6-3. 経営投資としてのサイバーセキュリティ対策

6-3-1. サイバーセキュリティ対策の重要性

　DXを推進していく際に、並行してサイバーセキュリティの確保に取り組むことが重要です。変化の激しい現代社会でビジネスを継続していくためには、従来のITを活用して業務効率化や生産を向上させることに加えて、データやデジタル技術を活用して、顧客視点で新たな価値を創出する、DXを推進していくことが求められています。しかし、データやデジタル技術を活用する際に、セキュリティ対策を行わなければ、サイバー攻撃の標的となり、経営を揺るがすような被害に遭う可能性があります。このような被害を受けないためにも、DXの推進と並行してサイバーセキュリティの確保に取り組むことが重要です。
セキュリティ対策を行うことで、リスクを経営上許容可能な範囲までに減少させることができます。また、セキュリティ対策には経営判断が必要になるため、経営者が主体となって指揮をすることが大切になります。
次のページから、経営者目線でセキュリティ対策を行わなければならない理由を以下のポイントごとに説明していきます。

図30. ITの活用とサイバーセキュリティ対策の関係性
（出典） 東京都産業労働局.” MISSION 3-1 サイバーセキュリティ対策が経営に与える重大な影響”. ”https://www.cybersecurity.metro.tokyo.lg.jp/security/guidebook/201/index.html

6-3-2. 経営者が重要視すべき3つのポイント

ポイント1：ビジネスの継続・発展にはITの活用が不可欠

中小企業にとって、業務や生産の効率化、人材確保は重要な課題です。業務・生産工程などの運用コストの削減・効率化のために、ITの活用が不可欠になっています。また近年では、競争力維持・強化のために、DXを進めることが求められており、ITの活用が必須になっています。

ポイント2：ITの活用にはサイバー攻撃への対策が必要

事例：サプライチェーン攻撃による情報流出被害 保険業界
某保険会社は、顧客情報の一部が流出したことを公表し、謝罪しました。情報流出の原因としては、外部委託先の企業のサーバが不正アクセスを受けたことです。顧客の氏名、性別、生年月日、メールアドレスなどの個人情報が数十万人分漏えいしてしまいました。その結果、数億円以上の損害や多くのお客様に対する信頼を低下させてしまう事態となりました。このようにサプライチェーンを介した攻撃では、自社が直接サイバー攻撃を受けていなくても、間接的に被害にあってしまいます。

ポイント3：サイバーセキュリティ対策は経営者が自ら実行

経営者は自ら主体となって指揮をとり、セキュリティ対策を行う必要があります。理由は、主に2つあります。1つ目は、セキュリティ対策を行うにあたり、サイバー攻撃のリスクの許容範囲をどの程度にするのか、セキュリティ投資をどこまで行うのかなど、経営者による経営判断が必要になるからです。2つ目は、セキュリティインシデントが発生した際に、経営者が「法的責任」や「社会的責任」を負わなければならないからです。経営者は民法や会社法により、善管注意義務という「取締役として期待される水準の注意をもって業務を行う義務」を負い、その任務を怠った際に生じた損害を株式会社に対して賠償する責任「任務懈怠」を負うことが規定されています。そのため、セキュリティ対策にベストを尽くさなかった結果、サイバー攻撃による情報漏えいや事業停止が起き、第三者に損害が生じた場合、善管注意義務違反や任務懈怠に基づく損害賠償責任を問われてしまいます。