セキュリティ対策やオープン化は、多くの企業において利益事業ではなく、コストと認識されているのではないだろうか。CIOは、ITを用いた新事業の創造、事業構造の改善・改革・変革を実現する役割を担っている。一方、CISOは、企業における危機管理を実現する役割を担っている。CIOはCEOに相当し、車のアクセルにあたる。一方、CISOは監査役や社外取締役に相当し、車のブレーキにあたる。CEOが監査役であるということは、企業統治上あり得ないことである。しかしながら、CIOとCISOとが同一人物である組織は少なくないのではないだろうか。

　IoTは、すべてのモノがインターネットに接続されることが前提で、ネットワーク化を実現するためにシステムや構成機器のオープン化が行われなければならない。しかし、多くのIoTシステムは、他社の機器・システムとの相互接続性をもたない、あるいはインターネットへの接続を前提としない閉域システムとなっている場合が多い。一方、システムの発注者側は、十分な技術的知識や経験が不足している場合が多く、事実上、随意契約と同様の発注手順となってしまう傾向が強い。さらに、閉域システムを前提にするのでサイバーセキュリティ対策は、事実上行われない場合が少なくない。また、「サイバーセキュリティ対策を行うことで、システムの動作保証が不可能になる」といわれる場合もある。長期的な観点でみると、大きな「潜在的財務的負債」を企業財務に発生させることになる。潜在的財務的負債の低減に必要な投資額と効果の評価にもとづき適切な事業投資を行うことで、企業の財務的な危機管理を実現する役割をCISOや監査役は負っているのである。

　企業が生き残るためには長期的観点での企業統治を行い、潜在的財務的負債の低減に貢献するCISOの価値が認識されなければならない。インシデントの発生確率が小さくなることは、潜在的財務的負債の低減だけではなく、企業の信用度とブランドの向上につながる。サイバーセキュリティ対策やオープン化は、コストではなく、財務上は利益・資産を長期的な観点から向上させるものであり、企業統治において、非常に重要な投資案件であることが認識されなければならない。