サイバーセキュリティーサービスの比較・資料請求サイト|中小企業向けのセキュリティ対策を考える「サイバーセキュリティ」に関する情報メディア。日本の中小企業の情報を守るため、最新のセミナー・人材育成・製品・中小企業向けのセキュリティ対策を考えるサイバーセキュリティ情報サイトです。

東証システム障害のその後、全経営層が読むべき調査報告書の素晴らしさ

  • LINEで送る


2020年のセキュリティ事情もコロナ禍におけるテレワークへの攻撃等もあり、気が滅入る話題が多かったように思います。

そのような中で、インシデントを起こしてもその先に”明るさ”を見せた対応がありました。少し時期は外しますが、最初から最後まで見事な対応を見せた東京証券取引所(以下:東証)のシステム障害について書いておきたいと思います。

調査報告書の素晴らしさ

前回のコラムで書かせていただいた東証のシステム障害記者会見。社内ガバナンスが行き届いていることを強く感じさせる対応でした。その約2ヶ月後、調査報告書が発表されます。

そして、この報告書も利害関係者に東証経営陣の誠意を見せる素晴らしいものでした。

参照調査報告書

調査委員会の人選

最初に報告書の表紙を見た時は「あれっ?」と思いました。報告書の作成が「システム障害に係る独立社外取締役による調査委員会」とされていたからです。社外とはいえ、東証から報酬を貰っている人たちが調査するんだ、第三者委員会にしないんだ、と感じたからです。

しかし、調査委員会の委員長の名前を見た時、その疑念は氷塊しました。委員長の名前に久保利英明先生の名前があったからです。

実は久保利先生は、「名ばかり第三者」の第三者委員会調査報告の跋扈を憂い、第三者報告書の規律と社会的信用を確保するために、有志で設立された「第三者委員会報告書格付け委員会」の委員長でもあるのです。

久保利先生を社外取締役に置いていたのですね。この方が委員長である以上、そこらへんの第三者委員会など比べ物にならないほどの調査報告書になっていることだろうと期待しました。そしてやはりその内容も素晴らしいものでした。

調査量の明示

この報告書を見ると「読んでもらう人」への意識感じます。

まず、「4.調査の方法」の中で”いつ、誰に、どのくらいヒアリングしたか”を明示しています。小手先で作成したものではなく、しっかり調査したことが分かります。忖度するとエラい人へのヒアリングは、ちゃちゃっと済ませることが多いですからね。しかも、執行役員以上のエラい人へのヒアリングは名前入りで、日時を明記しています。

調査費用の明示

「5.調査費用」で調査委員会に支払った費用を明記しています。委員4人全員で1000万。これも利害関係者への宣言として素晴らしい。ただでさえインシデントで損害を受けているんですから、更に委員会に高額な報酬を払ったら損害が拡大することになります。

この報告書は、こういったインシデント報告書の在り方の”モデル”になることも意識されているのでしょう。第三者委員会メンバーに莫大な報酬を払うことに釘を刺しています。

注釈には「関西電力株式会社の役員責任追及訴訟では第三者委員会費用分として7.73億円が請求されていると報道されている」と実例を揚げ、第三者委員会に高額な報酬を払うおかしさを論っています。

事実の明示と評価

内容も、arrowheadの導入から始まり、障害の発生、取引再開の完了までの経緯を説明します。その上で真の原因と責任を明確に記載しています。その結果システム障害については富士通の責任を大としましたが、事前検討等で東証の責任も免れないとしたことに納得させられます。

また、終日売買停止の判断についても妥当としましたが、問題点として事前検討とルールの明確化、および関係者への周知を挙げました。これも納得の行くところです。

将来に向けた提言

ここがこの報告書の真骨頂だと思います。「将来に向けた提言」とありますが、読んでいくと”東証に対しての”将来に向けた提言に見えなくなります。

「想定外」の発生を考慮したテスト項目の網羅性(そもそも本当に「想定外」のレベルなのか)、一定の障害発生は避けられないこと、情報発信の重要性、非常事態の社内体制強化を挙げ、最後に「システムへの更なる経営資源投入」を強調します。

もう、ぐうの音も出ない程の正論に思えます。この報告書は全経営層に読んでいただきたい。リスクの捉え方、委託先管理、マネジメントの在り方等、様々な示唆に富んでいます。これは東証に対しての将来の提言と捉えるべきではありません。日本の全経営層に対しての将来への提言と捉えるべきでしょう。

トップの辞任

そして、この報告書と同時に社長の辞任が発表されました。この事に関しては、辞めないで欲しいという声がかなり出ました(「辞める必要は無い」という表現よりも)。

しかし、中小のオーナー企業ならいざしらず、東証は社会的に大きな責任を持つ企業なのですから、私は社長のこの決断は正しいと思います。

トップの役割は”有事の際に責任を取ること”

本来、組織に置いてのTOPの役割というのは、有事の際に責任を取ることが最大のものです。フレイザーの「金枝篇」の王殺しに象徴されるように、それは、組織論というよりも人間社会の本質に根差すものです。

例えTOPの関与が些少と思われたとしても、社会を巻き込むインシデントを起こしてしまった以上、世の信頼を確保し続けるためには、その時のTOPが最高責任者から離れること、少なくとも代表権を返上することは必要でしょう。

金枝篇
社会人類学者フレイザーの著作。集団の秩序が失われた際、王を変える“王殺し”の概念の提唱等、宗教学・民俗学・神話学など多岐にわたる影響を与えた古典的名著。

トップが責任を取ることで組織への信頼を増す

よく、不祥事が起きた後、「再発防止策を進めないことの方が無責任だ」と言って居座る方がいますが、論外です。そんな人には「アナタが責任者の時に発生が防げなかったんでしょう?」と言いたいですね。だったらやるべきことは原因を分析して再発防止の”方向性を定めて”別の人に進めてもらうことでしょう。

惜しまれつつも辞任を表明したことで、世間は「東証の社長さんは見事に責任を取った」と評価しました。インシデントが発生したものの、東証への信頼感は増したというのは衆目の一致するところでしょう。

最後に

個人的な意見としては、社長さんご本人としても、ここで辞任された方が良かったと思います。なぜなら、世間が放っておかないから。これだけ見事なインシデント対応手腕を見せた方です。その方が東証のTOPを辞めるなら、「ウチの経営に迎えたい」という会社は沢山あるでしょう。またご本人が起業されたとしても、「この人の下で働いてみたい」と考える方も多いでしょう。放っておいても優秀な人材が集まるでしょう。東証を辞められたとしても前途は洋々でしょう。

また、記者会見を見る限り、社長さんの考え方は各取締役にも受け継がれているようです。次の代表者にも期待できると世間は見るでしょう。東証の評判も安泰です。“惜しまれつつも”辞任することで、組織も本人も信頼を得ることができたのです。

不祥事が起きても責任を取らない、認めない政治家や経営者ばかりに見える中、東証のインシデントでは徹頭徹尾見事な対応が見られました。是非とも組織の経営層には東証の事例を見習っていただきたいと思います。



  • LINEで送る

書籍「情報漏洩対策のキホン」プレゼント


当サイトへの会員登録で、下記内容の書籍「情報漏洩対策のキホン」3000円相当PDFプレゼント
(実際にAmazonで売られている書籍のPDF版を無料プレゼント:中小企業向け大企業向け

下記は中小企業向けの目次になります。

  1. 1.はじめに

  2. 2.あなたの会社の情報が漏洩したら?

  3. 3.正しく恐れるべき脅威トップ5を事例付きで
    •  3-1.ランサムウェアによる被害
    •  3-2.標的型攻撃による機密情報の窃取
    •  3-3.テレワーク等のニューノーマルな働き方を狙った攻撃
    •  3-4.サプライチェーンの弱点を悪用した攻撃
    •  3-5.ビジネスメール詐欺による金銭被害
    •  3-6.内部不正による情報漏洩

  4. 4.情報漏洩事件・被害事例一覧

  5. 5.高度化するサイバー犯罪
    •  5-1.ランサムウェア✕標的型攻撃のあわせ技
    •  5-2.大人数で・じっくりと・大規模に攻める
    •  5-3.境界の曖昧化 内と外の概念が崩壊

  6. 6.中小企業がITセキュリティ対策としてできること
    •  6-1.経営層必読!まず行うべき組織的対策
    •  6-2.構想を具体化する技術的対策
    •  6-3.人的対策およびノウハウ・知的対策

  7. 7.サイバーセキュリティ知っ得用語集

無料でここまでわかります!
ぜひ下記より会員登録をして無料ダウンロードしてみてはいかがでしょうか?

無料会員登録はこちら

SNSでもご購読できます。