以前は、役職としてよく聞くのは社長、部長などでしたが、最近ニュースなどではそれに並んで、CEO、COOなどの役職も耳にするようになりました。

CEOなどは一般的な役職として馴染みがありますが、CISOという役職については御存じでしょうか?

情シスにとって重要な役職であるCISOとは、どのような役職なのでしょうか?

情報セキュリティの統括者

CISOは、Chief Information Security Officerの略です。

企業における情報セキュリティ全般を統括する役割を担う役職であり、機密情報の管理やシステムのセキュリティ対策などの全体的な責任者でもあります。

また、事業内容にセキュリティリスクを含めて最適化するために、経営陣との連携も行います。

具体的な業務内容としては、まず情報セキュリティポリシーとしてどんな脅威を対象とするか、何を保護するか、どう行動するかの基本的な指針などを策定します。

また、企業内で使われるシステムに対してのセキュリティ施策として、セキュリティレベルや体制の構築なども策定します。

その他にも、機密情報や個人情報、セキュリティ監査、サイバー犯罪に対してのセキュリティインシデントなども担っています。

セキュリティ対策だけではなく、ルールの制定や教育、セキュリティ面での組織作りなどもその役割に含まれます。

事業全体における情報セキュリティの最高責任者となるのが、CISOなのです。

国内企業におけるCISO

CISOというのは、元々は米国の法人企業における役職名です。

しかし、今や世界各国で同様の名称の役職が設けられていて、日本もそれに含まれています。

日本では、CISOはどの程度広がっているのでしょうか?

米国においては、専任と兼任を合わせて約95％の企業がCISOを設置しています。

しかし、日本では広まりつつあるといっても、いまだ60％を超える程度しか設置されていません。

また、米国ではCISOといえば80％以上が経営層、もしくは経営層のすぐ下という位置づけとなっているのですが、日本の場合は情シス部門のトップとして扱われることが最も多いという結果になっています。

職務の範囲としても、日本では多くの場合は社内情報システムに限られているため、まだまだCISOという役割が重要とはみなされていないと考えられます。

せっかくのCISOという役職を活かすためには、企業の理解とCISO自身のスキルアップが必要となるでしょう。

まとめ

日本におけるCISOという役職は、多くの場合情シス部門のトップとして扱われています。

しかし、本来はセキュリティリスクマネジメントを経営視点から行うという役割があるため、現状ではその役割を果たしきれていないと考えられるでしょう。

CISOを活用するには、企業からの理解を得て権限を強化することも必要ですが、同時にCISOが経営視点を持つことも必要となります。

これからのデジタル化社会の事業展開のために、CISOの本来の役割を果たせるようにしましょう。