CISOの責任増大、保険未加入が新たなリスクに

Last Updated on 2024-03-20 12:04 by 荒木 啓介

新しい規制により、CISO（最高情報セキュリティ責任者）に対して、個人のデータ侵害責任を負わせることが明らかになった。これは、CISOがサイバー攻撃を防ぐ全責任を負いながらも、必要な技術防御や人材を確保するための資金調達権限を持たない状況を生んでいる。Heidrick & Strugglesの「2023年グローバルCISO調査」によると、38%のCISOが自組織の取締役および役員（D&O）保険の対象外であり、さらに18%は自身が対象かどうかを知らないと回答している。また、55%の回答者が退職金パッケージの対象外であると述べている。

このような状況下で、CISOにとっては、企業のD&O保険にカバーされていない場合、個人のサイバー責任保険を見つけることが新たな課題となっている。一部の法域ではCISOが企業の取締役として務めることが許されておらず、D&O保険の対象となる可能性が低くなっている。そのため、CISOの立場で就職面接を受ける際には、その職が企業のD&O保険によってカバーされているかどうかを確認し、そうでない場合は雇用条件として要求することが推奨されている。もし企業のポリシーを通じてカバーを得られない場合、CISOは自身で保険を見つける必要があるが、これは企業がその責任を負うべきではないかという疑問を提起している。

【ニュース解説】

最近の規制変更により、最高情報セキュリティ責任者（CISO）に対して、個人のデータ侵害に関する責任が課されることが明らかになりました。これは、CISOがサイバー攻撃を防ぐ全責任を負いつつも、必要な技術的防御や人材を確保するための資金調達の権限を持たないという状況を生んでいます。Heidrick & Strugglesの「2023年グローバルCISO調査」によると、38%のCISOが自組織の取締役および役員（D&O）保険の対象外であり、さらに18%は自身が対象かどうかを知らないと回答しています。また、55%の回答者が退職金パッケージの対象外であると述べています。

この状況は、CISOにとって新たな課題を生んでいます。企業のD&O保険にカバーされていない場合、個人のサイバー責任保険を見つける必要があります。一部の法域では、CISOが企業の取締役として務めることが許されておらず、D&O保険の対象となる可能性が低くなっています。そのため、CISOの立場で就職面接を受ける際には、その職が企業のD&O保険によってカバーされているかどうかを確認し、そうでない場合は雇用条件として要求することが推奨されています。もし企業のポリシーを通じてカバーを得られない場合、CISOは自身で保険を見つける必要がありますが、これは企業がその責任を負うべきではないかという疑問を提起しています。

この新規制は、CISOの役割と責任に関する企業の認識に大きな影響を与える可能性があります。CISOは、サイバーセキュリティの最前線で戦う重要な役割を担っていますが、適切な資源や権限がなければ、その責任を果たすことは困難です。このため、企業はCISOに対する支援と保護を強化する必要があります。D&O保険の提供は、CISOがリスクを恐れずに効果的に働けるようにするための一つの方法です。

また、この状況は、サイバーセキュリティの専門家にとって、キャリアの選択においても重要な考慮事項となります。CISOとしての役割を引き受ける前に、個人のリスクを最小限に抑えるための保険の有無を確認することが重要です。さらに、企業がCISOのリスクを認識し、適切に対応する姿勢を示すことは、企業文化と倫理の観点からも重要です。

長期的には、このような規制の変更は、企業がサイバーセキュリティをどのように扱うか、そしてCISOの役割をどのように価値づけるかに大きな影響を与えるでしょう。企業がCISOを支援し、適切な保護を提供することで、より強固なサイバーセキュリティ体制を築くことができると期待されます。

from New Regulations Make D&O Insurance a Must for CISOs.