CISOは近いうちに、チーフ・トラスト・オフィサーという新たな同僚を隣に迎えることになるかもしれない。
Watchara Ritjan – shutterstock.com
ますます多くの企業が、事業における差別化要因として「信頼」を前面に押し出している。データ侵害、製品安全性への懸念、人工知能に関する不確実性により、顧客の信頼はここ数年で大きく損なわれてきた。
Edelmanの「Trust Barometer 2025」によれば、信頼は全般的に揺らいでおり、とりわけ企業や経営層に対する信頼が低下している。
しかし、企業がチーフ・トラスト・オフィサー(CTrO)という新たな経営職を設けることで、状況は変わる可能性がある。効果を発揮するには、この職位は単なる「名称を変えたセキュリティ責任者」にとどまらず、測定可能な成果と具体的な改善を示せなければならない。
いまCISOにとっては、CTrOがセキュリティとどのように関わるのかが問われている。この職位は、彼らにとって次のキャリアステップになり得るのだろうか。
おすすめ記事:CISOの新しい職務像
チーフ・トラスト・オフィサーとは正確には何か?
CISOという機能は、セキュリティに対する責任を制度化するために生まれた。最初は金融サービス企業やテクノロジー企業の内部で確立され、その後ほかの業界へと広がっていった。
同様に、チーフ・トラスト・オフィサーという機能も約10年前に登場した。Forresterによれば、製品やプラットフォームの安全性について監視が強まる中、B2Bソフトウェア企業やテクノロジー企業が先導したという。
過去10年で、プライバシー、セキュリティ、コンプライアンス、リスク管理、AIに関する圧力は強まってきた。これに対応して、一部の企業は「信頼」を制度化するため、責任を単一のCスイート職に集約している。
Forresterのレポートによると、世界で既に16社がチーフ・トラスト・オフィサーを置いている。主にAtlassian、Salesforce、NinjaOne、SAPといったソフトウェア/テクノロジー提供企業が含まれる。CTrOの在任期間は6カ月から5~6年まで幅がある。
Gongのチーフ・トラスト・オフィサーであるChris Peakeは、SmartsheetでCISOを務め、ServiceNowでDirector of Trust and Customer Securityを務めた後、約3カ月前からこの職に就いている。彼は、この役割を銀行・金融分野に起源を持つ職務の発展形だと捉えている。
Forresterはこの職位を、「企業の信頼へのコミットメントを、真正で意図的なものとして形づくる責任を担うこと」と説明している。
Peakeにとっては、プライバシー、責任あるデータ取り扱い、そしてオープンさが役割の中心にある。特に、AIモデルをどのように学習させ、どのように保護するかという点が重要だ。「私たちは透明でなければならない。うまくコミュニケーションしなければならない。たとえばAIでは、これらのデータをどう扱うのか、モデルをどう学習させるのか、どう保護するのかが問われる。したがって、これらの領域における透明性とコミュニケーションは決定的な柱だ」
CISOとCTrO:機能するパートナーシップのモデル?
顧客、パートナー、規制当局がより高い透明性と安全性を求める中、CTrOの役割を担う人々は、信頼の構築こそが答えだと述べている。担当領域は、セキュリティ、プライバシー、コンプライアンス、倫理、顧客セキュリティ、社内文化に及ぶ。
一般に、CISOは引き続き統制と防御を担い、チーフ・トラスト・オフィサーは評判、倫理、顧客の信頼を担う。サイバーセキュリティがCTrOの配下に置かれる場合、IT部門やCIOとの優先順位競合から距離を置ける可能性がある。Forresterは、このパートナーシップによってセキュリティが「ノーと言う部門」からビジネス加速要因へと再定義されると指摘する。
ZendeskのChief Trust and Security OfficerであるVinay Patelも、この役割が信頼を事業戦略と整合させる点に同意する。「CISOはシステムを守る。チーフ・トラスト・オフィサーは信頼を守る。一方は企業を守り、もう一方はその信頼性を守る」
さらに難しいのは、CTrOが厳しい時代における信頼の責任を負うことだ。信頼は売上と評判の問題になっている。Patelは、顧客の信頼と事業戦略の強い整合が決定的だと強調する。「市場で、パートナーや顧客からの信頼性を失えば、事業戦略は最初から失敗する運命にある」と彼はCSOに語っている。
CISOの日々の業務には、SOCの確認、アラートのチェック、GRC、ほかのセキュリティ運用の管理、取締役会への報告などが含まれる一方で、Patelによればチーフ・トラスト・オフィサーの役割は一貫して顧客の信頼と結び付いている。「意思決定にこの信頼の視点を組み込み、同僚やパートナーにも同じように考えることを促すのです」
Patelの二重の肩書は、プラットフォームの安全性と顧客データの誠実な管理の双方を同等に重視していることを示している。「システムをしっかり守れていることを示すだけでなく、この顧客の信頼を毎日あらためて獲得し、更新していくことがいかに重要かを明確にすることも重要でした」
Gongのモデルでは、ITとセキュリティを単一のTrust Officeに統合し、CISOはPeakeにレポートする。彼の担当は、製品セキュリティ、コンプライアンス、セキュリティ運用(インシデント対応など)、そして顧客と直接やり取りする現場のセキュリティ担当者チームの統括を含む。
このパートナーシップモデルは、複雑な技術的保証を企業レベルの信頼へと変換し、インシデント時にも透明性と共感を通じて迅速に信頼を回復するのに役立つ。
Peakeは自らのアプローチを、協働的で対外志向だと説明し、信頼機能を顧客、営業、技術チームの間の橋渡しとして位置付けている。顧客の期待と、企業のセキュリティおよびAIの実践をつなぐ「連結点」として機能するのだ。
その際、彼は従来のセキュリティやコンプライアンスを超えて、顧客が信頼できる安全で安定し、レジリエントなプラットフォームを作ることに注力している。「企業を信頼すれば、また戻ってきます。つまり、ビジネスの促進と顧客の信頼の間には明確な関係があるのです」とPeakeは言う。
ZendeskのCTrOは、この役割がコンプライアンスを超え、信頼という人間の感情に触れるものだと考えている。「それは指標からではなく、顧客とのつながりから生まれるのです」
しかし、制度としての信頼を担うことはどれほどリスクがあるのか。Peakeはこの役割の重圧と可視性を自覚しており、危機の時にはCTrOが「誠実さの守り手」になると語る。
信頼をどう運用に落とし込み、空虚な「信頼アピール」を避けるか?
組織が信頼をどのように運用(オペレーショナライズ)するのか、そしてそれは測定できるのかという問いもある。完成されたプラットフォームは存在しないため、CTrOは顧客と従業員の指標を組み合わせた独自のダッシュボードを作る必要がある。そうすることで傾向を追跡し、信頼低下の早期兆候を捉えられる。
Peakeは、この肩書を流行やハイプとして扱うことに警鐘を鳴らす。「証明は私たちの振る舞いと行動に現れるでしょう。信頼そのものを測ることは避け、代わりに指標に注目したい。私たちが信頼に値するかどうかを示すのは、そうした指標です」
彼は、顧客感情、プラットフォームへの信頼、顧客維持を、信頼の確かなシグナルとして用いている。「それは顧客感情の低下として現れたり、顧客がプラットフォームをどれだけ信頼しているか、あるいはセキュリティ懸念が新規顧客獲得の妨げになっているかといった形で現れます」とPeakeは言う。
Patelは、責任あるAIガバナンスのような堅牢なプロセスや、AIの信頼とガバナンスに関するISO 42001認証、AI向けCSA STARへの取り組みといった外部ベンチマークによる検証に注力している。「これらは、顧客やステークホルダーが、企業が強固なセキュリティプログラム、あるいは強固なAI信頼・ガバナンスプログラムをどの程度備えているかを評価するための標準的な物差しを提供します」
Forresterも、実質的な変化なしに肩書だけを導入することへの警告を発している。同アナリスト企業によれば、真の説明責任には、経営層の支援、整合したインセンティブ、そして言葉を測定可能な行動へと変えるための取締役会による監督が必要だという。
場合によっては、企業がインシデント後に信頼責任者のポジションを設け、顧客やより広い市場に対して「信頼を重視している」ことを示そうとする。しかし、評判を急いで示そうとするあまり、新しい肩書を追加するだけでは不十分で、さらに踏み込む必要がある。Peakeは、企業が答えるべき本質的な問いがあると言う。「信頼される企業であるための根本的な必要条件は何か。顧客にとってそれが何を意味するのか、そしてそのギャップをどう埋めるのかを考えなければなりません」
取締役会はどう関わるのか?
Edelmanのレポートが指摘するように、信頼の水準が高いほど経済的成果が良く、幸福度も高まるため、あらゆる組織は信頼の再構築に取り組む必要がある。すべての企業が役割を果たさなければならず、それはトップ主導でなければならない。
信頼を企業の基本的価値に据えるのであれば、チーフ・トラスト・オフィサーの役割は取締役会に対して可視であり、説明責任を負う必要がある。Forresterの調査では、多くのCTrOがCEOに直接報告し、しばしばセキュリティ、プライバシー、コンプライアンスを統括しており、CISOはその配下に置かれるか、並走する形になっている。
経営レベルに信頼を位置付けることは、それが単なる技術課題ではなく戦略的テーマであることを示すシグナルとなる。
「取締役会とコミュニケーションするとき、私は顧客の信頼に影響する事柄について話します。これらのポイントのほうが、修正した脆弱性の数や、CISOが取締役会向けに翻訳しなければならないその他の技術的事実よりも、経営陣が施策を理解する助けになります」
チーフ・トラスト・オフィサーはCISOの次のステップなのか?
初期のCTrOの多くは元CISOであり、Forresterによれば、これはセキュリティとコンプライアンスから評判と倫理へと重心が移っていることを示唆している。この職位はCISOの基盤の上に成り立つが、純粋なリスク低減よりも、共感、コミュニケーション、顧客の代弁といったより広い焦点を求める。
企業が信頼できるAIと責任あるデータ取り扱いによって差別化を図るにつれ、CTrOはCISOと同じくらい一般的な存在になる可能性がある。Peakeは、特に顧客の関心事がAIとデータ管理に集中する中で、信頼がビジネス関係の基盤になると考えている。彼はこれをセキュリティ責任者にとっての「進化的な一歩」と呼び、長年の顧客対応経験のおかげで自然な移行だったと述べる。
一部のCISOは、正式な肩書がなくても、外部ステークホルダーと協働し、部門横断のリスクプログラムを主導することで、事実上トラスト・オフィサーとして機能している可能性がある。しかし、この肩書は単なるCISO職の言い換えであってはならない。
Patelは、CISOがチーフ・トラスト・オフィサーの役割をキャリアステップというより、企業戦略により大きな影響を与える機会として捉えるべきだと訴える。「それは考え方の変化です。既存のCISOにそれが響くなら、それは天職のサインです」(jm)
おすすめ記事:CISOからChief Risk Architectへ
