楽天グループ株式会社様

▼福本氏
楽天グループは代表取締役会長兼社長の三木谷 浩史が1997年に設立し、今も経営のトップとしてグループを率いています。「楽天市場」は三木谷が立ち上げたサービスであり、現在も強い想いを持ってサービスを推進しています。楽天グループが提供しているサービスの多くはインターネットサービスであることから、セキュリティは経営の最重要課題の一つとして経営陣に認識されています。三木谷が経営のトップとして創業時から関与し続けることで、事業の成長と同じレベルで、セキュリティに対する高いコンセンサスを維持し続けられる点も、セキュリティ対策を進めていく上で大きな強みになっていると考えています。

▼GSX三木
サイバー攻撃を受けた際の事業への影響は大きく、あらゆる企業にとって経営課題です。セキュリティ対策の必要性認識が広がっている一方で、セキュリティ対策を経営課題として捉えられている企業はまだ少ないことが実態です。私はそのような状況を改善すべく、経営層向けの勉強会を全国各地で実施し、セキュリティ対策を経営課題として捉えていただけるよう尽力しています。

▼福本氏
新規サービス立ち上げやM&Aなどを通じて、楽天グループとしてお客様にご提供するサービスが増え、グループ会社が増えていくに伴い、グループとしてのセキュリティレベルを高い水準に保つことが課題となりました。また、事業拠点も世界各地に存在するようになり、セキュリティを中央管理する必要性が高まりました。会社ごとのセキュリティ対策状況の差異、セキュリティ人材やノウハウの不足といった課題を継続的に対処してきました。

そのような背景を受け、2015年にCISOが任命され、グループ全体としてのセキュリティガバナンスをより一層強化・推進できる体制が整いました。2016年には各社にCISOを立て、楽天グループCISOコミュニティを立ち上げました。楽天グループには様々な業態があり、すべての会社を同じポリシーで運用することは現実的ではありません。そのため、ベースとなる共通のポリシーを策定し、各社の所属する業界団体等の要請に合わせ、カスタマイズして運用しています。共通ポリシーを策定することにより、ベースラインのセキュリティレベルが確保され、セキュリティ対策の実効性が高まっています。

現在グループの数十の組織にCISOが設置されています。各社のCISOが集う定例会議、年次のグローバルCISOサミットを実施するなど、コミュニケーションを密にして情報連携を図っています。CISOが設置されることで、各社におけるセキュリティ責任者が明確になり、セキュリティ対策を強力に推進できる体制となっています。

▼福本氏
CISOに求められることは、シンプルには「セキュリティ事故による被害が起きないこと」に尽きます。CISOは会社、事業を守る責任のある仕事であり、相当の覚悟が求められます。一般的にCISOは独立して機能していますが、日本では兼務である状態が多いなど責任境界線が曖昧なように思います。この点についてはCISOのモデルを成熟させていくためにも我々においても課題意識があります。楽天グループでは、セキュリティレベルを向上させるために、毎年セキュリティ戦略を策定し、計画に基づいたプロジェクトを進行させています。安全なモノづくりを基本に、デザインしたセキュリティ施策が、ベストだと思っているレベルまで実践されることが大事です。

▼GSX三木
日本ではCISOの設置がまだまだ進んでいないという調査データがあります。CIOとCISOを兼務しているような企業も見受けられます。そのような課題を解消することも目的として「CISO講座」が立ち上がっています。CISOは責任も重い職責であると捉えています。CISOのロール、レスポンシビリティ、成果、評価などの整備が今後ますます進んでいくことが期待されています。セキュリティが事業継続上の大きな課題であり、有事になれば経営に支障が出るという観点からは、その重責を担うCISOは企業にとってのナンバーツーとも言えるのかもしれません。