NANAROQ 株式会社の榎本です。去る 2 月 4 日に東京・日本橋で開催された、「グローバル・海外事業におけるリスクマネジメント戦略フォーラム2016」(主催: リバイバル マネージメント フォーラム)にて登壇し、NANAROQ が AvePoint のツールを使って展開しているコンプライアンス ソリューションについてお話させていただきました。今回はその内容の一部をご紹介させていただきたいと思います。
グローバル展開する企業のコンプライアンス対策のベストプラクティスを共有
今回のフォーラムは、グローバルに展開している企業のコンプライアンス担当者や、コンプライアンス関係の法務担当者を対象にクローズド セミナーとして開催されました。各企業を代表して登壇されたスピーカーの方々からは、グローバル展開する各社のコンプライアンス対策の実情や直面している課題、それに対するベスト プラクティスや、特に注力している問題と対策などが共有されました。
当然のことながら、国が変われば法律も変わります。グローバル事業展開している企業では、展開しているすべての国や地域でコンプライアンス遵守の体制を取ることができるよう、例えば独占禁止法などの法令順守、贈収賄防止、グローバル レベルでの全社員へのコンプライアンス意識の喚起など、ひとつの国家・地域の中でさえ難しい課題を、グローバル レベルで解決していかなくてはならないという大きな課題を抱えることになります。
このような問題をテクノロジーの側面から解決する方法として、AvePoint から発売されているのが Compliance Guardian (コンプライアンス ガーディアン) であり、NANAROQ でもこのツールを活用してお客様へのコンサルティングを行っています。
今回の私の講演では、ガバナンス・リスク管理・コンプライアンス (GRC) 総合対策の観点から、IT 担当者はもちろんのこと、法務・内部統制担当者が必ず知っておきたい IT 関連のリスクについて、「IT GRC」 というコンセプトを基軸にしてご説明しました。
IT GRC とは?
GRC とは、「ガバナンス (Governance)」 の G、「リスク管理 (Risk Management)」 の R、「コンプライアンス (Compliance)」 の C の 3 つの頭文字を組み合わせたもので、これら 3 要素に対する包括的・総合的な対策を意味します。主に内部統制やリスクマネジメントの文脈でよく使われる用語です。
企業の直面するリスクは、例えば情報流出のリスク管理は IT 部門、知的財産の管理は法務部門、ハラスメント対策は人事部門と、性質によって全く異なる部門が対応するケースが多くあります。GRC は、これらの多様なリスクに対して各部門が個別に対策を行うのではなく、関係部門間の連携を一元管理で徹底することを目指します。
その中でも、特に ITの側面にフォーカスし、IT / 情報システム部門が主体となってシステム関連リスクを統合管理するソリューションを 「IT GRC」 と呼びます。
何らかの情報流出関連事故が報道されない週はないほど、情報流出が深刻な問題となっている現在だからこそ、しっかりとした IT GRC 対策の導入が求められているともいえます。
IT GRCでできること
では、IT GRC 対策を導入することには、どのような利点があるのでしょうか。 一般的な統合 IT GRC ソリューションは、「ポリシー管理」「リスク管理」「コンプライアンス管理」「インシデント管理」 の 4 要素から構成されています。それぞれの特徴を大まかにまとめると、おおよそ以下のようになります。
- ポリシー管理: 外部規制や企業集団としての方針・規定・規則・マニュアルの体系の整理
- リスク管理: リスクの認識・低減、移転などの対応、およびポリシーに則った残存リスクの評価
- コンプライアンス管理: リスク対処の方法が継続的に運用されているかのモニタリング
- インシデント管理: インシデント予兆情報の収集、かつリスク認識体制の向上
これらを全社的に実行することにより、例えばマニュアル管理や業務フローの管理などの文書整理、関連法令順守体制をつくり上げる規制対応などを組織全体でまとめ上げ、一元管理することが可能になります。 つまり、リスク管理を全社向けに最適化し、会社に襲いかかるリスクやインシデントに会社全体の統一された体制で立ち向かうことにより、リスクやインシデントに強い組織の構成が可能になるということです。
IT GRC を使ったセキュリティ対策
相次ぐ情報流出事故、そして社会的不安の高まりを受け、日本政府も本格的な情報流出対策に乗り出しました。
経済産業省が 2015 年 12 月 28 日に発表した 「サイバーセキュリティ経営ガイドライン」 には、「サイバー攻撃から企業を守る観点で、経営者が認識する必要のある 「3 原則」、及び経営者が情報セキュリティ対策を実施する上での責任者となる担当幹部(CISO等)に指示すべき 「重要 10 項目」 が網羅されています。
このガイドラインは、IT 部門ではなく 「経営者のリーダーシップ」 に力点を置いて作成されたものであり、内容も 「組織の内外に示すためのセキュリティ ポリシーの策定」 や 「必要な予算の確保や人材育成などの資源の確保」 など、より全社的な対策を求めるものとなっています。
2015 年は、ベネッセや日本年金機構など、甚大な被害と社会不安をもたらした情報流出事件が相次いだ年でもありました。「サイバーセキュリティ経営ガイドライン」 も、そのような背景の中で発表されたものと考えてよいでしょう。
このような流れを受け、既存の対策の強化、SIEM、サンドボックス等のAPI対策の新領域での対策など、いわゆる 「入口出口対策」 に力点を置いて対策を実施する企業の数が急速に増加しつつあります。しかし、本当にこれだけで十分なのでしょうか? (後編に続く)
