企業で、サイバーセキュリティ対策を担う役員(or準役員)であるCISO。比較的新しい役職であり、業種等によってさまざまな位置づけがあって、職責・権限も百人百様である。私たちはCISOを応援する立場で、CISO同士が意見交換し本音を語れる場を設けたり、CISOに対しての情報提供や要望聴取を行っている。そんな議論の中で、CISOが専任か、兼職かの議論があった。
最初にCISOをおく時、多くは兼職である。ITガバナンスを担当しているCIOに、もうひとつの役職としてCISOを担ってもらうのが普通かもしれない。この場合、
◇CIO DX促進のため、デジタル化のアクセル役
◆CISO デジタル化のリスクを考え、必要ならばブレーキ役
の双方が一人の人物に委ねられることになる。
CIO/CISOだけでなく、技術革新を担当するCTO、データの管理・活用を担当するCDO、自然災害なども含めたリスク管理を担当するCROの帽子をかぶった役員も少なくない。ある企業で、このように複数キャップを被っているCISOから、専任のCISOに替わったがどうだったのかの感想を聞くことができた。
◇良かったこと
前任者は、勤務時間の1割ほどしかCISOとしての執務ができなかった。上司も部下も、いつでも相談できるCISOの存在はありがたかった。
◆違和感を覚えたこと
しばらくすると、何か問題(&問題の芽)があると、CEOがCISOに常に意見を求めるようになった。他の役員の緊張感が薄れ、いざというときの対応に不安が出てきた。
私は「CISOの職責・権限に定番はなく、その時の役員全体の資質や人間関係にも関わって、適材適所を常に考える必要がある」とした上で「ひとつの帽子が理想だが、複数の帽子でもきちんと立場を分けて考えられる人なら問題はない」と話した。真面目過ぎる人には複数の帽子は難しいかもしれないとも付け加えた。
WWⅡ時代、東条英機首相が陸軍大臣・参謀総長をも兼務した時の混乱(*1)を思い出したからである。