小規模企業は、セキュリティ侵害に対する個人責任からCISOを保護する可能性が低く、「高度な資格を持つ専門家がこうした役職を引き受けるのをためらわせる恐れがある」と弁護士がCSOに語った。
RSACの調査によると、小規模企業は多国籍企業に比べ、セキュリティ侵害に対するCISOの個人責任を保護する可能性がはるかに低い。
CSOが取材した専門家は、保護がなければCISOは職務上の意思決定に紐づく法的・金銭的リスクに直面するため、この結果は懸念すべきだと述べた。
Fortune 1000企業のCISOの大多数(88%)は会社から法的に補償(免責)されているが、従業員500人以上の組織のCISOではこの割合が53%にまで低下する。RSAC(旧RSA Conference)の調査による。
取締役・役員(D&O)保険は両グループにとって最も一般的な補償手段であり、調査対象となったFortune 1000企業のCISOの70%が、この保険でカバーされていると回答している。
CM Lawの共同創業者であるKelly Rittenberry Culhane氏はCSOに対し、中堅企業であれ多国籍企業であれ、組織が直面するリスクは同様であることを踏まえると、この結果はセキュリティ責任者と中堅雇用主の双方にとって懸念材料だと語った。
「中堅企業では業務の複雑性や規模は異なるかもしれませんが、サイバーセキュリティのリスク――ランサムウェア、データ侵害、規制遵守の失敗――は同じくらい深刻です」とRittenberry Culhane氏は言う。「補償がなければ、CISOは個人責任を負うリスクがあり、それが高度な資格を持つ専門家がこうした役職を引き受けるのをためらわせる可能性があります」
その結果、中堅組織は、自社が雇用する最高セキュリティ責任者を個人責任から守ることを提供しないことで、より大きなリスクを自ら招いている。
CISO向けD&Oは増加傾向
CISOには複数のセーフティネットがあり得る。第一は、企業の補償(免責)条項――通常、会社の定款や細則に組み込まれている規定だ。
「会社の補償条項の文言は適切に作成されなければなりません。通常は法務責任者(ジェネラル・カウンセル)と取締役会の決議によって整備され、CISOに対しても他の取締役や役員と同等の補償を提供できるようにします」と、雇用慣行賠償責任保険の提供者であるWorld Insurance AssociatesのJohn Peterson氏は説明する。
CISOにとって第二のセーフティネットは、保険ブローカーを通じてCISOの所属企業が手配するD&O賠償責任保険だ。Peterson氏は、企業がD&O保険を導入している場合でも、CISOが「被保険者(insured person)」としてカバーされていることを確認するため、保険契約を見直すよう助言している。
最新のIANS Research + Artico SearchのCISO報酬レポートによると、D&O保険契約にCISOを含める動きが増えている。
同調査の2025年版によれば、米国とカナダのCISOの50%以上が、報酬パッケージの一部としてこの保険給付を受けている。この割合は、前年版のCISO報酬レポートで同様の保護を受けていると回答した40%から増加している。
また、CISOの5人に1人は、調査や監査のために外部弁護士を利用できるとIANS Researchに報告している。
補償(免責)をめぐる問題
しかし、保険ブローカーMcGill and Partnersの米国サイバー部門リーダーであるRyan Griffin氏は、D&O保険と直接の補償(免責)契約の違いがしばしば誤解されていると指摘する。
「CISOを守るうえで最も重要な手段は、雇用主との補償(免責)契約です」とGriffin氏は説明する。「D&O保険は、会社が役員を守るための費用を支払う方法ですが、補償(免責)契約こそが、その保護を法的に実際に保証するものです」
正式な補償(免責)契約がなければ、CISOは大きなリスクにさらされるとGriffin氏は警告する。
「その場合、法的防御費用を自分で負担することになり、個人の貯蓄や個人向けのアンブレラ保険に頼らざるを得ません」とGriffin氏はCSOに語った。「金銭的打撃にとどまらず、キャリアが深刻に損なわれる可能性があります」
Griffin氏はさらにこう付け加える。「たとえ最終的に棄却されたとしても、執行措置が取られれば、上場企業の役員としての就任を何年も禁じるような制裁につながり得ます。これは将来の就職見通しを深刻に制限します」
責任の押し付け合い
この問題の中心には説明責任もある。ほとんどの場合、「セキュリティの責任者」と見なされる人物の肩にのしかかると、RB-Cyber Assuranceの社長兼共同創業者であるKenrick Bagnall氏は述べる。
「それがFortune 500企業のCISOであれ、従業員100人の製造会社で唯一のITディレクターであれ、何かがうまくいかなければ、誰かが説明しなければなりません」と、トロント警察の元刑事であるBagnall氏は言う。
多国籍企業と中堅企業の違いは、リスクの露出ではなく、リソースだとBagnall氏は言う。
大企業のCISOは、法務チームや危機対応PRアドバイザーにアクセスでき、身を守る助けを得られることが多い。一方、中堅企業では、1~2人(場合によってはそれ以上)が、コンプライアンス、IT、セキュリティといった複数の役割を兼務していることが少なくない。
これは問題になり得る。というのも「規制当局、顧客、さらには裁判所でさえ、会社が小さいからといって期待値を下げてはくれない」からだとBagnall氏は言う。
「法的保護がなければ、CISOは重大な個人的・職業的リスクに直面します」とBagnall氏は述べた。「自分のコントロール外にあるシステム的な失敗の責任を負わされることがあります――例えば、更新予算が確保されないまま放置されたレガシーシステムや、『業務の妨げになる』としてセキュリティ対策の導入を拒む事業部門などです」
SolarWinds事件はなお影を落とし続ける
SolarWindsのCISOであるTimothy Brown氏が投資家を誤導し、同社のサイバーセキュリティ対策を正確に報告しなかったとする疑いをめぐるSECによる2023年の訴訟は、決して孤立した事例ではない。この注目度の高い訴訟が最終的に棄却されたことで、CISOがセキュリティ事故で個人責任を問われ得るという多くの人々の差し迫った不安は和らいだものの、この問題は決して過去のものにはなっていない。
「サイバーセキュリティ責任者は、侵害とインシデント対応の扱いについて、ますます説明責任を問われています」とCM LawのRittenberry Culhane氏は言う。「規制当局、株主、裁判所は、善意で行動していた場合でさえ、訴訟でCISOを名指ししています」
中堅企業は法務・コンプライアンスのリソースがより限られる傾向があり、中堅企業で働くセキュリティ専門職にとって、補償(免責)保険は潜在的なセーフティネットとして一層重要になる。
「D&O保険は常に取得すべきですが、それだけではすべてのリスクをカバーできないこともあります」とRittenberry Culhane氏は言う。
リスク管理と保険に関して企業へ助言する業務を専門とする、元ジェネラル・カウンセルの弁護士であるRittenberry Culhane氏は、CISO向けのベストプラクティス・チェックリストを提示した。
- D&O保険でCISOがカバーされていることを確認する
- サイバー関連の請求に関する補償限度額と免責・除外条項を確認する
- CISOおよびセキュリティ責任者向けの補足的な補償(免責)契約を検討する
- 補償(免責)条項を、インシデント対応および開示ポリシーと整合させる
詳しくは「個人責任への対処:データ侵害後のCISO向け提言」を参照。
ガバナンス構造の見直しが必要
RB-Cyber AssuranceのBagnall氏によれば、CISOの役割は、それを保護するガバナンス構造よりも速いスピードで進化してきた。
「私たちは今、セキュリティ責任者に、戦略家、技術者、危機対応者、そしてスケープゴートという複数の役割を求めています」とBagnall氏は言う。「組織、特に中堅組織がそれを認識し、それに見合った法的・契約上の保護を整備するまで、優秀なリーダーがこうした役職を引き受けるのをためらう状況は続くでしょう。その結果、あらゆる規模の組織が、必要とする適切な技術および情報セキュリティの助言を得られなくなります」
「CISOはネットワークを守っているだけではありません――企業の評判、信頼、そして未来を守っているのです」とBagnall氏は付け加える。「その責任には保護がふさわしい」
