カンタスのCEO報酬削減、サイバー責任の新時代を示唆

9月初旬、オーストラリアのカンタス航空の取締役会は、6月30日のサイバーインシデントで約600万人の乗客の個人情報が漏洩したことを受け、CEOのヴァネッサ・ハドソン氏をはじめとする幹部に対し、ボーナスから80万豪ドル（52万2,000米ドル）を差し引く処分を決定しました。

サイバーセキュリティ侵害を理由に取締役会がCEOへの報酬を差し止めたことが公になったのは、2017年のYahooの取締役会がCEOマリッサ・メイヤー氏に対し、10億人以上のユーザー情報が流出した複数の侵害対応の不手際で200万ドルのボーナスを支給しなかった時以来です。

カンタスの取締役会の判断が、CEOに対するサイバーセキュリティの財務的責任を問う新時代の到来を示すものであれば、CISOにとって歓迎すべき変化だと専門家は指摘します。

「取締役会がCEOや経営陣に財務的なペナルティを科したことは、サイバーセキュリティが今や非常に重要であり、全リーダーが共有すべき責任であるという新たな現実を取締役会が理解したことを示しています」と、Uberの元CISOであり、同社での侵害に関連して妨害などの罪で有罪判決を受けたジョー・サリバン氏はCSOに語ります。

「この事例は、責任の所在が組織の最上層に移ってきている一連のケースの最新例に過ぎません。取締役会によるこの自主的な対応は、セキュリティコミュニティから大きな注目と高い評価を集めています。私がロンドンやサンフランシスコで参加したセキュリティイベントでも話題になっていました」とサリバン氏は付け加えます。

法的措置や規制の強化もCEOへの責任転嫁を促進

CEOの報酬削減は、特にサイバーセキュリティインシデントに関しては、企業の取締役会にとって非常に珍しい措置です。カンタスの取締役会は声明で、「強い[財務]業績にもかかわらず、サイバーインシデントが顧客に与えた影響を考慮し、年間ボーナスを15ポイント減額することを決定しました。これは経営陣の責任を反映するとともに、顧客支援や追加保護策の継続的な取り組みを評価するものです」と述べています。

カンタスの会長ジョン・マレン氏は、CEOおよび経営陣が顧客支援に迅速に対応したことを強調しましたが、取締役会はこのインシデントが重大であり、財務的な影響を与えるに値すると判断しました。これは、CEOが組織のサイバーセキュリティ状況にもっと注意を払うべきだという、具体的な警鐘となることを意図しているのでしょう。

カンタスの決定は、政府機関や規制当局が侵害後のCEOへの法的ペナルティを強化する中で下されました。

例えば2022年、米連邦取引委員会（FTC）は、アルコール宅配サービスDrizly（現Uber Eats傘下）のCEOジェームズ・レラス氏に対し、適切な情報セキュリティ対策の実施・適用を怠った責任を個人に問いました。この失敗により250万人分の消費者情報が流出しました。（参考）

米証券取引委員会（SEC）が2023年に採択した新規則の下では、CEOやCFOが重大なサイバーセキュリティインシデントの監督・報告・正確な開示を怠った場合、個人・職業上の重大なペナルティを受ける可能性があり、SECは違反者に数百万ドル規模の罰金を科すことができます。

米国の州レベルでは、カリフォルニア消費者プライバシー法やニューヨークSHIELD法 などが、CEOに対してサイバーセキュリティのガバナンスや侵害対応の直接的な責任を課しています。EUでは、NIS2（ネットワーク・情報システム指令2）やDORA（デジタル運用レジリエンス法）の下で、CEOはサイバーセキュリティ規則違反に対し個人的に責任を問われ、重大なペナルティを受ける可能性があります。

「今後は、こうしたCEOの法的責任が増える方向にあるのは間違いありません」と、法律事務所Redgrave LLPのパートナーであるマーティン・タリー氏はCSOに語ります。「規制環境は今後も経営層にスポットライトを当て続けるでしょう。これは組織の最上層が真剣に受け止めるべき責任です。」

ポール・ミー氏（オリバー・ワイマンのパートナー）は、データ侵害後に公にならないC-suite（経営幹部）への影響がもっと多く存在する可能性があると考えています。「解雇されたり、昇進できなかったり、早期退職に追い込まれたりといった目に見えない結果もあり得ます」と彼はCSOに語ります。「メディアで『これが原因で解雇された』とセンセーショナルに報じられることは必ずしもありません。もっと微妙なやり方があり、私はそれを日常的に目にしています。」

CISOとCEOは今、何をすべきか？

歴史的に侵害や悪意あるサイバーインシデントの矢面に立たされてきたCISOは、この新たな傾向に注意を払うべきです。「現在の環境や期待、そして今後の方向性を意識してください」とRedgraveのタリー氏は言います。「それに先んじて行動することが重要です。取締役会や経営陣と協力し、これらの問題を非常に真剣に受け止めてもらう必要があります。」

また、ランサムウェア攻撃やサイバーインシデントによる企業への損害が増える中、外部投資家もCEOに対してより高い説明責任を求め始めています。「ベンチャーキャピタルを提供する企業や多くの買収を行う企業は、今やサイバーやプライバシー面でのデューデリジェンスを財務デューデリジェンスとほぼ同等のレベルで重視するようになっています」とタリー氏は述べています。

CEOについては、取締役会とより緊密に連携し、組織のデータ侵害やインシデント対応の手順を共有する必要があります。「取締役会は訓練され、実践し、リスクを十分に認識しておく必要があります。そうして初めて、実際に事態が発生したときに、対応するための経験やコミュニケーション能力が発揮されるのです」とオリバー・ワイマンのミー氏は言います。「それがなければ、事態は急速に悪化するでしょう。」

取締役会もまた、急速に学習曲線を上っているようです。「取締役会はこの問題をますます真剣に受け止めています」とミー氏。「私は多くの取締役会と接していますが、サイバーセキュリティは常にトップ3の議題です。今はAIが最重要かもしれませんが、サイバーセキュリティも非常に重要なテーマであり、これまで以上に取締役会での注目度が高まっています。」

今後、CEOと取締役会が進むべき道は、データ侵害の最終責任はCISOやセキュリティチームではなく、CEOにあることを明確にすることです。「これまでは、保護やリスク低減の大きな負担を、異なるバックグラウンドを持ち、必要な権限や影響力、ガバナンス能力を持たない個人（CISOなど）に過度に課してきました」とミー氏は述べます。

サリバン氏は「セキュリティチームだけでは攻撃者から会社を守ることはできません。なぜなら、会社の文化、リスク許容度、セキュアなシステムへの投資は、CEOによって集団的に定義されるからです」と語ります。