今の時代に経営者が最重要課題として取り組むべき事とはなんでしょうか。

伊藤：近年、経営者にとって、どのように企業価値を高めていくかが最大のテーマの1つになっています。一般的には、損益計算書や貸借対照表（バランスシート）といった経済的価値だけを見て企業価値が計られているのですが、それだけでは不十分です。もちろん、業績を伸ばすことも手段の1つですが、実はバランスシートには載っていない無形の資産の価値を高めていくことが、企業価値向上の鍵になる。そのことが、さまざまな調査から明らかになってきています。

　いま、企業価値を大きく左右しているのは企業が持つ無形資産であり、中でもその大部分を占める「企業ブランド」です。企業ブランドという価値を高めることによって無形資産を常に良質な状態に保つことが、企業価値全体を高める上でとても重要な課題になっていると言えるでしょう。

「企業ブランド」について、もう少し詳しくお聞かせください。

伊藤：企業ブランドとは、顧客・取引先、株主、社員といったステークホルダーが抱くその企業の“心象風景”です。例えば富士通と聞くと、他社とは異なるある種の心象風景を抱きますよね。同様にA社ならA社の、B社ならB社の心象風景があり、それが他社と差別化する企業の個性であり、競争力であり、無形の大切な資産と言えます。この企業ブランドはお金では買えません。また、一朝一夕に構築できるものでもありません。それほどに重要な資産だということです。

　経営者として次世代にいったい何を残せるのか？　人材は数十年で入れ替わりますし、技術はすぐに陳腐化してしまいますよね。やはり強い企業ブランド、つまり無形資産の価値を高めて次世代に渡すこと。これが経営者の重要なテーマになってきます。

　しかし、日本の経営者の中では、企業ブランドの構築を「やれたらいいよね」程度にとらえている向きが少なくないように感じます。いま、無形の資産、その中心である企業ブランドをきちんとマネジメントし、価値を高めることは、経営者にとって欠くべからざるテーマです。そのことをしっかり認識すべきだと思います。

では企業ブランドは何によって決定、あるいは左右されるのでしょうか？

伊藤：企業ブランドにはさまざまな側面がありますが、「信頼性」は重要な要素の1つです。社内外のステークホルダーから信頼を得ることでブランドの価値は高まります。逆に、例えばその企業の情報管理がいい加減だと受け取られたら、強いブランドの構築は到底望めません。情報セキュリティは、その意味で企業ブランドの価値に直結しています。

　このことは、いくつかの実例でも明らかになっています。

　例えば、私たちが情報漏えいなどの事故を引き起こした企業を調査したところ、ある金融機関のケースでもサービス企業のケースでも、事故によって企業に対する信頼性が一瞬にして損なわれ、平均で25%以上の企業価値が毀損したことがわかったのです。25%ですよ。つまり、1,000億円規模の企業とすれば250億円が失われる計算です。

　これはネガティブな面ですが、ポジティブな面としては次のようなものがあります。ある業界で調査したところ、情報セキュリティへの取り組みを開示している企業の評価は、それを開示していない企業と比較すると大幅に高くなるということがわかりました。どの企業でも情報セキュリティ対策は講じているはずですが、それを明確に開示するか否かで、市場の評価に大きな差異が生じるということです。

　同様に、有価証券報告書に情報セキュリティ対策に関する取り組みや想定しうるリスクを公表していた企業としていない企業では、事故発生後の株価の回復率がまるで違う、ということも一つの例となるでしょう。想定リスク要因を事前に公表していた企業の株価は、事故直後は下落するものの、その後上昇基調に転じます。しかし公表していなかった企業の株価は下落し続け、なかなか回復しません。

 

しかし、企業ブランドを高める取り組みの1つとして情報セキュリティをとらえている経営者は、まだまだ少ないように思えます。

伊藤：大きな理由は、企業ブランドの価値向上という効果が見えていない、実感できないということでしょうね。これは警視庁による調査ですが、情報セキュリティ対策の効果として、「セキュリティ意識の向上やリスク管理についての認識の向上」を挙げる企業は多いのですが、「製品・サービスの質的な向上」や「受注につながる競争力の向上」を挙げる企業はほとんどありません。実際には信頼性という企業ブランド価値の向上を通じて、製品・サービスや競争力の向上に結びついているのですが、それが見えにくい、実感しづらいのです。

それでは、見えづらい企業ブランドをいかにしてマネジメントし、向上させていけば良いのでしょう？

伊藤：まず経営者自身が意識を変えていくことが必要でしょう。現在のブランド価値を毀損しない、もしくは更に一歩進めて向上させるということを、経営者の最も重要な使命として認識することが大切だと思います。

　もう1つは、顧客や株主、社員などのステークホルダーに自社の企業ブランドがどのように認識され評価されているのか、継続的に定点観測し、調査することが必要です。ステークホルダーという鏡に映して、自社の状況・状態を「見える化」するのです。その上で、ステークホルダーの認識や評価の変化に応じて、企業ブランドの価値向上のための施策を講じていく。強い企業ブランド構築のためのPDCAサイクルを回していくことが重要でしょう。

　当然、情報セキュリティへの取り組みもそのサイクルの中で位置づけ、評価していく必要があります。企業ブランドを毀損しない、高めたいという視点に立てば、情報セキュリティに対する意識も変わってくるはずです。

企業価値向上の観点から、いま企業が取り組むべき情報セキュリティのあり方とは。

　最近、企業では組織間での部分最適化が進行しつつあるように見えます。自分の部門さえ良ければという意識です。これでは強靱な競争力は生まれてきません。グループ全体のリスクマネジメントとして、効果的に情報セキュリティを推進する全体最適な情報セキュリティガバナンスの実践が重要になります。

　ここでもやはり「見える化」が鍵になってきます。企業のバリューチェーンの中でボトルネックや弱点、高リスクの部分を見つけ出すことが第一です。生産部門はハイレベルのセキュリティを講じているが販売部門は弱い。あるいは親会社は高いセキュリティで守られているが、ある子会社は水準以下というのでは役に立ちません。更に「見える化」した情報を社員に開示することも大切です。自分たちの部門がボトルネックになっているということがわかると、社員たちはなんとかしてその状況を打破しようという意識が高まるからです。

　経営者の間では、情報セキュリティをニッチなテーマととらえている傾向がいまだに根強くあります。実はそうではない。企業ブランドという無形資産をマネジメントして、最終的に企業価値を高めていくという視点から見ると、情報セキュリティは経営の根幹に関わる最重要テーマの1つです。

　情報セキュリティガバナンスという切り口で、組織自体の全体最適化を推進する、それによって企業ブランドの価値向上を図る。いま経営者にはそうした視点に立った取り組みが求められていると言えるでしょう。