なぜ経営者にリスクが正しく伝わらないのか？ セキュリティリーダーに必要な“コミュ力”を磨こう：Cybersecurity Dive

セキュリティやリスク責任者がデータに関するリスクを意思決定者に正しく伝えるためにすべきことは何か。コミュニケーションが効果的に機能するための3つのステップを紹介しよう。

[Joerg Fritsch，Cybersecurity Dive]

編集部注：ヨルグ・フリッチ氏は、データセキュリティとクラウドセキュリティを専門とするGartnerのバイスプレジデントアナリストである。

　企業におけるデータセキュリティの役割は大きく変化している。特に、AI（人工知能）や高度なアナリティクスイニシアチブを巡る競争の圧力が高まる中、ビジネスリーダーはしばしば、関連するリスクを認識したり評価したりすることなくデータを活用している。

　データリスクに関して、ビジネスの利害関係者はしばしばセキュリティインシデントに対する責任感に欠けており、財務や評判に対する潜在的な影響を完全に理解していない場合がある。これらの責任の欠如によって、データのセキュリティリスクを適切に管理するためのインセンティブが働かない。

意思決定者にデータリスクを正しく伝える3つの“コミュ力”

　セキュリティやリスクを管理するリーダーは、組織のデータリスクを最も包括的に認識しているが、自分たちの主張を伝えて最終的な意思決定に影響を与えることは難しいと感じることがよくある。

　重要なメッセージを意思決定者に確実に届けるためには、情報をビジネス向けに再構築する必要がある。データリスクに関するコミュニケーションは、客観的かつ実用的で、組織における最善の利益に明確に焦点を当てたものでなければ効果がない。

　セキュリティやリスクに関するリーダーは、効果的なデータリスクコミュニケーションのために以下のベストプラクティスに従うべきだ。

ステップ1：聞き手を引き込む

　リスクコミュニケーションは常にストーリーに沿って進めるべきだ。強力なフックとして機能するステートメント（方針）から始まるストーリーを用意し、聞き手の注意を引き、さらに知りたいと思うように働きかける。

　例えば利害関係者にデータ共有の必要性の高まりとビジネス上のメリットを思い出させる方法もあるだろう。

　多くのコミュニケーションは「なぜ私がこの内容に関心を持たなければならないのか」と人々が黙って考えるところから始まる。導入部では、コミュニケーションの目的を聞き手に伝えよう。コミュニケーションの対象やリスクに関する簡単な概要、期待される結果を提供するのだ。

　聞き手の役割を簡潔に説明し、聞き手が関わる必要がある理由を伝え、データリスク管理に関する組織の義務を説明することで、聞き手の立場を理解している旨を確認する。

　そして導入部を仮説またはテーゼステートメントで締めくくり、残りのコンテンツを説明する舞台を整える。リスクステートメントを繰り返し、リスクの潜在的な影響と発生の可能性に関する詳細な説明を加える。コミュニケーションの目的を明確にするのだ。

ステップ2：話を聞いてもらう権利を得る

　リスクの概要を説明してコミュニケーションの目的を説明した後、提示するリスク情報がどのように収集され、誰によってレビューされたかを要約する。これによって聞き手に対して、事実を正しく伝えるために全力を尽くしていること、重要な利害関係者を巻き込んでいることを示せる。

　データリスクを評価するために、信頼できる安全な事実としてどのような情報がベースとして使用されたかを説明する。誰がどのような情報を提供したかを明らかにし、それらがデータリスクに関する推奨事項の検証にどのように使用されたかを明示する。

　例えば個人データのコンプライアンス要件に関する情報を得るためには法務部を巻き込む必要があるだろう。

　内部の貢献者だけでなく外部の専門家やデータセキュリティおよびプライバシーに関する参考情報もクレジットに記載する。上司の誰が情報をレビューしたのかも説明する。

　リーダーは完全かつ承認されたリスク評価に対して、CDAO（最高データアナリティクス責任者）の署名があるカバーシートを用意できる。

　最後に、コミュニケーションを通じて何を達成しようとしているかを聞き手に明確に伝える。議論の結果としてビジネスへの影響を説明し、聞き手に対してプロセスや行動を変更するために必要な動機を与える。データリスクに関する説明の責任と行動の責任を明確にするのだ。

　リスクが重大であればあるほど、あるいは提案された対策計画が必要とする投資の影響が大きければ大きいほど、事前のコミュニケーションはより広い範囲で実施する必要がある。

ステップ3：リスクストーリーを伝える

　設定を確立し、事実を検証し、改善するために使用するプロセスを特定したら、実際に「リスクストーリーを伝える」ことが可能となる。リスクストーリーはリスクコミュニケーションの本質である。

　まずは組織の文化に合わせることから始めよう。同僚と共感できるコミュニケーションスタイルで実施することで、リスクコミュニケーションは最も効果的に機能する。組織のリスク許容度を考慮し、組織特有の事例を活用して聞き手を引き込むのだ。

　リスクコミュニケーションの目的に合ったストーリーを構築し、メッセージが一般的なレベル、技術的なレベル、マネジメントレベル、エグゼクティブレベルのそれぞれの聞き手の共感を得られるようにする。聞き手に直接向けられた明確なメッセージによって、将来の行動として必要な項目が確実に理解され、受け入れられるようになる。

　理にかなったストーリーは、聞き手を引き付け、メッセージを正しく着地させることにつながる。順序は首尾一貫する必要があり、聞き手の興味や関心を満たすものでなければならない。

　曖昧なトピックについて効果的なディスカッションをすることは非常に困難だ。効果的なデータリスクに関するディスカッションを実施するには「脅威が何であるか」「その脅威がどのように実現される恐れがあるのか」「その結果はどのようなものか」「その脅威はどれくらいの頻度で発生する恐れがあるのか」そして「それに対してどのような対策を講じられるか」を明らかにする必要がある。

　例えば以下のようなアウトラインは、明確で適切なデータリスクのストーリーを提供する。

• 脅威エージェントの特定から始める。「私たちは内部に問題を抱えている」
• 脅威のシナリオやメカニズムを解明する。「当社のデータレイクにある機密性の高いビジネス情報が、犯罪者のストレージデバイスにあることを法執行機関が発見した。当社に脆弱性があることを示す兆候はなく、意図的に流出させられたものに違いない」
• 結果の概要。「プライバシー侵害としてアメリカの司法長官に報告するため、顧問弁護士を関与させる必要があるだろう」
• 発生頻度を推定する。「発見された情報が複数の四半期に及ぶため、内部関係者は定期的に機密データを売却しているようだ」
• リスクを明示する。「情報漏えいの原因を特定できなければ、機密データは定期的に売却され、組織の評判と収益に影響を与えるだろう」
• 対応計画を提案する。「監視を強化するか、データウォーターマーキングを導入するかの選択肢がある」

　この際、明確や正確、完全、簡潔、具体的、論理的、礼儀正しさという7つのコミュニケーションの基本を忘れないようにしよう。常にコミュニケーションが双方向のチャネルを提供して、聞き手が反応できるようにする。聞き手が質問をする機会を提供して、主題を具体的にするよう心掛ける。

　特定の結果に焦点を当てるのではなく、意思決定プロセス自体に焦点を当てることなど、フラストレーションの原因となる一般的な方法を避ける。

　脅威やリスクが特定されると、組織は現状を受け入れたりセキュリティリーダーの提案以外の行動をとったりすることがよくある。セキュリティリーダーの役割は、特定の脅威やリスクを組織に認識させ、情報を効果的に伝えて意思決定が実行されるようにすることであり、特定の結果を求めるためのキャンペーンを実施することではない。

原文へのリンク