人間は権威に弱い生き物

　むしろSBI証券で問題となったのは、「権威バイアス」だろう。権威者の意見に無批判に従う心理作用を指す。 　SBI証券では代表取締役が権威者に該当する。SBI証券の代表取締役はリーダーシップが強力だと第三者委員会は指摘した。それ自体は何も問題がない。 　ただ一般的に強いリーダーがトップに立つ組織では、現場が権威バイアスに陥りがちだ。黙って強いリーダーに従っていればいいという意識が生まれ、現場からトップへの情報提供がおろそかになる。第三者委員会によると、SBI証券では、現場部門から議論の土台となるような情報を経営陣に報告する文化が定着していなかった。 　再発防止策として、SBI証券では情報セキュリティー担当者が頻繁に経営陣に報告する体制を整えた。SBI証券の執行役員で、最高情報セキュリティー責任者（CISO）を務める金田学氏は、「今では週1回のペースで取締役らと会議し、当社が受けているサイバー攻撃の状況を説明している。加えて、危険度が高いと判断すれば代表取締役の高村正人とはアポイントメントなしでいつでも会えるようになった」と言う。 ●白衣はおるだけで説得力 　権威バイアスに陥った人が無批判に従う相手は、経営者とは限らない。自分にはない知識を持つ専門家のケースもある。 　例えば医薬品のテレビCMに、白衣を着た医師風の人物が登場することがある。ほとんどの視聴者は医学に精通しておらず、医師の意見を無批判に受け入れがちだ。そんな権威バイアスの効果を狙った宣伝手法である。 　同じように、ほとんどの企業経営者は情報セキュリティーに精通していない。そのため経営陣が社内の情報セキュリティー担当者を権威者と見なすこともある。情報セキュリティーの現場が経営陣を権威と見なしたSBI証券とは真逆のパターンである。 　決済サービスのメタップスペイメント（MP、東京・港）の経営陣は、そのような権威バイアスにとらわれていたようだ。 　MPは21年8月～22年1月にサイバー攻撃を受け、顧客情報を流出させた。問題を調査した第三者委員会は報告書で、「情報セキュリティーに関するシステム部門の判断を、経営陣が無批判に受け入れることが常態化しており、踏み込んだ監督がなされていなかった」と指摘した。結果的にシステム部門の情報セキュリティー対策がおざなりになった可能性があるという。 　MPがサイバー攻撃を受けた当初、システム部の幹部は「情報漏洩はない」と判断して対処した旨を経営陣に報告していた。この誤った報告についても、経営陣は疑うことなくそのまま受け入れたために、被害が拡大したと第三者委員会は見ている。 　権威バイアスに陥らないためには、相手と議論できる程度の知識が必要だ。第三者委員会は再発防止策として、経営陣が情報セキュリティー対策の教育を定期的に受けることを提言した。さらに経営陣に対して、「サイバーリスクを管理する体制の構築を、情報セキュリティーを担う部署に一任するのではなく、体制の構築、運営状況をチェックすること」などと、当事者意識を持つよう注文した。 　なお本誌はMPに取材を申し込んだものの、「控えたい」との回答があった。 　SBI証券やMPは大きな犠牲を払いながら、まだサイバー攻撃の被害を受けていない企業に貴重な教訓を残したとも言える。他山の石としたい。