エッジクラウドプラットフォームを展開する米ファストリー日本法人がこのほど公表した企業の最高情報セキュリティ責任者(CISO)の説明責任に関する調査によると、日本企業の約4 割がセキュリティインシデント発生時の最終責任者が不明確なことが分かった。一方、日本企業の 86％ (世界の 93％) がCISO 個人の責務拡大に対する懸念に対処するため、過去 1 年間にポリシーを変更し、取締役会における戦略的意思決定に CISO の関与を増やしたり、CISOの役割と責任を明確にしたりしている。
　同社によると、2023 年後半に米国証券取引委員会 (SEC) のサイバーセキュリティリスク管理、戦略、ガバナンス、公開企業によるインシデント開示に関する規制強化により、データ侵害に対する企業の説明責任と、CISO の責務拡大に対する懸念が増大しているという。そうした中での今回の調査で、日本企業の 37％ (世界の46％) でセキュリティインシデントに関する最終責任者が不明確であることが判明。同社は「企業が責任を内在化させ、規制ガイダンスをセキュリティ体制の改善につなげる際に大きなギャップが生まれている」と問題を示す。
　なお、 調査は2024年9月に市場調査会社に委託し、北米、欧州、アジア太平洋地域、日本の大規模組織におけるIT責任者1800人（うち日本組織は200人）を対象にオンラインで実施した。（田中克己）