イメージ:ISF

 

いきなり正義の話とはなんだ!などと、毛嫌いなさらないようにお願いします。こうした哲学系といいますか倫理・道徳に類する言葉は、どういう訳か実業界では長い間なおざりにされてきましたが、実は頭の整理に使える便利な道具だと私には思えるのです。

哲学の入り口:サイバーセキュリティは何のため?

日本企業の経営者は、どのような意識をもって、サイバーセキュリティ対策の推進を社内に指示しているのでしょうか? 事業連携先に迷惑を掛けない、という日本的な社会性の文脈に立脚しているのでしょうか? それとも、平均よりも対策が取れていないと、悪意のアクター達に狙われて足元をすくわれてしまう、という想定リスクシナリオが念頭にあるのでしょうか? あるいは、先進技術に関わっている企業経営者であれば、新しい技術をもっている人々と連携してイノベーションを育むためにこそ、サイバーリスクへの耐性が必要だと考える方も居られるでしょうか? いずれにしても、そこには何らかの価値判断、大げさに言えば哲学が作用しているはずです。

もう少し具体的なイメージに落として、たとえば自社への壊滅的な攻撃(Extinction Level Attacks*)の可能性を考えてみましょう。いきなり操業停止、ひいては資金繰りも…。考えるだけでも、ぞっとします。そういった仮想的な現実を想定してセキュリティ対策をしているのであって、哲学や連携先への義務なんぞ関係無い、ありうる苦痛を減らしたいからだ、というのも実は一つの哲学かもしれません(帰結主義?)。
(*ISFに”Extinction Level Attacks – A survival guide”という優れた手引書がありますので、自社単体については、この通りの「備え」があれば、まずは安心です。)

そうした壊滅的な事態を考えると、自社だけでも大変な話ですが、事業を連携して行っているグループ会社の中に、地政学的なリスクにさらされやすい事業を展開している海外事業がある場合などは、相当入念な戦略(と予行演習)が日本の親会社としても必要となってきます。グループ会社に、しっかりやっておくように、と言うだけでは心配ですし、一方で、親会社のセキュリティ・ポリシーを採択すればセキュリティの面倒も見てあげる、というのでは、健全経営ひいては「独立当事者間原則」(Arm's length rule)のような哲学にも反するようにも思えます。いったい、どういったサイバーセキュリティ・プロトコル(協約)を、どういう考え方で当事者間で結んでいけばいいのでしょうか。企業単体の話では収まらないサイバーセキュリティは、事業連携先との関係を考慮しなくてはならない問題です。根本的な哲学の話ではありますが、そうしたことに頭を悩ませたことはありませんでしょうか? 筆者には、こういう根本問題こそ時間をとって考えてみる価値があると思われてなりません。その方が、事業を連携する相手に対しても説得力のある正論として伝えられるからです。

哲学の道具:「正義」に三つの切り口

少し遠回りのようですが、哲学の一分野である倫理学の概念を借りて、強烈なサイバー攻撃への耐性、という問題を考えてみたいと思います。今回取り上げる道具としての概念は、『正義』です。

正義とは、社会における基本原理として確立されているものですが、分かり易い考え方は、「何かと何かの釣り合いを取る」というものです(「ふだんづかいの倫理学」平尾昌宏(2019)パート1 p.95以下参照)。ここでのポイントは、釣り合いを取るという理念は同じでも、そのアプローチに、三つのパターンがあるという点です(同書)。まずは、主に司法の文脈で使われる「調整の正義」という考え方、次に、政治を貫く「分配の正義」というアプローチ、そして、経済の領域でこそ生きる「交換の正義」というルールです。

1.罪には罰を:「調整の正義」

罪には罰を与えて、社会的な釣り合いを取るというのが、法律家の好きなアプローチで、「調整の正義」です。情報セキュリティの領域でも、個人情報保護法やGDPR(EU一般データ保護規則)などに代表される個人データを多く利用する企業の義務として体現されるものや、NIS指令(欧州連合加盟国に対するネットワークおよび情報システム指令)などのように社会インフラ事業者の義務として具体化されている法令などが例として浮かんできます。サイバーセキュリティや情報セキュリティでも、コンプライアンスは重要な領域であり、たとえ強烈なサイバー攻撃に遭遇したからといって、自社の復旧のみに専心せず、他社や個人への二次被害を防ぐ意味でも、通報などの義務が時間を区切って課せられ、社会の構成員として社会的なバランスを可能な限り維持することが要請されているわけです。そして違反したら罰則があります。

2.税金としてのサイバーセキュリティ投資: 「分配の正義」

税金は、政治プロセスの中で、社会全体で必要とされるものをおカネという形で徴収し、再分配する仕組みですが、その釣り合いが取れているかどうかが、「正義」が実現されているかどうかという評価に帰結します。

先日、とある日本の国際企業グループのCISOのお話を伺っていましたら、まさに「分配の正義」の具体例となる「税金」の考え方が出てきました。同社は、国内外に多くのグループ会社がありますが、所在国も事業の種類も多く、セキュリティリスクも多種多様です。そこで、セキュリティのミニマムスタンダード(中核規範)ではグループ共通の脅威耐性を獲得するための支出として国税のように義務化し、さらに個別各社で上ブレする固有のリスクに対抗するための投資額は対話により予算化を調整する、二階建てのプロトコルでセキュリティ対策に必要な投資が行われるようにしているとのことです。つまり、合意された算定方式で各社のリスクの多寡に応じて必要なセキュリティ投資額を弾きだし、「税金」として徴収する各社からの親会社宛て配当金から投資に見合った額を割り引くことで、個社において過不足なくセキュリティ投資が行われるようにしている、というのです。

このプロトコルが説得力を持つのは、「分配の正義」に関する政治的決定が、論理的であり、かつ透明性が高いからに違いない、と感じ入りました。