3つのディフェンスライン（3LOD）とデジタルリスクマネジメント Redgelinezが示すDXのリスク

「デジタルリスクを正しく管理できている組織はわずか15％」――。企業間システム連携やサービス拡充、グロースハックと、DX推進はめまぐるしい変化の連続だが、変化が激しい状況にリスクマネジメントの体制が追いついていない実態が明らかになった。対策は3つのディフェンスラインにヒントがあるという。

[原田美穂，ITmedia]

　Ridgelinezは富士通グループにおいて企業DX推進を専門に手掛ける組織として2020年4月に立ち上がった組織だ。「Transformation Design Firm（変革創出企業）」を掲げ、コンセプトから戦略策定、実装やエコシステム構築といったDX推進の一連のプロセスまでを支援する体制をとる。

　同社が現在注力するのがDX推進の裏面ともいえるデジタルリスクマネジメント（DRM）だ。同社プリンシパルの藤本 健氏がこの取り組みの意義と背景を説明した。

デジタルリスクマネジメントの実態とDXジャーニー

　デジタルリスクは以前からあるものだが、これらがDX推進とともに経営を揺るがす大きなリスクとなってきた。2020年に大きな話題となった「ドコモ口座問題」のように、ユーザーの利便性を追求しながらサービスの開発に注力する裏側で大きなリスクが顕在化したケースは国内でも枚挙にいとまはない。だが一言でデジタルリスクと言ってもその範囲は広く、またその対策度合いも異なる。

　藤本氏はこれらのデジタルリスクを次の4つに分類して整理する。この4つの中でも「データ保護や事業継続に関するリスクはIT部門とも深く関わってきたことから比較的整備が進む状況だ。一方でサプライチェーンリスクやコンプライアンスリスクについて、経営レベルでリスクを掌握できている組織はそれほど多くはない」と分析する。

図1　多様化するデジタルリスク（出典：Ridgelinez）

　さらに藤本氏は「DXジャーニーのステージごとに求められるデジタルリスクの認識と評価が異なる」と指摘する。現在、IT部門とともにデジタルリスクに対処できていたとしても、今後、DXが進んだ際に同じようにデジタルリスクに対処できているとは言い切れないのだ。こうしたデジタルリスクの問題について、正しく管理できている組織は多くないという。

調査で明らかになったデジタルリスクマネジメントの現実

　Ridgelinezが国内企業を対象に独自に実施した調査（調査期間：2020年10月、n=960）によれば、デジタルリスクマネジメント（DRM）プロセスの実施状況に基づく評価において、「成熟度が高い」に該当する企業はわずか15％だった。回答企業の74％は「成熟度が低い」という結果だった。同じ調査結果からは「DXの進捗（しんちょく）度との相関を見ると、DRMの成熟度が高い企業はDXの進捗度も高い傾向にある」との知見も得られたという。

図2　成熟度（出典：Ridgelinez）

　DX施策のリスクでは「データ保護を重視する」とする回答が21％を占めた。クラウドリスク、データ保護リスク、プライバシーリスクはIT領域のためリスクとしての認知度合いは高かったが、冒頭の藤本氏の指摘にある通り、コンプライアンスリスクや倫理リスク、事業継続やサプライチェーンリスクについては意識が低い状況が見える。

図3　DX施策で各企業が重視するリスク（出典：Ridgelinez）

　「DRMへの取り組みでは調査対象企業の半数しかDRMプロセスを整備してなかった。さらに全体の79％がDRMの責任者を置いている状況だ。DRMが企業の競争力に資するとの意見は全体の48％ほどあり、それ以外でも4割前後がポジティブな見解を示した」（藤本氏）

　Ridgelinezではこうした調査結果を受け、データ保護やデジタルリスクへの取り組みを重視する企業が多く、DXと同時に推進する企業が多いと考えられる。それゆえに支援策も整備した形だ。

DXで対応するべき4種のリスクと対処する組織体制のポイント

　同社はDXに対応する4つのリスクを「関連部門と強調しながら識別するリスクマインドの定着が重要」だとする。さらに重要なのが、リスクマネジメントモデルを活用してガバナンスとレジリエンスを維持することだという。