガイドブックに書かれている
「テレワークや、クラウドサービス・アウトソーシングなどを活用して、自社内システムを含むオフィス維持コストを削減しましょう」
を、「セキュリティコストの捻出」ではない観点でお話し申し上げたいと思っています。
では、次回も、よろしくお願い申し上げます。