世界でサイバーテロへの不安が広がる今、サイバー空間におけるセキュリティの重要性は日に日に増している。では、企業が多くの予算を割いて実施しているセキュリティ対策は、本当に奏功しているのだろうか。
PwCコンサルティングは過去20年にわたって、情報セキュリティに関する調査を世界規模で実施してきた。調査対象は世界133カ国の企業のCEO、CFO、CIOといったエグゼクティブ約1万人(うち日本企業は205人)。
2016年(4〜6月)実施の調査では、世界的には企業が支出する情報セキュリティ対策コストはここ数年頭打ちになっているのに対して、はじめて被害額が減少したことがわかった。過去5年間に企業が情報セキュリティに割いた予算の額は、12年の280万ドルから15年の510万ドルまで増加を続けていたが、16年は前年と同じ510万ドルで増加傾向が止まっていた。
一方、セキュリティインシデントによる想定損失額は、世界全体で6%減少していた。上記グラフのように、20%以上減少した業界もある。PwCコンサルティングの山本直樹パートナーは「ただサイバー攻撃そのものがおとなしくなってきたということではないんです」と指摘する。
大きな被害が出ていないことと、インシデントの予兆を捉えて早い段階で対策を打てるようになったことが、被害額の減少につながっているようだ。1件あたりの被害額が減少していることから、ターゲットがまだ対策が不十分な中小企業などへシフトしているとも推測できる。
また、セキュリティ対策予算は、金融業界やヘルスケア、自動車業界などIoT導入が進む製造業では現在も増加を続けている。
EUのプライバシー保護規制は他人事ではない
プライバシー保護に関する法規制の問題も、サイバーセキュリティ分野の大きなトピックだ。18年5月からEUで施行されるGDPR(一般データ保護規制)は特に厳格な規制で、世界各国がGDPRを参考にしてプライバシー保護法を制定しつつある。EU居住者の個人情報を持つすべての企業が対象となるため、世界中の企業が今まさに対策に追われている。
EU域内に研究開発施設を持っている製薬メーカーの多くは、早くから対策に取り組んでいるところが多い。また、ゲーム業界でもクレジット決済などを通じてEU居住民の個人情報を保有している可能性があり、対策は必須だ。
インターネット上での売買が一般化した現在では、ネット上の国境を越えた取引を通じていつの間にかEU居住者の情報を手にしている企業は実は少なくなく、注意が必要だ。
GDPRでは、個人情報の漏洩が見つかってから72時間以内に状況を正確に把握した上で、EUの監督当局に対して報告しなければならない。しかし、情報漏洩について短時間で正確に把握するには、普段からかなり厳格な管理、監視をしていなければ不可能だ。
しかも、規制に違反すれば、世界での年間売り上げの4%、あるいは2,000万ユーロ(約24億円)のどちらかを上限とする、巨額の罰金を科せられることとなる。
