結局だれが責任者？ 日本企業の約4割は、インシデント発生時の最終責任者が不明確！【Fastly調べ】

Fastlyは、「最高情報セキュリティ責任者（CISO）の説明責任」に関する調査結果を発表した。米、欧州、アジア太平洋地域、日本の大規模組織におけるIT責任者1,800人が回答している。

個人に帰属しない「責任の共有」が重要に

まず「あなたの企業でセキュリティインシデントが発生した場合の、最終的な責任者は明確ですか？」と聞くと、「とても明確」13.7%、「明確」27.5%で半数を割った。世界平均ではセキュリティインシデントに関する最終責任者について46%が「不明確」としている。国別では、日本の37%で不明確であるという。

一方でCISOは、すべての決定の最終判断者ではないはずで、単純に責任が集中することに疑問が残る。そこで「CISOの責務拡大に対する懸念に対処すべく、社内ポリシーを変更しましたか？」と聞くと、多くの企業が対応しており、「役割と責任の明確な定義」は40%超、「取締役会における戦略的意志決定にCISOの関与を増やす」「賠償責任保険を含むセキュリティ担当者への法的支援の改善」なども30%を超えていた。

国別では日本企業の86%が、CISO個人の責務拡大に対する懸念に対処するため、過去1年間にポリシーを変更していたという。また29%が、監督機関からのセキュリティ開示文書の精査強化に取り組んでいた（世界平均：38%）。

調査概要

• 【調査対象】北米、欧州、アジア太平洋地域、日本の大規模組織におけるIT責任者
• 【調査方法】市場調査会社Sapio Researchが実施
• 【調査時期】2024年9月
• 【有効回答数】1,800人（日本組織のIT責任者200人を含む）