EMC傘下のRSAがこのほど発表した「2012年版ガバナンスレポート」によると、企業の上層部はリスク管理に真摯に向き合っているが、ITリスク管理と企業リスク管理の関連性を十分に理解していないことが明らかになったと説明している。
ガバナンスレポートは、RSAと米カーネギーメロン大学の部門であるCyLabが共同でサイバーリスク管理の取り組みなどを産業別と地域別に調査、分析している。取締役と上級管理職を対象にしている。
レポートでは、すべてのビジネスがコンピュータとデジタルデータに支えられているにもかかわらず、理解不足に潜むリスクがビジネスを弱体化させる可能性があることを取締役は十分に理解していないと分析している。
回答者が所属する3分の2以下の企業で、プライバシーとセキュリティを統括する役割に専任者を配置して、国際的に認められたベストプラクティスと標準に準拠している。ここでいう専任者は、最高情報セキュリティ責任者(CISO)、最高セキュリティ責任者(CSO)、最高プライバシー責任者(CPO)、最高リスク責任者(CRO)を指している。役割の割合は業界や地域で異なる。
レポートでは、セキュリティ専門家についても言及している。金融業のセキュリティ専門家は、セキュリティ管理を最も適切に実践しており、取締役はサイバーリスク管理に関する重要課題に最大限の注意を払っていると説明。対照的に、エネルギー公益や機械、製造などの業界の取締役は、ベンダー管理、コンピュータと情報セキュリティ、IT運用の重要課題をよく理解していないと評価する。リスク委員会と監査委員会は業務分離が必要という認識については、エネルギー公益業界の回答者は意識が低いと指摘している。
サイバー保険の保障内容については、回答者の57%以上が妥当性を評価しておらず、機密情報や企業内情報の窃取、セキュリティ侵害での自社の評価、金融リスク、サイバーリスク管理に関して主だった活動を実施していないと批判している。地域別でもサイバー保険を見直していないという点は共通している。エネルギー公益やIT通信などの重要インフラ業界でも、80%近くの取締役がサイバー保険の保障内容を見直ししていないことが明らかになっている。
世界的に見て欧州はプライバシーの法規制と施行で先行しているが、CPOを置いているのはわずか3%。米国はセキュリティ分野でグローバルリーダーとされているが、調査を見ると、北米企業の役員は、年間予算策定への関与、役割、責任やトップレベルのポリシーなど、プライバシーとセキュリティのガバナンスに関する主要な活動の関与では、欧州やアジアよりも遅れを取っていると説明する。