CISOが退職？ それなら次の人を探そう――メンタルヘルスを軽視する企業の末路：CISOとメンタルヘルス【後編】

セキュリティ部門の意思決定を担うCISOが燃え尽き状態に陥ると、企業は人材だけではなくさまざまなものを失うことが調査から分かった。CISOのメンタルヘルスを維持するために取るべき対策を紹介する。

[Rosa Heaton，TechTarget]

　メンタルヘルスの調子が悪くなり、バーンアウト（燃え尽き症候群）に陥った従業員が常に複数人いる企業は、業務生産性が低下し、その結果として経営コストが増大する傾向にある。中でもサイバー攻撃の最前線に立ち、企業の安全を担う最高情報セキュリティ責任者（CISO）のバーンアウトは、企業の経営にリスクをもたらし得る重要な問題だ。

　本稿は、CISOのバーンアウトが企業に与える影響と、それを避けるための具体的な取り組みを紹介する。

CISOを燃え尽きさせないための具体的な対策は？

併せて読みたいお薦め記事

連載：CISOとメンタルヘルス

• 前編：予算も会話も足りない――CISOのメンタルを窮地に陥れる現場の“リアル”とは

CISOが知っておくべき脅威のトレンド

• “どれが危険か”ではなく「SaaSそのものが致命的」　金融CISOが衝撃の一声
• 被害に遭った企業がそっと教える「内部脅威対策」でやるべきことはこれだ

　米国の研究グループの調査によれば、バーンアウトや業務への無関心は、従業員個人の問題にとどまらず、経済的な損失につながる。健康保険の費用は、通常の平均的な金額の0.2倍から2.9倍まで膨らむという。バーンアウトに陥った管理職が1年間勤務している場合、企業は1万ドルの損失を被る可能性がある。2025年4月発行の医学雑誌『American Journal of Preventive Medicine』に掲載された論文「The Health and Economic Burden of Employee Burnout to U.S. Employers」で明らかになった。

　このようなリスクに対処するには、CISOのバーンアウトの予防に予算を投入することが不可欠だ。以下に具体的な施策を紹介する。

施策1．経営支援を分担する

　セキュリティに関する責任をCISOだけに負わせるのではなく、他の経営幹部を含む企業全体で分担する体制を構築する。これによって、CISOへの過度なプレッシャーを軽減し、経営に関わる意思決定を迅速化できる。

施策2．メンタルヘルス関連施策に投資する

　カウンセリングサービス、リーダーシップ研修、健康増進ツールといったメンタルヘルス関連のサービスに投資することで、従業員は企業から大切にされていると感じることができる。それが従業員の定着率の向上、包摂的な企業文化の醸成、従業員の忠誠心の向上に結び付く。

施策3．必要なセキュリティ予算を確保する

　十分な予算がない企業ではバーンアウトが発生しやすい。市場調査に関する業界団体Insights Associationの調査によると、バーンアウトの主な要因として回答者の45％が「予算不足」を挙げた。十分な予算を確保することで、必要な業務ツールや機材、人材を確保し、生産的な業務遂行が実現できる。この調査は2023年10月、Insights Associationの会員および調査業界で働く413人に対して実施した。

施策4．セキュリティリスクを定量的に説明する

　CISOがサイバーセキュリティに関する判断を経営陣に説明する際に、セキュリティリスクを金銭的な損失や利益に換算して伝えられるよう支援することが重要だ。これによって、CISOが意思決定を進める際の根拠と権限を明確化できる。

施策5．CISOの役割を明確化する

　CISOの役割や権限に曖昧さや不足があったり、過剰な業務負荷があったりした場合、バーンアウトが発生する恐れがある。CISOが担う役割と期待値を明確に定義することで、CISOが自信を持って職務を遂行できるようになる。

なぜCISOのバーンアウト対策が重要なのか

　CISOがその能力を十分発揮するには、ワークライフバランスとメンタルヘルスの両立が欠かせない。セキュリティリスクが常に存在する現代において、CISOの責務はかつてないほど重要性を増している。

　CISOは企業全体に影響する重大な意思決定を下せる立場にある。そのため、健全な精神状態で業務に取り組むことが求められる。バーンアウトに陥った状態では、転職が頭をよぎるCISOが存在する可能性もある。CISOが離職すれば、企業は混乱状態に陥る。

　バーンアウトに陥ったCISOが、脆弱（ぜいじゃく）性を見落としたり、予防可能なセキュリティインシデントの発生を食い止めることができなくなったりする恐れもある。IBMの年次レポート「Cost of a Data Breach 2024」によると、2024年に企業で発生した機密情報の漏えいによる平均被害額は488万ドルだった。企業に対する評価の維持、離職率や人件費の抑制には、CISOの健全な働き方を支援することが不可欠なことが分かる。レポートの調査は、IBMの委託で米調査会社Ponemon Instituteが実施した。

持続可能なセキュリティリーダーシップの構築

　CISOの健全な働き方に配慮する企業は、優秀なセキュリティ人材を獲得し、定着させやすい。その結果、リーダーシップの欠如によるセキュリティインシデントのリスクも低下する傾向にある。セキュリティ施策と経営目標の連携が強まれば、セキュリティが経営課題として位置付けられるようになり、セキュリティ施策の継続性を確保することもできるようになる。

　CISOが持続的に働けるようにするための施策は、人事部門だけの問題ではなく、経営戦略上の最重要課題だ。セキュリティ上の脅威の高度化が進む中、CISOの健全な働き方の推進は、事業継続性、法令順守、株価に直結する戦略的優先事項だと捉える必要がある。