梶浦敏範【公式】ブログ

デジタル社会の健全な発展を目指す研究者です。AI、DX、データ活用、セキュリティなどの国際事情、今後の見通しや懸念をお伝えします。あくまで個人の見解であり、所属する団体等の意見ではないことをお断りしておきます。

サプライチェーン・ガバナンス(後編)

 もう1社は、グローバルでその種のコンシューマ品ではシェア1位の大企業。その日本法人の人が、ガバナンスされる側のことを話してくれた。欧州ドイツ語圏に本社のあるその企業にとって、日本市場は「One of Them」。世界を5ブロックに分けたうち、オーストラリアにHQがある「アジア・アフリカ・オセアニアブロック」の一部だ。

 

 企業として守るべきは、そのブランド価値。日々消費者が利用するもの(*1)だけに、製品の原料、製造、流通、広告等のすべてに渡って瑕疵があってはならない。そのため、本社~各ブロックHQ~各国事業所等のラインは、サイバーセキュリティに関しても厳しい監査や指導が行われている。

 

 サイバーセキュリティに限らず監査の頻度は非常に高く、担当部署は1年の内監査から逃れられるのは1ヵ月ほどのこともあるという。KPIもはっきりしていて、その達成度はシステムによって自動的に生成される。

 

    

 

 合格点(例えば90点)に至らないと、どうして達成できなかったかを説明する必要があり、処遇にも影響する。好成績を挙げればより高いポジションが得られるので、本社に向けてのアピール合戦になることもあるという。

 

 サイバーセキュリティ対策を外部(この場合は地域HQや本社)から見えるようにするのは、努力のインセンティブのためにも重要なのだが、この企業ではそれが上手くいっている。ここからは推測だが、全社としての成果を社外取締役や株主・市場に対してアピールすることに繋げているのだろう。いい意味での「セキュリティの見える化」ができている例だ。

 

 KPI達成を目指す日本の事業部門としては、

 

・頻繁に変更されるKPI(*2)の、部門内への説明や徹底

・グローバル一律で来てしまう要求に対するローカル課題の上奏

 

 が日々の仕事になる。特に後者については、明確に日本の法令等でできないことや、慣習・文化的に不要なこと意味の薄いことなどを説明するが、かなりハードな交渉になることもあるようだ。

 

 欧州政府は個人情報保護などのルール作りをいち早く行い、それを優良企業は率先して実施し、世界に広めようとする。そんな企業グループの日本事業所の苦労を、少しは理解できたと思う。

 

*1:約200ブランドある

*2:例えばランサムウェアが流行すると、それへの対処でKPIが変わる