ニュース
Ridgelinez、DX推進の必須課題「デジタルリスクマネジメント」に関する調査結果を発表
2021年3月26日 07:00
富士通の100%子会社であるRidgelinez(リッジラインズ)株式会社は、DX(デジタルトランスフォーメーション)を実現する上でのデジタルリスクマネジメント(DRM)に関する独自調査を実施。「DX推進の必須課題となるデジタルリスクマネジメントの要諦」としてまとめ、3月25日に発表した。
調査では、DRMの成熟度が高い企業は全体の15%にとどまったものの、DRMの成熟度が高い企業ほどDXプログラムの進捗が順調であり、「DXプログラムの進捗とDRMの成熟度には相関関係が見られる」と分析している。
DXのそれぞれのステージにおいて直面するリスクが変わる
同調査は、2020年10月に、売上高1000億円以上の企業に勤務し、DX推進におけるリスクマネジメントに関与している課長職以上の950人を対象に、インターネットを使って実施したものだ。
Ridgelinez プリンシパルの藤本健氏は、「DXへの取り組みが“まったなし”となるなかで、DRMの難しさが鮮明になっている。企業内や企業間のデータ流通を加速させる一方で、リスクへの対応が十分でないため、インシデントが発生し、ビジネスへの著しい影響が出ている例がある。また、工場内のシステムが感染し生産停止になるインシデントが国内外で見られている。さらに、GDPRをはじめとした規制への準拠もDXを推進する上で重要なテーマであり、経営レベルで取り組んでいく必要がある。このようにDRMは多岐に渡るものであることを理解する必要がある」と話す。
また、「DXのそれぞれのステージにおいて直面するリスクも変わることになり、パブリッククラウドを活用し、企業内や企業間のデータ流通を加速させると、データ保護のリスクが高まり、AIやIoT、5Gなどの新たなテクノロジーの適用によって、個別テクノロジーの脆弱性や未知の脅威にさらされるリスクが高まる。各企業はDXのどのフェーズにあるのか、どんなリスクに直面するのかといったことを認識し、リスク評価をする必要がある」と指摘した。
DRM成熟度が高い企業は15%にとどまる
調査によると、DRMプロセスの実施状況をもとにして算出したDRM成熟度が高い企業は15%、中間となった企業が11%、成熟度の低い企業が74%という結果になった。
このなかで、成熟度の高い企業のうち77%が、DX施策が計画通りか前倒しで進んでいると回答。成熟度の低い企業ではこれが45%にとどまり、計画遅延が52%、停止とした企業も4%に達している。
またDXにおいて重視するリスクでは、データ保護リスクが21%と最も多く、ビジネス変革リスクの14%、プライバシーリスクの13%、生産性低下リスクの12%、クラウドリスクの11%と続いている。「ITリスクに関する認識はあるが、倫理リスクやコンプライアンスリスクに対する認識が低い」とした。
DRMに対するプロセス整備状況では、整備しているとした企業が50%となったほか、責任者の配置については、専任者と兼任者をあわせて79%が配置していると回答。「専任者を配置して、プロセス整備を進めているという企業の姿が感じられる。だが、50%にとどまるプロセス整備状況は、DRMが浸透していないことの表れだといえる」とした。
その一方で、DRMへの取り組みが、企業の競争力に優位だと考えている人が、想定以上に多かったことも浮き彫りになった。「差別化による顧客の囲い込み、価格交渉力の向上につながる」との回答は48%に達し、「全社最適による投資効率向上」が40%、「コンプライアンス対応による信頼性向上」が37%などとなっている。
これらの調査結果から、Ridgelinezの藤本氏は、「国内企業のDRMへの取り組みはこれからであるが、データ保護などの領域でのリスクを認識していたり、これらの取り組みがポジティブに働くと認識していたりといった結果も出ている。今後、DXの取り組みが本格化するなかで、DRMへの取り組みがこれまで以上に進むことになるだろう」とした。
部門が協調しつつしつつ、漏れなく識別するリスクマインドの社内への定着が必要
また、目指すべきデジタルリスクマネジメントについても説明した。
ここでは、「データ保護リスク」、「新技術適用リスク」、「ビジネスモデル変革リスク」、「プロセス変革リスク」の4つのリスクを示し、「コンプライアンスやセキュリティ、ITなどの関連部門同士が協調しながら、幅広く、漏れなく識別するリスクマインドの社内への定着が必要である」と述べた。
「データ保護リスク」では、パブリッククラウドやAPI活用による、企業内や企業間のデータ流通が今後加速することで、データが脅威にさらされる機会が増えることから、デジタルエコシステム全体で、セキュリティやプライバシーのリスクへの対応が必要とした。
「新技術適用リスク」については、AIやIoT、5Gなどの新技術適用の際は、新たな脆弱性や未知の脅威にさらされるだけでなく、リスクの発現によるビジネスインパクトが大きいため、リスク評価実施するだけでなく、レジリエンス向上への取り組みも重要になるとした。
「ビジネスモデル変革リスク」においては、DXによるビジネスモデル変革において、従来の延長線上にはないビジネス環境や、業界を超えた環境に進出するため、新しいルールやセキュリティリスクを特定、評価した上で、リスクコントロールの実装およびモニタリングが不可欠であるという。
そして、「プロセス変革リスク」に関しては、RPAやAIなどのデジタルレイバー導入による自動化などでは、デジタルレイバーに適切に指示されないリスクや、関連システムの変更が連携されないリスク、不正アクセスなど、従来システムと同様にIT全般の統制による対応が必要であるとした。
Ridgelinezでは、これらを、DX推進がビジネスに影響を与えるリスク要因を整備した「デジタルリスクカタログ」と位置づけ、これをもとに、DXプログラムにおける想定リスクを網羅的に洗い出すことが可能になるとした。
さらに、この4つのリスクを抽出し、整理し、DRMを運用することが大切であると指摘。「DX施策のリスク評価、対応策の検討や優先順位づけ、ロードマップ策定、施策実行、モニタリングといった、リスクマネジメントプロセスを運用するなかで、最初のDX施策のリスク評価が大切である。初期段階でリスクを認識し、リスクコンロトールを日常的に行うことで、有事に備えてレジリエンシィを高めることができる」と述べた。
また「DRMにおいても、内部監査などに適用される『3線ディフェンス』が有効である。これにより、DXの信頼性を確保できる」とし、1線では、DRO(デジタルリスクオフィサー)などによるDX推進部門がリスク評価や対応策の検討、ロードマップの策定などを行い、それに対して、2線のリスク管理部門がレビューやモニタリングを実施。3線の内部監査部門が、レギュレーションやルールの観点からガバナンスを強固なものにするという体制づくりを推奨した。
その一方で、二重、三重のリスクマネジメントによって、DXの推進にブレーキがかかるのではないかといった懸念についても触れた。
だが、藤本氏は、「DXにおけるリスクへの向き合い方は既存のビジネスとは異なる」とし、「未知の領域に挑むからこそ、全体でリスク評価をする必要がある。そして、リスクが顕在化した際には、速やかに対応していくことが必要である」と述べた。
DROはDX施策を止めるためではなく加速するための役割を担うもの
続けて藤本氏は、DRMを成功に導く5つの要件として、「デジタルリスクカタログの整備」、「DRMを有効に機能させるための3線ディフェンスを取り入れたガバナンス構築」、「DX施策ごとに、DRMを運用するプロセスの整備」、「DX施策ごとに、1線側にDROの設置」、「DROのレポートラインはCDO(チーフデジタルオフィサー)にする」という点をあげ、「こうした仕組みの構築に加えて、経営層が関与していくことが大切であり、それによってスピードを確保できる。そしてDROは、DX施策を止めるための役割ではなく、加速するための役割を担うものでなくてはならない」と語った。
さらに、DXプロセスの進捗にあわせたリスクマネジメントプログラムの導入と運用が肝要であり、「局所的なパッチワークのような対応ではなく、企画構想の段階でリスクを評価し、対応方針を決めていく必要がある。テクノロジー活用の方針が決まれば、ある程度のリスクが見える。その上で、設計、構築、運用において、データセキュリティやデータガバナンスなどのデザイン評価、コンフィグ評価、サイバーレジデンスの実現などを行うことになる」としたほか、「一律での対応ではなく、リスクテーマの特性を踏まえて、リスクの識別やリスクコントロール、危機対応を、設計、実装していく必要がある。全体像をとらえてやっていく必要がある」などと述べた。
Ridgelinezでは、CxOやCDO向けサポート、CROサポートなどのリスクマネジメントプログラムを用意しているという。
「DRMのポイントは、リスク評価とレジリエンスの向上、現場(1線)と関連部門(2線)によるガバナンス体制の構築。そして、DRMはDXの信頼性を確保し、加速させるための取り組みであるという点である。リスクマネジメントは煙たがられる存在だが、DXに本格的に取り組むには、従来以上に、避けては通れないものといえ、必須のテーマである。DRMは、ブレーキとして整備するのではなく、ガードレールとして整備するものである。Ridgelinezでは、DXを推進する企業にDRMを活用してもらえるように支援したい」と位置づけた。