ビジネスチャンスとリスクは「光」と「影」。効率的なリスクマネジメントは、何よりもまずバランス良くリスクをコントロールするが大切だという。
リスク・インテリジェンスの観点から情報セキュリティをみるとどうなるだろう。日本企業では情報セキュリティマネジメントの課題が多い。監査法人トーマツでパートナーを務める丸山満彦氏は次の6つを指摘する。
1つ目は、情報セキュリティリポリシーが単なる文書と化し、事業戦略とリンクしていない問題。対策の実施や従業員の行動に影響しておらず、セキュリティの強化が事業の発展にどのようにつながるかが見えていない。
2つ目は、情報セキュリティマネジメントが現場に浸透せず、ルールが十分に理解されないため、必要な対策が現場で実施されないこと。
また、3つ目は、リスク評価を判断するのが誰か明確ではなく、情報の価値を正確に判断する手法も確立していないこと。
4つ目が、投資対効果の分析が十分にできていない問題。必要な投資を行わず、不必要な投資をしているなどの誤った状況が起こっている。
そして、5つ目は、理想的な対策をルール化して、結果的に現場で守られなくなっている現状。できる対策ばかり実施し、本当にすべき対策がなおざりになっている。
最後に6つ目として、社内にセキュリティ監査が可能な人材が不足し、内部監査が十分にできていないなどを挙げている。
効果的かつ効率的なリスクマネジメントができていないことは明白である。そこで、ERMをマトリックスで考える視点が有効になる。リスクの影響が大きくコントロールが不十分な部分はリスク対策を強化する。影響が大きくともコントロールが十分な部分はモニタリングし、十分に機能しているかどうかを確認する。
また、影響は小さいがコントロールが不十分な部分はリスク発生の場合の累積損害を測定して、対策をすべき・すべきではないことを明確にする。そして、影響が小さく、コントロールが十分なものはやりすぎではないかを考える。このやりすぎが、米国SOX法では大きな議論になった。やりすぎの対策は効率化を考えなければならない。
丸山氏は、リスク・インテリジェンスの視点から見る情報セキュリティについて、いくつかのポイントを示している。
まず、ビジネスを始点とした情報セキュリティを考えることが重要になるということ。情報セキュリティの強化が本当にビジネスの発展につながるのか、他のビジネスを阻害していないか、セキュリティのために本業が圧迫されすぎるような“セキュリティ原理主義”に走っていないかなどを注意する。
Copyright © ITmedia, Inc. All Rights Reserved.
「ITmedia エグゼクティブは、上場企業および上場相当企業の課長職以上を対象とした無料の会員制サービスを中心に、経営者やリーダー層向けにさまざまな情報を発信しています。
入会いただくとメールマガジンの購読、経営に役立つ旬なテーマで開催しているセミナー、勉強会にも参加いただけます。
ぜひこの機会にお申し込みください。
入会希望の方は必要事項を記入の上申請ください。審査の上登録させていただきます。
【入会条件】上場企業および上場相当企業の課長職以上
早稲田大学商学学術院教授
早稲田大学大学院国際情報通信研究科教授
株式会社CEAFOM 代表取締役社長
株式会社プロシード 代表取締役
明治学院大学 経済学部准教授