近年、企業の事業継続を阻むリスク要因は複雑多岐にわたる。地震や台風などの自然災害、個人情報漏えいやセキュリティ、内部統制など、コンプライアンスに係わる問題まである。ひとたび事業が停止した場合には、ビジネスに与えるダメージは深刻だ。ここでは情報システムに関連したリスクを中心に、どのようにリスクマネジメントに取り組んだらいいのか、株式会社MM総研の安田正敏　副所長とNECソフトの品質保証部　情報セキュリティエキスパートを務める東山栄一が語り合った。

プロフィール

安田 正敏

株式会社MM総研取締役副所長 。1947年生まれ。東京大学経済学部卒業、ローザンヌ大学（IMEDE－現IMD）MBA。日立製作所、日立総合計画研究所、シティバンク、シティコープスクリムジャーヴィッカース証券・東京支店長、キャンターフィツジェラルド証券在日代表および東京支店長などを歴任。その後、コンサルタントとして独立。世銀のタイ王国・国債市場整備プロジェクト、日本国債清算機関設立に関してのプロジェクトなどを担当。その他、企業経営・リスク管理などのコンサルティングなどに従事。

東山 栄一

ＮＥＣソフト株式会社品質保証部情報セキュリティエキスパート。1976年、日本電気ソフトウェア株式会社（現NECソフト株式会社）入社。メインフレームOS開発を担当の後、IP技術適用提案、電子認証局システム設計・構築、電子透かし技術適用、ハードディスク暗号化ソフト「pointsec」日本語版製品化、認証システムSIなどの業務を経て、情報セキュリティ全般のコンサルティング業務に従事。

企業リスクとは何か？

安田：

リスクの定義は人によってまちまちですが、私は企業の経営目標、戦略目標の達成を阻害する要因をリスク事象と捉えています。実際のリスク事象が発生した時に、リスクによる損害の大きさが決まります。もう一つ大事な概念として、リスク事象には不確実性が伴うということです。このリスク事象、リスクが発生した時の損害、リスク事象にかかわる不確実性、これらの3つの要因が一体化したものがリスクの概念ではないかと考えています。

現在の最も大きなリスクは企業の経営目標に密接に関連しています。企業がリスクマネジメントに取り組む際、はっきりと企業の経営目標、戦略目標を明確にして、従業員全員に知らしめることが重要です。この時、企業の中ではコントロールできないリスク要因と、企業の中でそれなりにコントロールできるリスク要因を明確に分けて考えて対応していく必要があると思います。

また、コントロールできない要因には2通りあります。地震のように広大な地域全体を含む大きなリスクと、限定された地域の火災といったような個別の企業に起こりうるリスクとでは、リスクへの対応は違ってきます。

東山：

私どもでは情報システムを中心とした情報セキュリティコンサルティングサービスで、企業のリスクマネジメントを支援してきました。その中でも安田さんがおっしゃる通り、自分たちでコントロールできるものとコントロールできないものそれぞれについての対応が必要です。

特にコントロールできないものについては、経済産業省のセキュリティ総合戦略にも述べられている「事故前提型」の対応が求められますが、あり得るリスクを起こりうるものとして事前に対応するためには、現状を知ることがとても大事だと思います。

リスクマネジメントは「性弱説」に立って考えよ

安田：

最近注目の内部統制や個人情報保護法、事業継続（Business Continuity：BC）は、個別に捉えることもできますが、本当は全部一体のものです。個人情報保護は内部統制全体の枠の中に包括される狭い範囲のものです。内部統制という言葉そのものも、一人歩きをして誤解されている面がある。従来会社がきちんとしていれば、できているはずのものだからです。

ただ、ここにきて内部統制を考える時、非常に重要な観点は、内部統制は企業の目標達成を阻害するリスク要因をコントロールする仕組みであるということです。日々の業務の中で自然にコントロールされる仕組みが内部統制ですが、よく組織されよく管理されている企業だと、あえて内部統制と言わなくても自然に成り立っているはずです。

ここで非常に重要な点は、これをもう一度文書化して可視化して従業員全員に見えるようにする必要があるという点です。それを経営者がもう一回評価し直す必要があるというのが、昨今言われている内部統制の本質ではないでしょうか。

東山：

その通りだと思います。自らの変化を理解することはとても重要で、例えば規模が小さい時の内部統制と、規模が大きくなってしまった時の内部統制とではまったく違います。規模が大きくなると、全体の統制状況が見えにくくなる。特にシステムがたくさんあると、部分最適ではあっても、それらがどう有機的に動いているのかが見えなくなってしまいがちです。そこをもう一度きちんと見えるようにして、そもそも内部統制とは何かといったところへ話を持っていく必要があります。

また、組織それぞれの風土や特質にも注目する必要があると考えています。かつて「セキュリティポリシーは性悪説に基づいて作らなければいけない」という意見が多く出ましたが、その時「本当にそうか？」と考えました。その組織はどういう観点で人を採用して、どういう教育、どういう組織作りをしてきたのか、そこに光を当てないと本質的に解決できないからです。

例えば、私たちは技術的にシステムのセキュリティホールを全部塞ごうとすればできますが、そんなことをしたら業務は回らない。ましてや働いている方のモチベーションは下がります。組織は人を見ながらやっていかないと、内部統制はうまくいかないのではないかと考えています。

安田：

性善説か性悪説かというお話ですが、企業の中で内部統制のように人々の行動をコントロールする仕組みを考えるには、もう一つの概念が必要だと考えています。それは「性弱説」、人間は弱いということです。例えば、誰もいない部屋にいて、100万円の束が5つくらいあったとしましょう。果たして黙ってこれを見ているか、部屋から去るか、鞄に入れて持っていくのか、たぶん悩むことでしょう。

悪気があるということではなくて、人間は弱いと思うのです。そういう状況に置かれた時、つい誘惑に負けてしまうこともあるかもしれない。できるだけ人々をそういう状況に置かないようにするということが、内部統制の大きな要点だと思います。

東山：

性弱説というのは、重要な視点ですね。
こういった考えに基づいて対策を検討する際に私がもう一つ気になっているのは、ミスと悪意です。起きることが不思議でないミスと、生じさせてはならない悪意を混同することなく、発生要因に対する的確な対応を取らなければ、関係者全員が理解し行動することは難しい。ここをうまくコントロールする仕組みが必要です。

リスクマネジメントの優先順位

安田：

先ほど全部穴を塞ぐと業務が回らなくなるというお話がありましたが、リスクをコントロールするには優先順位をつけなければなりません。それがリスクマネジメントの重要なポイントです。私は、リスクは客観的なものではなくて極めて主観的なものだと考えています。ある経営者がある事象をリスクと考えても、他の経営者はそんなにリスクではないと考えるかもしれません。経営トップが企業のリスクに対する考え方を示して、できるだけ多くの社員が共有できる仕組みを作っておかないと、やらなくても良いことまでやってしまう。それを防ぐために優先順位が必要になる。

リスクコントロールは企業の経営目標ありきから始まります。経営目標を阻害する要因は何か、システムも含めて考えなければなりません。この流れからいくと、当然個人情報の漏えいは企業目標を阻害します。個人情報が漏えいすればビジネスがうまくいかなくなるわけですから。リスクコントロールを考える際には、横軸に阻害要因が発生する確率、縦軸に損害の大きさを取り、いろいろなリスク事象をそこにマッピングして優先順位を付けていくことが必要です。

このリスクマップの中で事業継続計画（BCP）の位置付けを考えると、BCPは唯一確率を忘れなければならない分野です。確率は限りなくゼロに近くとも、起きたら会社そのものがなくなるかもしれない。リスクはゼロに近いのですが、ゼロではありません。ですから、その事象が起きた時にどのくらいの損害になるのかというインパクトを経営者は真剣に考えないといけません。そこに対して具体的にどのくらいの経営資源を割くべきかという経営判断が必要になる。

釈迦に説法で申し訳ないのですが、今までのシステム投資は経営者から見ればブラックボックスです。とにかくお金がかかるけれど、何をやっているかよくわからない状態です。リスクマネジメントに取り組むことは、そういう点を是正していく良いチャンスだと思います。企業システム全体の構成とか、計画と組織、システムの取得・開発と導入、サービスの提供とサポート、モニタリングといったことすべてが、企業の目標そして個別の事業の達成に役立っているのか、もう一度見直す良い機会です。

特にセキュリティは非常に重要ですが、セキュリティだけを見ていてもダメですね。計画して、システムを取得または開発して、運用してモニタリングしてという一連の流れで、各項目がそれぞれ事業計画に合っているかという観点で見ていく必要があると思います。

東山：

業務の拡大や変化を追って構築されてきたシステムで見えにくくなっているのではないでしょうか。そういった組織においては、棚卸するのに良い時期だと思います。事業継続では、どの事業をどう活かしていくか、捨てるものは何かと考えていくわけですが、お客さまに「どのシステムを何日で復旧しないといけませんか」とお聞きすると、ほとんどすべてに対して1日以内、半日以内といわれる。組織にとって何が重要かの優先度が大切です。競争力の面からいってコアとなる事業を生き残らせるために、どのシステムが半日や1日以内に立ち上がらなければならないのかというような分析をします。それに対して必要な投資を必要な場所にやっていくということが大切ですね。

どこからリスクマネジメントに取り組むか

東山：

必要な投資を行うには、自分たちがどういうリスクを抱えているか、はっきり認識する現状分析が第一歩です。この時にも経営トップの判断がなければ、いざという時に何を残し、何を捨てるかといった理解を共有することができません。トップの判断がなければ、現時点で利益につながるシステムだけがどうしても優先されてしまいます。

また、マネジメントシステムの構築に際して経営トップの強い意志がなければ、マネジメント体制の不備から技術偏重の対策に流れやすく、的確な投資の優先順位を決めることができません。経営トップがリードして現状分析を実施されたお客さまでは、「こんなこともリスクとして考えないといけないのか」といった理解が共有されることで、マネジメントの確立とこれに沿ったシステム強化の方針がクリアなものとなります。

安田：

現状分析についてはI TガバナンスのグローバルスタンダードになっているCOBIT（Control OBjectives for Information andrelated Technology）の枠組みの中にITガバナンスの成熟度を測るチェックリストが提供されています。問題は、経営者がシステムはブラックボックスだと誤解していることです。システムがブラックボックスなのではなくて、プロセスがブラックボックスなのです。

要するに、そういう経営者は、自分の会社がどういうプロセスで何をやっているか理解していないから、結局システムがブラックボックスになってしまう。基本的には業務プロセスを明確に透明化、標準化して、社員ができるだけ理解できるようにしなければなりません。システムはそれを自動化するだけの装置ですから、ブラックボックスでも何でもない。この点が、1つポイントだと思います。

東山：

そうですね。NECソフトで業務コンサルティングを提供しているグループでは、業務を可視化して、そこに対していかに有効なシステム、プロダクトを入れていくか、という形で進めていくステップを踏んでいるところです。かつては、単にお客さまが求めるものを入れるという時期もありましたが、今では業界特性、お客さま企業の経営方針から目標までを十分理解し、将来を見据えながら、今必要なシステムを入れていくというプロセスを確立しています。

安田：

具体的には、各企業の中の部門の責任者にまずインタビュー、それからブレーンストーミングします。そして、考えられるあらゆるリスクを挙げた長いリストを作る。それに対してもう一回評価して、リストをある程度整理して短くしたところで、どのくらいの確率で発生するか再度検討する。定量的にできない部分は、有識者あるいは責任者のブレーンストーミングなどで、起きた時の損害の大きさを軸に見直していく。

実は、結果も大事ですが、このような過程を通じて、人々のリスクに対する認識を改めていくことが大事なのです。リスク事象は環境が変わることによりどんどん変わってきますので、継続的にPDCAサイクルを回さなければなりません。

東山：

NECソフトでは、内部統制に関して「見える化」を中心にリスクの大きさと頻度、脆弱性も含めて考える仕組みを作って進めている最中です。それと並行して、そもそもシステムはどうあるべきか、企業の強みはどこにあるかといった点を考えます。そうした業務知識と業務改善に関する豊富な経験を持ったITコーディネータが内部統制の構築に力を発揮している点が、NECソフトの特長だと思います。

安田：

ITの内部統制に関してセキュリティを含めて進める時に、全体の業務の内部統制とどのような連携を図っているのでしょうか。

東山：

基本的にはまず業務があります。その中にはITで支援しているものと人だけでやっているものがあります。検知、訂正、報告といったものを中心とする統制機能の実現には今やITの支援が欠かせませんが、これらのIT統制機能を支えるITインフラが信頼できなければこれは成り立ちません。

したがって、IT全般の統制が非常に重要なものになります。IT統制機能の確実な基盤を作ると共に、人とシステムの接点はある意味オフラインですから、それなりの脅威は付き物です。これらのリスクを洗い出し、フローの中の脆弱点を拾っていくことが求められます。

リスクマネジメントにはコミュニケーションがポイント

安田：

ただ、統制機能の基盤を作成したからといって、リスクがゼロになるわけではありません。必ず何か起きる。起きてはならないリスクが起きた時、リスクに対応する仕組みもチェックしておく必要があります。BCPはそのうちの1つです。内部統制とは直接関係ないのですが、ディザスタリカバリもリスク管理からすると非常に重要なポイントです。

東山：

事業継続のように組織全体のリソースの有効活用が重要なリスク対応を検討する際に、特に注意していることがあります。それは組織コミュニケーション能力によってリスクはまったく変わってしまうということです。同じ課題、同じシステム、同じ動きをしていたとしても、コミュニケーション能力が高い組織においてはリスクがぐっと下がることが多くあるからです。そうすると、リスクマネジメントに取り組む順番もまったく変わってきます。

安田：

そう、リスクマネジメントにはコミュニケーションが非常に重要です。実際に経営者が何を達成しようとしているか、全従業員に明確に伝えていくプロセスを確立することが大切なのです。そのため、eラーニングやeメールというITを使ったコミュニケーションの支援は非常に重要な役割を果たします。

東山：

ITによる支援ということでもう一つ重要なものに、エビデンスの確保が上げられます。ITの活用で一般業務への負担を避けながらエビデンスを確保することが容易になります。業務の流れをきちんと記録として残す仕組みがあれば、内部統制の重要な部分の1つは抑えることができると思います。

そのためのとっかかりが現状分析であり、取り組むべき順番が見えてくることです。順番が見えるということはとても大事で、ひょっとすると、一般に言われている内部統制どころではない課題が見つかるかもしれません。

安田：

それに関しては、実際にITの内部統制を見ていく上で前述したCOBITが役立ちます。COBITは全体のITの計画と組織、システムの取得・開発、サービスの提供とサポート、モニタリングの4つの大きな項目について非常に細かいプロセスが定義されている。そうしたものを利用しながらITの内部統制を考えていくということはできるのではないでしょうか。

東山：

そうですね、COBITはどなたでもお使いになれますが、ひょっとすると今まで何も考えていなくて初めてCOBITを実施すると、ショックを受けるかもしれません。COBITに取り組むにしても、ステップを踏んでいくということをご理解いただく必要があると思います。

安田：

そういう意味で、現状分析をした後大事な点は、次の目標をどこに定めるかということになります。現状分析が第一で、第二がどこに次の目標を定めるか、そこが非常に重要なところです。でも、その前に本当の初めのはじめがある。それは経営者の強いコミットメントです。コミットメントがないと、現場がいくらやっても空回りするだけで、無駄な努力に終わってしまう可能性が高い。経営者の理解が大前提ですね。

東山：

リスクマネジメントへの取り組みは、己を知るというのが第一だと考えています。正確に自分たちがわかれば、自ずとやるべきことの順番立てが見えてきます。自分たちにとっての内部統制、いろいろな形の内部統制があると思います。

例えば、属人的な手続きで支えられている企業であれば、その人たちがいなくなった場合にどうするのかを考えていく内部統制もあれば、人にあまり依存しない手続きがあり、手続きに基づいたシステムによって内部統制が確立されるという経営の考え方もある。したがって、まず自分たちの考え方と自分たちの現状をきちんと正確に知るということから始める必要があると思います。

安田：

私は中堅・中小企業の経営者の方に、1つだけメッセージをお伝えしたいと思います。日本の製造現場の品質管理に大変貢献されたデミング博士がおられます。日本のもの作りは品質では世界に冠たるものを成し遂げましたが、残念ながら経営の質という意味では非常に劣っています。

この内部統制に関しては、経営現場にデミング博士の精神を吹き込んで「もう一度経営の質をどうやったら高められるかということを考え実行するチャンスではないか」、そういうふうにぜひ前向きに問題を捉えて欲しいと思います。