サプライチェーン全体から社会経済にまで影響をおよぼすサイバー攻撃被害が相次ぐ中、企業経営層のサイバーセキュリティに対する温度感がより一層高くなっている。アサヒホールディングスやアスクルといった、我々の日常生活や社会経済活動に不可欠とも言える企業で被害が長期化し、各社競合を含めた多くの企業などの活動にも影響を与えている。
海外に目を向けてみると、英国では高級自動車メーカーのジャガーランドローバーが8月末にサイバー攻撃を受け、10月上旬まで1カ月以上にわたり工場が閉鎖に追い込まれた。この結果、Cyber Monitoring Centreは、同国内5000社の企業活動、約4000億円の経済損害を与えるという試算を発表している。さらにジャガーランドローバーに部品を供給するサプライヤーの連鎖倒産と労働者の失業も危惧され、英国政府が約3000億円の公的資金投入を発表したことからも、その影響の大きさが窺い知れる。
経営層に考えてもらいたい現場への影響
サイバー攻撃に限らず、事故や不祥事が起きた際に最もしわ寄せがおよぶのは現場社員だ。
ランサムウェアのようなサイバー攻撃でシステム停止に追い込まれると、原因究明から障害復旧までをIT部門やセキュリティ部門、取引先や顧客への説明やお詫びを営業部門やカスタマーサービス部門、手作業による受発注対応や会計処理を営業部門や経理部門がそれぞれ行わなければならず、現場への負担が一気に増加、トラブル対応以外の業務対応が手につかなくなってしまう。
また経営層は、このような負担は心身への影響も長期化する危険性があることを認識しておくべきだ。真面目で責任感の強い社員ほど、自分ごととして必要以上の対応をし、結果的に疲弊して心身を病む危険性がある。
さらに現場社員がトラブル対応に真摯に向き合っている中、役職者が対応の調整を怠ったり、危機意識の欠如を示せば、現場の不満は一気に拡大する。「いま何も起きていないのに、なぜセキュリティにコストをかける必要があるのか」という経営層の判断による対策への投資の欠如にも同じようなことがいえるだろう。
現場への影響について、もう一つ経営層が考えるべき点がある。それは、社内外への情報開示の姿勢、つまり情報開示の質、量、頻度の問題だ。
事故が起きた際には「透明性高く情報開示するべき」だという意見と「積極的に情報開示するべきではない」という意見で社内は紛糾しせめぎ合いが生まれてしまうことが多い。また、メディアをはじめとした各方面からの批判や法的リスクを避けるために、対外的な発表で使う言葉自体も一言一句を熟慮することになるだろう。
特に、経営層が社内外への情報開示に消極的だったり、事実を歪曲した形で情報開示をしようとしたりすれば、会社や経営層に対する現場の不信感は増大する。そこで、よく耳にする「情報統制」という形で情報が制限されることになる。「情報の頻度と量が多いほどよい」という意見に対して異を唱えたい。
情報の量や頻度が多すぎたり、曖昧な表現があれば、逆にステークホルダーに混乱を招く恐れがある。ただし、逆に少なすぎると結果的に社員や社外ステークホルダーの不信感につながる危険性もある。つまり、ステークホルダーが状況を理解し、必要に応じて判断するために必要十分な情報がわかりやすい形で共有されているかどうかがポイントだ。
