パネルディスカッション2023
現地SIerが暴く、海外拠点のIT事情の真実（第2回）

セキュリティーリテラシーに関するキーワードについて、各国がどのように考え、捉えているかパネリストにお伺いします。 国によって文化や慣習なども異なると思われますが、皆さんの国ではどのような状況でしょうか？

中国にはデータ3法（サイバーセキュリティー法、データセキュリティー法、個人情報保護法）という法律があり、中国国内でのセキュリティーリテラシーはかなり高くなってきています。一方では社内LANに個人スマホを接続して動画、社有PCでECショッピング、個人所有のUSBメモリーを業務利用、パスワードなしで機密情報をメール送信など、リテラシーの低い行為はいまだに散見されます。また中国語には「上に政策あれば、下に対策あり」という言葉がありますが、この言葉を地で行くようなことは随所に見受けられます。

「上に政策あれば、下に対策あり」ですか（笑）。中国では、セキュリティーや個人情報の取り扱いに関して、法律で厳しい対応を求めているようですが、現場との認識のギャップが大きそうですね。

かなり大きいですね。一般企業は、企業規模にかかわらずセキュリティー等級保護制度の2級から3級を取得する必要があり、企業にとってかなりの負担です。 また、個人情報の海外越境、保管、共有も政府が厳しく監視しているので、それらの対応に苦労している大企業が少なくありません。

中国で事業を継続するのは、かなりハードルが高い。しかし、対応しないと事業ができないという喫緊の課題になっているのですね。では、中元さん、ベトナムはいかがでしょうか。

ベトナムも社内ネットワークに個人の端末を接続するのは日常茶飯事です。 しかし、日系企業のセキュリティー意識は高くなっており、社員のセキュリティーリテラシーを向上させるためのトレーニングを実施している企業も増えています。 また、弊社にセキュリティートレーニングやセミナーの相談も多くなりました。

少しずつセキュリティー教育に力をいれるなど、ブラッシュアップしている企業が増えているのですね。 シンガポールは、ほかのアジア諸国と環境が違いそうですが、牧原さんいかがでしょうか。

シンガポールはIT先進国であり、ほかの国と比べて、ITリテラシーに関しても総じて低くはありません。理由は、日本や欧米諸国の企業のリージョナルヘッドクオーターが多く、本社のガバナンスが比較的浸透しているからだと思います。また、シンガポール政府がデジタル化を推進していることもあり、国民生活もかなりデジタル化が進んでいます。サイバーセキュリティーも身近な課題になっており、政府も組織や企業、国民に向けてITセキュリティーに関する啓蒙活動を続けています。

金融業のセキュリティーレベルに最低限合わせていく、あるいはそれを上回るセキュリティー対策が打てるSIerが求められますね。

金融業をサポートしているIT企業は、当然、同レベル以上が求められますので、我々ITベンダーのセキュリティーも相乗効果で高まっているのではないかと思います。

なるほど、我々も襟を正さないといけませんね。レイモンドさん、フィリピンはいかがですか。

セキュリティーリテラシーは以前と比べると、レベルアップしていると思います。10年前は、日系企業のお客さまでも、海賊版ソフトの使用、ウイルス対策ソフトのライセンス不足、またパターンファイルの未更新などの問題がありましたが、最近はそういった問題もみられなくなりました。しかし、課題もありまして、IT担当者がパスワードを教えないと、仲間として受け入れてもらえない文化があります。また、知り合って間もない関係でも、個人のSNSで業務情報を共有することがいまだに多いのが現状です。

フレンドリーな国民性は非常によいのですが、その反面、リスクにもつながっているのですね。SNSの業務利用は情報漏洩などのリスクになりますよね。鵜飼さん、タイはいかがでしょうか。

私は10年間タイに住んでいますが、ここ10年でセキュリティーに対するリテラシーは高まっているように感じます。10年前は、お客さまのオフィスや工場に訪問した際、来客専用の無線LANなどがないため、社員用無線LANを使っていましたが、最近はそのようなことはありません。ただ、私物のパソコンを業務で使っている企業はまだまだ見受けられます。この点では、まだ日本と比べて遅れています。

10年でかなり変化があったようですね。

はい、そうですね。また昨今はランサムウエアの被害が急増しており、大手自動車メーカーでも生産が停止したりしています。このような背景から、しっかりと対策するお客さまが増えています。

対岸の火事ではなくなってきているということですね。インドネシアはいかがですか。

私もインドネシアに住んで、今年で10年目になりますが、業務中に社員同士が個人アカウントのSNSを利用してお客さま情報をやり取りするなど、セキュリティーリテラシーが低いと感じています。ただ、これまで金融機関のみが対象であった個人情報保護法が、2022年からはすべての企業に適用されることとなりました。公布後、2年間の猶予期間があるものの、どう対応していくかが直近の課題となっています。

個人情報保護の規制がかなり厳しくなっているのですね。ただ、ほかの国もそうでしたがSNSを業務利用するなどシャドーITのリスクはあるようですね。 「そんな怪しいことやっていたの？」「こんな問題で困っているんだ！」と、びっくりするようなお話もありましたが、皆さん、いかがでしたか？ ランサムウエアの話題もありましたが、皆さんもご存知のように、海外拠点を標的にしたランサムウエアが増加しています。日本国内でも、2021年から2022年の間で、被害件数が1.5倍増え、約230件が報告されています。しかし、この報告件数は氷山の一角で、被害にあっても公表していない、あるいは身代金を払って解決してしまったという事情を考慮すると、実際の被害件数はこの数倍になるのではないかと思われます。サプライチェーンの分断で、事業が継続できないなど甚大な被害を受けることもあり、ランサムウエアは非常に問題視されています。このような背景から、ITガバナンスの必要性に対して各国がどのような認識をもっているのか、また、認識していてもITガバナンスを進めていく上でどんな課題があるのかなど、パネリストの皆さんにお伺いしましょう。