3つのディフェンスライン(3LOD)とデジタルリスクマネジメント Redgelinezが示すDXのリスク
「デジタルリスクを正しく管理できている組織はわずか15%」――。企業間システム連携やサービス拡充、グロースハックと、DX推進はめまぐるしい変化の連続だが、変化が激しい状況にリスクマネジメントの体制が追いついていない実態が明らかになった。対策は3つのディフェンスラインにヒントがあるという。
Ridgelinezは富士通グループにおいて企業DX推進を専門に手掛ける組織として2020年4月に立ち上がった組織だ。「Transformation Design Firm(変革創出企業)」を掲げ、コンセプトから戦略策定、実装やエコシステム構築といったDX推進の一連のプロセスまでを支援する体制をとる。
同社が現在注力するのがDX推進の裏面ともいえるデジタルリスクマネジメント(DRM)だ。同社プリンシパルの藤本 健氏がこの取り組みの意義と背景を説明した。
デジタルリスクマネジメントの実態とDXジャーニー
デジタルリスクは以前からあるものだが、これらがDX推進とともに経営を揺るがす大きなリスクとなってきた。2020年に大きな話題となった「ドコモ口座問題」のように、ユーザーの利便性を追求しながらサービスの開発に注力する裏側で大きなリスクが顕在化したケースは国内でも枚挙にいとまはない。だが一言でデジタルリスクと言ってもその範囲は広く、またその対策度合いも異なる。
藤本氏はこれらのデジタルリスクを次の4つに分類して整理する。この4つの中でも「データ保護や事業継続に関するリスクはIT部門とも深く関わってきたことから比較的整備が進む状況だ。一方でサプライチェーンリスクやコンプライアンスリスクについて、経営レベルでリスクを掌握できている組織はそれほど多くはない」と分析する。
さらに藤本氏は「DXジャーニーのステージごとに求められるデジタルリスクの認識と評価が異なる」と指摘する。現在、IT部門とともにデジタルリスクに対処できていたとしても、今後、DXが進んだ際に同じようにデジタルリスクに対処できているとは言い切れないのだ。こうしたデジタルリスクの問題について、正しく管理できている組織は多くないという。
調査で明らかになったデジタルリスクマネジメントの現実
Ridgelinezが国内企業を対象に独自に実施した調査(調査期間:2020年10月、n=960)によれば、デジタルリスクマネジメント(DRM)プロセスの実施状況に基づく評価において、「成熟度が高い」に該当する企業はわずか15%だった。回答企業の74%は「成熟度が低い」という結果だった。同じ調査結果からは「DXの進捗(しんちょく)度との相関を見ると、DRMの成熟度が高い企業はDXの進捗度も高い傾向にある」との知見も得られたという。
DX施策のリスクでは「データ保護を重視する」とする回答が21%を占めた。クラウドリスク、データ保護リスク、プライバシーリスクはIT領域のためリスクとしての認知度合いは高かったが、冒頭の藤本氏の指摘にある通り、コンプライアンスリスクや倫理リスク、事業継続やサプライチェーンリスクについては意識が低い状況が見える。
「DRMへの取り組みでは調査対象企業の半数しかDRMプロセスを整備してなかった。さらに全体の79%がDRMの責任者を置いている状況だ。DRMが企業の競争力に資するとの意見は全体の48%ほどあり、それ以外でも4割前後がポジティブな見解を示した」(藤本氏)
Ridgelinezではこうした調査結果を受け、データ保護やデジタルリスクへの取り組みを重視する企業が多く、DXと同時に推進する企業が多いと考えられる。それゆえに支援策も整備した形だ。
DXで対応するべき4種のリスクと対処する組織体制のポイント
同社はDXに対応する4つのリスクを「関連部門と強調しながら識別するリスクマインドの定着が重要」だとする。さらに重要なのが、リスクマネジメントモデルを活用してガバナンスとレジリエンスを維持することだという。
関連記事
- DXとセキュリティ、インシデントに対峙するトップの姿……コロナ禍だけではなかった2020年を振り返る
年末は一年を振り返って「いろいろなことがあった」と感慨深くなりがちですが、こと2020年は日本企業のIT担当の皆さんにとっては劇的に環境が変わった一年だったのではないでしょうか。今年の人気記事ランキングを集計してみたところ、「本当にいろいろあった」ことが分かりました。 - 徳丸 浩氏に聞いた「ドコモ口座」問題 今起きていること、今できること
2020年9月7日から全国の地方銀行を中心に「ドコモ口座」からの不正な預金引き出し被害の報告が相次いでいる。ドコモユーザーでなくとも被害にあう可能性があり、被害規模も現時点では不明だ。セキュリティ専門家の徳丸 浩氏に、今起きていること、今できることを聞いた。 - 厳格化する個人情報保護法、企業はどう対応すべき? 注目の「4つのポイント」
事業者が保有する個人データの取り扱いや漏えい時の取り組みについて、規制を厳格化した改正個人情報保護法が公布された。施行を前に、企業はデータ管理の仕組みをどう見直すべきなのか。 - マイクロソフト デジタルトラストの実現に向けコンプラ分野のエコシステムを構築
日本マイクロソフトは、「Microsoft Digital Trust RegTech Alliance」を発足した。デジタルトラストに関するコンプライアンス分野の枠組みを構築する。法令順守に関して強みを持つパートナー企業と大手法律事務所などが参画する。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.