もう1社は、グローバルでその種のコンシューマ品ではシェア1位の大企業。その日本法人の人が、ガバナンスされる側のことを話してくれた。欧州ドイツ語圏に本社のあるその企業にとって、日本市場は「One of Them」。世界を5ブロックに分けたうち、オーストラリアにHQがある「アジア・アフリカ・オセアニアブロック」の一部だ。
企業として守るべきは、そのブランド価値。日々消費者が利用するもの(*1)だけに、製品の原料、製造、流通、広告等のすべてに渡って瑕疵があってはならない。そのため、本社~各ブロックHQ~各国事業所等のラインは、サイバーセキュリティに関しても厳しい監査や指導が行われている。
サイバーセキュリティに限らず監査の頻度は非常に高く、担当部署は1年の内監査から逃れられるのは1ヵ月ほどのこともあるという。KPIもはっきりしていて、その達成度はシステムによって自動的に生成される。
合格点(例えば90点)に至らないと、どうして達成できなかったかを説明する必要があり、処遇にも影響する。好成績を挙げればより高いポジションが得られるので、本社に向けてのアピール合戦になることもあるという。
サイバーセキュリティ対策を外部(この場合は地域HQや本社)から見えるようにするのは、努力のインセンティブのためにも重要なのだが、この企業ではそれが上手くいっている。ここからは推測だが、全社としての成果を社外取締役や株主・市場に対してアピールすることに繋げているのだろう。いい意味での「セキュリティの見える化」ができている例だ。
KPI達成を目指す日本の事業部門としては、
・頻繁に変更されるKPI(*2)の、部門内への説明や徹底
・グローバル一律で来てしまう要求に対するローカル課題の上奏
が日々の仕事になる。特に後者については、明確に日本の法令等でできないことや、慣習・文化的に不要なこと意味の薄いことなどを説明するが、かなりハードな交渉になることもあるようだ。
欧州政府は個人情報保護などのルール作りをいち早く行い、それを優良企業は率先して実施し、世界に広めようとする。そんな企業グループの日本事業所の苦労を、少しは理解できたと思う。
*1:約200ブランドある
*2:例えばランサムウェアが流行すると、それへの対処でKPIが変わる