JR西日本｢財務畑出身のCISO｣→しがらみのない改革､標的型メール訓練KPI｢報告率｣でお礼?高度IT資格取得で月1万円手当､"不合格でも受験料補助"

「『セキュリティ対策が必要なんです、しなければいけないんです』と伝えるだけでは、会社はリソースこそ出してくれるかもしれませんが、必ずしも共感されているとは思いません」と甲斐氏は指摘する。

自社をとりまく環境にどのような変化が起きていて、そのためにどういった戦略が必要なのかを伝え、それを実施するための盾としてセキュリティ対策を一緒に進める必要があることを伝えていくことが重要になるという。

資格取得者は月1万円の手当、「不合格でも受験料補助」

継続的な対策の実施には、人材育成も不可欠だ。同社ではその一環として、資格取得支援制度の拡充を図っている。一時金支給は2年前から、ITの高度資格取得者への月1万円の手当は今年度から開始された。特徴的なのは不合格でも受験料を補助することで、甲斐氏は「挑戦を応援する会社だと思います」と語る。甲斐氏自身も情報処理安全確保支援士を取得するなど率先して取り組んでいる。

（出所：「IT Report2025」10情報セキュリティ対策より）

「先日、京橋駅で駅員3人が情報セキュリティマネジメントの資格を取得していたことがわかり、非常に驚きました」と甲斐氏は振り返る。駅員がこの資格を取得するのは極めて珍しいため、直接現地を訪問してヒアリングを実施。1人の助役が率先して挑戦したところ、「私も私も」と周囲に広がり、相乗効果が生まれたという。この事例は社内研修でも紹介され、グループ全体のモチベーション向上に寄与している。

現場レベルでの意識向上が進む中、次の課題は組織としての継続性の確保だ。JR西日本では2009年からIT系総合職の採用を開始し、第1期生が現在40歳。早ければ30代後半で管理職層に到達している。現在は40代半ば以上の「会社に入ってから勉強した世代」と、40歳以下の「ITをしたいと思って入社した世代」に二分される。

「私たちの役目は、会社の未来を背負っていく世代に対して、しっかりとした環境を引き継いでいくことでもあります」と甲斐氏は語る。

インフラを担う企業にとって、セキュリティは単なるリスク管理ではなく経営戦略そのものだ。JR西日本が現場起点で磨いた体制づくりは、事業の継続性と成長を両立させる道筋を示している。

東洋経済Tech×サイバーセキュリティでは、サイバー攻撃、セキュリティーの最新動向、事業継続を可能にするために必要な情報をお届けしています。

著者フォローすると、酒井 麻里子さんの最新記事をメールでお知らせします。