経営層レベルにおけるデジタルガバナンスの構築と維持

Building and Sustaining Cyber Governance at the Board and Senior Leader Levels
IAPP Global Privacy Summit 2025 現地レポート[Vol.6]

昨今、サイバーセキュリティに関する取締役会および役員の責任は、ますます重要なテーマとなっています。また、証券取引委員会などのサイバー規制への関与が強まるにつれ、デジタルコンプライアンスの構築と維持はより複雑になっています。

このパネルディスカッションでは、新たなサイバー動向とベンチマーキングを取り上げ、規制情勢が変化する中でも持続可能なデジタルガバナンスの構築について議論されました。

◆ この記事でわかること
・ガバナンスのフレームワーク構築について
・経営層からの賛同を得るためのベストプラクティスとは
・デジタルガバナンスのアプローチに関する先進企業のベンチマークについて

登壇者

Jessica Roberts, AIGP, CIPP/E, CIPP/US, CIPM, CIPT, FIP, PLS, Chief Privacy Officer, Teradata
2024年～2025年 プライバシー弁護士部門諮問委員会委員

Sooji Seo, CIPP/US, Senior Vice President, General Counsel, Information, Digital and Chief Privacy Officer, 3M
Dellにてオーストラリア・ニュージーランド法人の法務責任者を務めた後、グローバルのプライバシー・コンプライアンス領域で多数のリーダー職を歴任。現在3Mにて、倫理・コンプライアンスおよびプライバシープログラムを統括するシニアバイスプレジデントを務める。法務・規制対応・リスク管理の分野で22年以上の経験を持ち、世界各地で講演活動も行う。シドニー工科大学卒（法学）、ニューサウスウェールズ大学卒（コンピュータサイエンス・数学）。

Andrew Serwin, CIPP/A, CIPP/C, CIPP/E, CIPP/G, CIPP/US, CIPM, CIPT, FIP, Partner, Co-Chair of the Global Data Protection, Privacy and Security Practice, DLA Piper
プライバシーとサイバーセキュリティ分野の国際的権威。DLA Piperでグローバルデータ保護部門を共同統括するほか、米海軍大学院の非対称戦研究センター顧問、Lares Institute代表を務める。数々のランキングでトップアドバイザーとして評価され、著書『Information Security and Privacy』は業界必携書とされる。複数の法学書や論文も執筆し、国際会議で講演多数。

転載：IAPP Global Privacy Summit 2025（翻訳は編で追加）

経営層には「問題がある」ではなく、大局的な話から伝える

Andrew：経営層にプライバシーやサイバーセキュリティの話をするとき、単に「問題がある」と伝えるのではなく、より大局的な枠組みで説明することが重要です。つまり、リスクを「インフラストラクチャ技術リスク」「データリスク」「プロセスリスク」のいずれかだと整理して伝えると、経営層が理解しやすくなります。

私たちはもはや「プライバシー」だけを扱っているのではありません。データ全般のリスク、さらにAIによる自動処理のリスクも扱っています。このようなリスク整理をすることで、経営層が重要な意思決定を下す支援ができます。

Sooji：そうですね。最近では、取締役会役員から「AIは企業戦略にどのように組み込まれているのか？」「データの価値創造にどう活かしているのか？」と問いかけられることも増えています。そのため、リスク管理を説明する際も「データ処理」と「インフラストラクチャ」という視点で整理することが有効です。個別のコンプライアンス対応を箇条書きするのではなく、企業全体のエコシステムとしてのリスク管理を示すべきです。

米国特有の注意点：州ごとの法規制と経営陣の義務

Andrew：米国の役員や取締役には、州の信認義務法（Fiduciary Duty Law）に基づく責任があります。データ保護法やAI法に基づくものではありません。たとえば、デラウェア州法では、取締役会には「注意義務（Duty of Care）」と「忠実義務（Duty of Loyalty）」があり、リスクへの対応もこの枠組みで説明しなければなりません。たとえGDPRのようなグローバル規制があったとしても、米国内では州法が優先します。Jessicaさん、あなたはこの点を取締役会にどう伝えていますか？

Jessica：バランスが重要ですね。リスクを説明する際、他の法的規制の存在も知らせつつ、最終的に取締役会が守るべき標準（Fiduciary Duty）に基づいて判断してもらうようにしています。

Andrew：経営層に説明する際は、詳細に入りすぎるのは逆効果です。取締役会はすべてを把握して経営する立場ではなく、あくまで「監督」する立場にあります。つまり、「適切な情報システムが整っているか」「重大な問題がエスカレーションされる仕組みがあるか」だけを確認できればよいのです。細かな実務レベルの説明は不要で、むしろリスクを高めかねません。

Sooji：その通りです。取締役会は、企業のリスク許容度に沿ったマネジメントがなされているかを確認するべきであって、リスク管理そのものを実務レベルで担うべきではありません。

Jessica：取締役会が深くオペレーションに関わると、責任問題に発展するリスクもあります。情報は適切なレベルに留めることが重要です。

リスクを「法令遵守」と「事業継続性」で整理する

Andrew：リスクを経営層に説明する際は、「レジリエンス(事業継続性への影響)*」と「法令遵守」という二つのリスク軸で整理することが有効です。

*注：日本語では「回復力」「復元力」「弾力性」などと訳される言葉で、困難やストレスに直面しても立ち直り、適応していく心の強さや能力を指す。この場合は文脈から「事業継続性への影響(が生ずるリスク)」としました。

たとえば、サイバー攻撃（ランサムウェア）によるシステム停止も、洪水によるデータセンター停止も、根本原因は違えど「レジリエンスリスク」として同じ影響をもたらします。だからこそ「サイバーリスクがある」とだけ言うのではなく、それがレジリエンスリスクなのか、法令遵守リスクなのかを明確にして伝える必要があるのです。

Sooji：その通りです。たとえばPKI（Public Key Infrastructure; 公開鍵基盤）は、ビジネス戦略上重要なのか、オペレーショナル上の必須要件なのか、文脈によって変わります。重要なのは一貫性をもってリスクを分類し、例外を設けないこと。リスク管理体制に例外があると、訴訟リスクが高まります。

Jessica：私たちの目標は、株主や社員、コミュニティの信頼を守りながら、企業価値を最大化することです。だからこそ、リスクを個別に語るのではなく、企業目標（価値創造・価値保護）にどう影響するかという観点で整理すべきです。

AI活用にはレピュテーションリスク観点が不可欠

Andrew：ある大手金融機関でランサムウェア攻撃への対応訓練（机上演習）を実施した際、重要なデータシステムが存在しているにもかかわらず、災害リスク（洪水など）への備えが全くなされていないことが判明しました。この事例が示すのは、「サイバー攻撃」だけに目を向けても不十分だということです。本質は、データセンターのレジリエンスが弱いことでした。つまり、根本原因（サイバーか、災害か）は違っても、影響（業務停止）は同じであり、リスクはレジリエンスリスクとして整理すべきなのです。

Sooji：AIを例にしても同じです。AIが予期せぬデータ利用をして社会的批判を浴びた場合、たとえ法令違反でなくても、レピュテーション（評判）リスクが発生します。つまり、AIリスクも単なる「法令遵守」だけではなく、レジリエンスの観点からも考える必要があるのです。

リスクマトリックスで経営層の直感的な理解を促す

Andrew：私は取締役会において、リスクを「4象限マトリクス」で整理して説明することが多々あります。

たとえば、わずか3000万ドルの売上を狙うために、FTC（米連邦取引委員会）から100億ドルの損害賠償を受けるようなデータ利用を行うのは、明らかに「赤」です。この枠組みで説明すると、役員もリスクを直感的に理解できます。

転載：IAPP Global Privacy Summit 2025（翻訳は編で追加）

Jessica：経営層や取締役会は、費用対効果（コスト・ベネフィット分析）に慣れています。だからこそ、表に見えないリスクコストを可視化してあげると、判断がしやすくなります。

Sooji：3Mでも、同様に「価値創造と価値保護の両立」を意識しています。「リスクを軽減できるか」「事後対応が容易か」を見極めながら、ビジネス判断をサポートしています。

ガバナンスの本質：5ステップで整理する

Andrew：「ガバナンス」という言葉がよく使われますが、法的には非常にシンプルです。デラウェア法では、以下の5ステップが定義されています。

1. 方向性の設定（Direction）
2. 戦略とリスク許容度の策定（Strategy）
3. 監督（Oversight）
4. プログラム・コントロールの策定（Program/Control Creation）
5. モニタリングと報告（Measurement/Reporting）

ガバナンスとは、単にプログラムを作ることではありません。この一連のプロセスが回っていて初めて、ガバナンスが成立します。

Sooji：私たちもこの5ステップに基づいて、すべての新商品開発やAI、サイバーリスクへの対応を組み立てています。特に「誰が責任を持つか」を明確にする（RACIマトリクス**を作る）ことが肝心です。

**注：RACIマトリクスとは、プロジェクトや業務プロセスにおいて、「誰が何をどのように担当するのか」を明確にするための整理表のこと。R (Responsible;実行責任者), A (Accountable;説明責任者), C (Consulted;意見・助言を行う人), I (Informed; 報告先)の頭文字を取っている。

転載：IAPP Global Privacy Summit 2025（翻訳は編で追加）

プライバシー責任者の役割はデータリスク全体に拡大

Andrew：これからのチーフ・プライバシー・オフィサー（CPO）は、プライバシーだけでなく、AI、サイバーも含むデータリスク全体をカバーしていく役割になります。たとえば、FTCが「あなたのデータ処理は不当だ」と指摘してアルゴリズムやデータを破棄させるリスクと、サイバー攻撃でデータが暗号化され使えなくなるリスクは、表面的には違っても、結果（事業への影響）は同じです。だからこそ、リスクの「根本原因」ではなく、「影響（レジリエンスリスクか法令遵守リスクか）」の観点で整理して、経営層に伝える必要があります。

Sooji：日々の業務でも、私たちはデータガバナンスを推進しています。これは単に個人データ保護だけではなく、サイバーセキュリティによる企業資産防衛や、規制順守も含みます。私たちの役割は、企業全体がデータスチュワード（データの責任ある管理者）になることを支援することです。

Jessica：私も「データスチュワード」という概念を積極的に取り入れています。個人情報以外のデータリスクも対象に含め、IT・情報セキュリティ部門との連携を強化しています。

大企業とスタートアップでガバナンス水準は同じでなくてよい

Andrew：よくある誤解ですが、「上場企業はSEC（米国証券取引委員会）の規則に基づくガバナンスを求められる」と思われがちです。しかし、デラウェア法などのガバナンス義務は州法に基づきます。上場・未上場は関係ありません。SECのサイバー規則も、「サイバーガバナンスを整備せよ」とは言っておらず、「現状を開示せよ」と求めているだけです。つまり、（米国における）ガバナンス義務の本質は一貫して州法由来なのです。

そして、企業規模によってガバナンス水準は変わります。たとえば、スタートアップが3Mと同じ水準を目指す必要はありません。NISTフレームワーク***でいう「適応型（Adaptive）」か「初期段階（Initial）」かといった自社に最適な「水準」を適切に見極めることが重要です。

***注：アメリカ国立標準技術研究所（NIST:National Institute of Standards and Technology）が作成するサイバー攻撃などに対するリスク管理やセキュリティ強化を体系的に行うためのガイドラインのこと。

Sooji：そうですね。私たちもサイバーガバナンス成熟度をNIST基準で測るだけでなく、プライバシー・AI・データリスク全体のガバナンス成熟度を段階的に自己評価し、外部の第三者レビューも受けています。自己満足せず、本当に成熟しているのかを検証することが不可欠です。

ガバナンスの具体的プロセス

Andrew：ガバナンスプロセスを構築する際、次のステップが基本です。

1. ビジネスインパクト分析（BIA）を実施：どの業務プロセスが企業にとって重要なのかを把握
2. リスク評価・インベントリ作成：リスクの棚卸しと整理
3. コントロール（対策）・ポリシー・手順を策定
4. トレーニング・演習を実施
5. モニタリング・見直し・取締役会への報告

このサイクルを継続することで、ガバナンスの成熟度を高めていきます。

Jessica：ただし、最初に役割と責任を明確化することが不可欠です。責任の所在が不明確だと、BIAもリスク評価も意味を成しません。

Sooji：また、リスクの重要度はビジネスによって異なります。たとえば、サイバーサービスを提供している企業なら、サイバーリスクのビジネスインパクトは極めて大きいですが、紙媒体中心のビジネスなら重要度は低いでしょう。

経営層の役割をプレイブックで明文化

Andrew：最後に、経営層との連携についてお話ししましょう。重要なのは、経営層は「監督者」であり、オペレーションには介入しないという点です。たとえば、サイバーインシデントが発生した場合でも、取締役会の役割は「適切に対応しているかを監督すること」であり、直接指揮を執ることではありません。

Sooji：私たちは、事前に「経営層の関与ポイント」を定めたランサムウェア対応プレイブックを作成しています。これにより、役員も「どの時点で報告を受けるか」「どの判断に関与するか」を明確に理解でき、スムーズな対応が可能になります。

Jessica：逆に、取締役会が過度にオペレーションに関与すると、監督義務を超えた責任が発生し、会社にとってもリスクになります。適切な距離感を維持することが重要です。

転載：IAPP Global Privacy Summit 2025（翻訳は編で追加）

以上

===

◆ 関連記事
[Vol.1]【対談】サム・アルトマン(OpenAI)ーAI時代のプライバシーと人類の未来：「人間らしさ」の証明とは？〈要約版〉
[Vol.2]【講演レポート】ローレンス・レッシグが語る「ビジネスモデルが法を超える」──規制の4要素とAI時代のプライバシーの再定義
[Vol.3]【講演レポート】AIガバナンスを組織にどう実装するか？
[Vol.4]《米中AI覇権争いの真実》大国の興亡と汎用技術拡散の歴史
[Vol.5] AI時代におけるイノベーションとコンプライアンスの両立
[Vol.6]経営層レベルにおけるサイバーガバナンスの構築と維持←この記事
[Vol.7]Click & Risk：AI時代の「広告」と「消費者プライバシー」の具体的対処法〈講演レポート〉
[Vol.8]AI for Humanity： 高品質なデータが人権を保障する
[Vol.9]AI採用に潜むリスクと対策〜いま、企業が直面する課題〜
[Vol.10]AI時代─人間らしさが武器になる〜米欧の規制動向とGoogleの取り組み〜←この記事
[Vol.11]実世界データでAIを鍛える〜ファインチューニングの現場とプライバシー対応の最前線〜

===

＜＜前へ： AI時代におけるイノベーションとコンプライアンスの両立

＞＞次へ：Click & Risk：AI時代の「広告」と「消費者プライバシー」の具体的対処法

===

IAPP公式サイト：https://iapp.org/conference/global-privacy-summit/

#AIガバナンス　#AI利活用　#プライバシー　＃IAPP　#サイバーセキュリティ　#取締役会　#信認義務法　#州法　#レジリエンス　#プサイバー攻撃　#ランサムウェア　#レジリエンスリスク　#法令遵守リスク　#ガバナンス　#RACI　#デラウェア法　#プライバシー責任者　#データガバナンス　#サイバーガバナンス