些細なルール逸脱が
大きなリスクを招く
ここからは具体的なデジタルリスクについてお聞きします。事務手続きなどの日常業務のデジタル化によって、どのようなトラブルや課題が多く発生していますか。
関:リモートワークへの急速な移行により、業務プロセスやフローが大幅に変わりました。業務を止めないことを優先して急ごしらえの仕組みをつくったことで、「承認」などの重要な部分でリスク対応が置き去りにされるケースもあります。リモートワーク対応のために導入したワークフローシステムでは、準備不足により誤った権限の付与、プロセスの迂回、不適切な権限委譲などが起こりえます。また出社が前提となる業務は、少人数オペレーションなど変則的な体制での対応を余儀なくされ、適切な承認プロセスが維持されない懸念もあります。このように、必要な組織間、役職間、上長の確認が意図せずに省略や緩和された結果、不正やミスが発生してしまうケースも少なくありません。
熊谷:承認プロセスにおいては「脱はんこ」による電子印鑑が普及しつつありますが、ここにも落とし穴があります。電子印鑑の場合、仮にユーザーを厳格に絞っても、ユーザーのなりすましを許してしまうと致命傷です。単なるアクセス管理ではなく、ユーザーの乗っ取りまでを前提とした、二重三重のセキュリティ管理が重要です。
関:ほかにも、業務の円滑化のために社員が善意でやっていることが大きなリスクを招くこともあります。「情報の持ち出し」ルールがわかりやすい例でしょう。以前は厳格な運用ルールがあった企業でも、コロナ禍による出社制限により、情報を外に持ち出さざるをえない事態に陥りました。その結果、リモートワーク用の端末配付が行き渡らないところではUSBメモリにコピーをして持ち帰るなど、都合よく自己解釈してルールをゆがめてしまうことがあります。そこに悪意はなくとも、こうした些細なルール逸脱や違反により少しずつ規律が緩み、見えないリスクが膨らんでいく。しかもすぐには顕在化しにくく、ある日突然、紛失や外部漏えいという形で大きなリスクとなって表れるのです。
熊谷:また、紙の文書をデジタル化する途上にある企業も多いと思います。これまで重要文書は分けて社内保管することで結果的にリスク分散ができていましたが、デジタル化の過渡期では、一時的にデータを一カ所のフォルダーに保存しているところもあるでしょう。セキュリティ面において、重要データが集中しているリスクにも十分な配慮が必要です。
内部統制の世界標準フレームワークとして、米国トレッドウェイ委員会支援組織委員会が掲げる「3つのディフェンスライン」がありますが、ここでも急速な業務のデジタル化への対策は必要でしょうか。
関:リモートワークに伴う業務フローの見直しは当該部門、文書管理のデジタル化は総務部門、端末や接続環境整備は情報システム部門といったように、急ごしらえのデジタル化ではどうしても分業になりがちです。そこで重要となるのが、リスクに対する「3つのディフェンスライン」という考え方です。
1次防衛は事業部門、2次防衛はリスク管理部門、最後の砦となる3次防衛は内部監査部門といった具合に、重層的にリスクを潰していくというフレームワークですが、今回のコロナ禍に伴う緊急かつ暫定的なルール変更により、現場のリスクが見えにくくなっているケースもあります。よってリスク管理部門は、「1・5次防衛」ともいえる、現場の事業部門に寄り添い、スピード感を持った臨機応変で統合的な対応が求められます。もちろん、リスクの最前線に立つ事業部門自身がリスク感度をさらに高める必要があることは、言うまでもありません。