経営者はリスクを軽視しがち

　情報セキュリティー会社、トレンドマイクロが2024年4月に公表した調査結果も、経営者が正常性バイアスにとらわれがちであることを示唆する。 　日本を含む世界各国の情報セキュリティー担当者2600人を対象としたこの調査で、79％が「サイバーリスクの深刻さを、実際より控えめに見るよう、経営陣が圧力をかけていると感じたことがある」と回答した。うち、圧力の原因について最も割合が多かった回答は、「自分たちが（経営陣から）口うるさいと思われているから」で43％だった。「自分たちが（経営陣から）悲観的すぎると思われているから」の42％が続いた。 　情報セキュリティー担当者のことを「口うるさい」「悲観的すぎる」などと思っている経営者は、正常性バイアスに陥っている恐れがある。 　特に日本企業の経営者は、サイバーリスクを軽く見る傾向がほかの国・地域よりも強いようだ。トレンドマイクロは、情報セキュリティー担当者のアンケート結果を基に、様々な項目を10点満点で指数化した。 　それによると「最高経営責任者（CEO）や取締役会の情報セキュリティーへの関与度」という指数で日本は、欧州の6.48や北米の6.53を大きく下回る4.57だった。「情報セキュリティーに関する予算の十分さ」でも日本は4.71と、欧州の5.08や北米の4.98を下回った。 　日本企業の経営陣の情報セキュリティー対策への関与度の低さや予算の不十分さは、サイバーリスクを過小評価していることの表れとも言えそうだ。 　残念ながらほとんどの場合、実際に惨事が起きてからでしか、意思決定者は目が覚めない。嘉門氏の勤務先の経営陣も、ランサムウエアの被害を受けてから、やっとウイルス検知装置の購入を認めた。嘉門氏が購入を最初に会社に提案してから、3年後のことであった。 　痛い目に遭うと、意思決定者から正常性バイアスが取り除かれ、不都合な真実に見合った対策を施せるようになるわけだ。裏を返せば、サイバー攻撃で痛い思いをした企業の再発防止策は、ほかの企業が参考にすべき情報セキュリティー対策となる。 　20年に、ハッカーによる不正なログインと出金を許してしまったSBI証券は、第三者委員会がまとめた調査報告書に基づいて再発防止に取り組んできた。 　第三者委員会は、経営陣のサイバーリスクに対する認識が足りなかったと結論づけた。サイバーリスクに関する情報が現場から十分伝わっていなかったという。正常性バイアスが働く以前の問題だ。