FastlyによるCISOの説明責任についての調査結果より
セキュリティ事故の責任、誰がとるべき? 日本企業の約4割が“最終責任者”を未決定
2025年05月23日 07時00分更新
ファストリー(Fastly)は、2025年5月20日、企業の最高情報セキュリティ責任者 (CISO) の説明責任に関する調査結果を発表した。
本調査は、日本に加えて、北米、欧州、アジア太平洋地域の大企業におけるIT責任者1800名を対象に、2024年9月に実施している(日本のIT責任者は200名が対象)。
現在、データ漏えいに対する企業の説明責任について、世界的に注目が集まっている。そんな中、懸念されているのが「CISO個人の責務拡大」だ。同調査によると、日本企業の86%が、この懸念に対処すべく過去1年間に企業のポリシーを変更しており、特に32%は取締役会での意思決定にCISOの関与を増やしているという。
その他にも、 日本企業の32%が「賠償責任保険」などの法的支援を改善しており、29%が監督機関からのセキュリティ開示に対する対応強化に取り組むなど、CISOやセキュリティチームを保護するための投資を増やしている状況だという。
CISOの責務拡大に対処すべく、どのように社内ポリシーを変更しているか?
一方で、日本企業の37%が、セキュリティインシデント発生時の最終責任者が不明確であることも判明している。Fastlyは、「企業が責任を内在化させ、規制ガイダンスをセキュリティ体制の改善につなげる際に大きなギャップが生まれている」と指摘する。
セキュリティインシデント発生時の最終責任者は明確か?
加えて、ファストリーのカントリー・マネージャーである今野芳弘氏は、「サイバーセキュリティの責任は一個人に帰属するものではなく、 リスク軽減の方法と仕組みの実装について、組織のあらゆるレベルでの明確なコミュニケーションが必要」と述べている。
