最大の企業リスクは2つある 「データ」ともう一つは？

企業を取り巻くリスクはさまざまだ。調査会社によれば2年連続でトップになった項目がある。一つは「データ」だ。もう一つは何だろうか。

[David Jones，Cybersecurity Dive]

　企業の法務担当者やリスク担当席責任者600人に調査したところ、企業を取り巻く最大のリスクが見つかった。どのようなリスクだろうか。

5人のうち3人が挙げたリスクとは

　米国で最大級の法律事務所Baker McKenzieが作成した報告書によると（注1）、2年連続であるリスクがトップになったという。

　そのリスクとは、サイバーセキュリティとデータだ。この2つは一体となっており、企業が抱える企業秘密や業務データ、個人データに対するサイバー攻撃がリスクになる。だが、サードパーティーcookieなど、サイバー攻撃とは無関係なデータリスクも含まれる

　Baker McKenzieの「2023 Global Disputes Survey（2023年グローバル論争調査）によれば、シニア法務やリスク担当者責任者の約5人に3人が、企業に最大のリスクをもたらすものとしてこの2つを挙げた。同社の調査は米国や英国、シンガポール、ブラジルの年間売上高が5億ドル以上の企業の法務担当者やリスク担当者600人の回答に基づく。

　この調査によると、サイバーセキュリティに関する懸念が高まり、財務や業務、風評被害のリスクなど、企業にとってさまざまな課題をもたらしている。

実際にサイバー攻撃を受けることが最大のリスク

　Baker McKenzieのサイ・ヴァンス氏（サイバーセキュリティ担当グローバルチェア）によれば、企業にとって最大のサイバーセキュリティリスクは「実際にハッキングされるリスク」であり、他の全ての法的脅威はこれに起因する。

　「もちろん、企業の事業や機能によってサイバーセキュリティに関する論争のリスクレベルは異なる。サイバーセキュリティプロトコルの導入や実施状況に応じても異なってくる」（ヴァンス氏）

　法律顧問はサイバーセキュリティ責任者とともに、企業の盲点やサイバー犯罪に関連する潜在的な法的リスクの発見に重要な役割を果たすべきだとヴァンス氏は述べる。両者はより良いポリシーやトレーニング、手順の策定を支援できる。

攻撃された場合のもう一つのリスクとは

　サイバーセキュリティの脅威が高まるにつれ、規制当局の対応により、企業のリスクはさらに大きくなる。

　「攻撃手法の高度化と攻撃の実数が急増していることは間違いなく主な要因だ。だが、規制当局の要求の高まりは、さまざまな機関や管轄区域にまたがっており、これが複雑性を高めている」（ヴァンス氏）

　データ侵害の疑いがある場合に、より短い時間で報告を上げなければならないという法的義務が企業にのしかかっている（注2）。

　米国では歴史的に、ランサムウェア攻撃に遭った場合でも3分の2以上が報告されていない。企業はしばしば、数百万ドルの支払いを強要する巧妙な攻撃者との取引を内密にすることがある。

　ヴァンス氏は今後さらに統一された規制の枠組みを開発することが重要だと述べている。

出典：Surging cyberthreats, data concerns remain top dispute risks for organizations（Cybersecurity Dive）

注1：Cybersecurity and data are key disputes concerns in 2023 says new survey from Baker McKenzie

注2：Critical infrastructure providers ask CISA to place guardrails on reporting requirements（Cybersecurity Dive）