日系グローバル企業にとって、セキュリティの観点で最も弱い部分の1つが海外拠点だ。事実、海外のグループ会社・子会社や関係会社に対するガバナンスに苦労している企業は多いが、そこにはいくつかの要因が考えられる。
海外拠点向けセキュリティガバナンス、5つの問題
1つ目は権限の問題だ。会社全体のセキュリティに対する責任はあるものの、その意思決定を企業全体に徹底させる権限がないといったケースだ。例えば、グループ全体のセキュリティの方針を決める責任、有事の際には対応する責任はある一方で、実装までの権限はなく傘下の会社や事業部門は方針に従わずに独自に対策を講じているケースがある。中には各拠点がガイダンスどおりに対策をしているかすら把握できていないこともある。2つ目は法規制の問題だ。ヨーロッパ連合(EU)の一般データ保護規則(GDPR)が2018年に施行されて以来、中国やタイ、ブラジルとさまざまな国や地域でデータプライバシーに関する法規制整備の動きがあるが、自組織に関連するものをすべて把握することは容易な作業ではない。ある程度は把握できても、国ごとの違いからポリシーの統一には現地拠点から反発を受けることもあり、結果的に対策がバラバラになってしまうケースもある。
3つ目はマネジメントスタイルの問題だ。欧米に本社機能がある会社では、本社の決定事項だけが現地拠点に落ちてきて、現地拠点はただ従うだけといったケースが一般的に見られる。つまり、欧米の本社側のガバナンスが効いていて、各拠点で勝手なことが許されない傾向があるが、日系企業でこのようなスタイルが取られているケースは少数派ではないだろうか。このマネジメントスタイルの違いは、どちらが良いか議論がわかれるところだが、結果的に海外拠点が独自路線に走るといった結果につながる。
4つ目は文化の違いだ。現地担当者からは本社の指示どおりに実装したとの報告を受けていたにもかかわらず、蓋を開けてみたところ実態は違っていたという経験をしたセキュリティ担当者は多いのではないだろうか。サイバー攻撃による被害が発生した海外拠点におもむいたところ、現地担当者が指示どおりに実装していなかったことが原因だったというケースも珍しくない。一般的に日本人は勤勉でルールを守るといわれているが、東南アジアや南米など海外に拠点を持つ企業では、現地担当者との意識の違いに大きなギャップを感じるケースは多いのではないだろうか。