はじめに
今年4月に、お客さま拠点のセキュリティアセスメントのため、アメリカ合衆国で最も小さい州であるロードアイランド州に出張してきました。あまり多くの方に知られていないと思われる州(※個人の見解)ということで、今回はセキュリティの話題にも触れながら、この出張をテーマにご紹介したいと思います。
ロードアイランド州とは
ロードアイランド州は、アメリカ合衆国本土の北東部の海辺に位置し、近隣にはボストン、少し南西に向かうとニューヨークがあります。日本からロードアイランド州に向かうにはボストンやニューヨーク経由が一般的なようですが、今回はフライトの混雑もあり、シカゴ経由で向かいました。
ちょうどこの頃、米国への入国が厳格化され、入国審査時にはスマートフォンの中身までチェックされるほど厳しくなったとの話がありました。列に並んでいる間、一体どんな質問されるのだろうかと不安がよぎります。が、結果的に特に問題なく入国することができました(一安心)。先代の方々が築き上げてきてくださった信頼(パスポート)のお陰です。
肝心のロードアイランド州は、落ち着いた雰囲気で素敵な街でした。州都であるプロビデンス市には、街の中心を流れる川があり、そのほとりにはアイビーリーグの一つであるブラウン大学や、ジョンソン&ウェールズ大学があります。多くの学生が楽しそうに歩いていたのが印象的です(羨ましい限り)。ちなみに、ブラウン大学は俳優のエマ・ワトソンさんの母校だそうです。
また、プロビデンス市はグルメの街としても知られているようで、シーフードやサンドイッチが有名です。私も現地で生牡蠣をごちそうになり、その味は絶品でした(何度当たっても旨いものは旨いですね)。白ワインとの相性も抜群です。シカゴからハンバーガー、ピザ、サンドイッチを繰り返し受け入れた胃袋にはなおさら癒しとなります。
ロードアイランド州のデータ保護関連法令
ここで本題のセキュリティアセスメントの話に戻ります。今回は、お客さまの現地拠点のセキュリティ状況の評価・改善提案、ひいてはお客さまの会社全体のセキュリティ強化がご支援の目的です。
初訪問となるため、前提理解として、あらかじめロードアイランド州のセキュリティ関連法令を調べておきます。州のデータ保護関連法令としては現時点で主に以下のようなものがあるようです。
- Rhode Island Identity Theft Protection Act(2015年制定)
- Rhode Island Data Transparency and Privacy Protection Act(2024年制定、2026年施行予定)
前者は個人情報に対する漏洩防止対応や漏洩時の通知義務について、後者は消費者自身によるデータコントロールの権利や事業者の義務について書かれています(本記事執筆時点)。特に、後者については、昨年制定され、来年2026年に施行予定のようです。世界各国・各地域で進むデータ保護法令整備の流れを感じさせますね。米国では州ごとに異なる法令が存在するため、事前のチェックは欠かせません。
海外拠点へのセキュリティガバナンスの難しさ
これまで上記のような活動を通じて、さまざまなお客さまのセキュリティガバナンスの在り方を見てきました。会社規模にもよりますが、統制が進んでいる組織では、例えば以下のような取り組みが見られます(あくまでも一例です)。
- グローバル共通のセキュリティ対策ベースラインの策定・適用
- セキュリティ体制・支援体制の整備・強化
(例:各地域でのセキュリティ専門部隊の編成・配置など) - モニタリング・改善プロセスの整備・徹底
(例:ツールによる監視、監査・アセスメントなど) - ITインフラの共通化(管理対象範囲の限定) など
一方で、海外拠点へのガバナンスには、リソース不足や、法制度や文化の違い、コミュニケーションの壁(言語、時差)といったさまざまな問題があります。そのため、上記のような対応の実施までは困難なケースも多く、現地拠点のセキュリティ状況を把握できていない、指示は行っているが徹底できているかどうかまでは把握できていない、といった組織も少なくありません。
しかしながら、現地拠点で発生したインシデントが各社に波及し事業の停止やブランド失墜に至ったり、現地法制度への違反によって多額の罰金が科されたりするリスクもあり、セキュリティガバナンスの欠如は事業に大きな影響を与えかねません。日本企業のグローバル化が進む中、現地拠点のセキュリティ状況を把握し、適切なリスク対応を行っていくことは持続的な経営の観点からも不可欠といえます。
こうした背景から、現地拠点のリスク対応も経営上の課題として認識し、指⽰やルールの展開に留まらず、継続的なモニタリング‧改善の仕組みや⽀援体制を強化していくことが求められています。そのためにも、定期的な訪問や会議などを通じて、お互いの理解を深め、連携を強化していくことが円滑に進めていくうえでのポイントといえます。と、いうようなことも目的の一つとして、今回はるばるロードアイランド州に訪問したのでした。リモートが主流になった昨今ですが、対面によるリアルなコミュニケーションは円滑であり、新たな発見もあり、メリットは絶大ですね。
おわりに
最後までお読みいただきありがとうございました。最後の最後に少しだけ宣伝をさせてください。当社では、上記のような課題をお持ちの企業様向けに、以下の関連サービスも提供しております。
- 海外拠点向けセキュリティアセスメント
海外拠点へのアセスメントプロセスの整備や、専門家目線でアセスメントの実施などをご支援させていただくサービスとなります。 - セキュリティ戦略策定支援サービス
セキュリティガバナンスを含むセキュリティ施策の方向性の明確化や、中・長期的なセキュリティ戦略の策定をご支援させていただくサービスです。
ご興味をお持ちいただけましたら、ぜひお気軽にお問い合わせください。今後ともよろしくお願い申し上げます。
記事の著者
セキュリティコンサルタントとして、セキュリティ規則整備、現状分析、認証取得支援などに従事。近年は、世界各国のグループ会社・拠点に対するセキュリティガバナンス強化を中心にご支援。過去には脆弱性診断などの業務にも従事していた経験もあり。プライベートでは二児の育児に奮闘中。趣味の釣りやキャンプ、大衆酒場巡りに行きたいが、しばらく我慢中。
CISSP、RISS
関連記事
RELATED ARTICLE
