プライバシー保護の時代に
データをどう守るか
ECやIoTなどで取得される大量の個人データをAIで分析し、新たな価値創出を行うようなことが期待される一方で、個人データの利活用にはリスクも伴います。EU一般データ保護規則(GDPR)のように、プライバシー保護は世界的な潮流です。
前田:クラウドサービスとの組み合わせで、企業はECサイトを簡単に持てる時代になりました。しかし、クラウドを利用するとリスクの範囲が広がり、そのリスクがどこに潜んでいるのかを把握しづらくなる。モノを売ることを優先してついリスク管理がおろそかになりがちですが、万が一、情報漏えいなどの事故やトラブルがあれば顧客の信頼を失い、ブランドや企業価値に大きな傷がつきます。よって企業は、仕入先から決済関連会社、物流委託先に至るまで、サプライチェーンおよびエコシステム全体に対して、規制対応が行われているか、事故やトラブルを招くリスクがないか、継続的に目配りすべきでしょう。自社のプライバシーポリシーさえ確立していればよいわけではないのです。
近年では、マルチベクターやステルスモードなどの、発見が極めて困難な“第5世代”と呼ばれる最新のサイバー攻撃が急増し、「サイバーパンデミック」の様相を呈しています。
前田:ファイアウォールとして分けていた従来の「社内」「社外」という境界は曖昧になり、内と外という二元的なとらえ方でのセキュリティ対策は無効になっています。いまは「ゼロトラスト」、つまりあらゆるトラフィック、アクセスを信用しないという基本姿勢を持つべきです。サイトに認証機能をつけただけで安心せず、認証後の行動ログを必ず取るといった対策も必要でしょう。
また、保管する情報資産の切り分けも大切です。プライバシー保護が世界的潮流となったいま、個人データを含む情報資産管理の重要性が高まっています。情報資産としてのデータが自社サーバー内にあるのか、クラウド上にあるのか、そのありかや重要性を細かく分けてリスク評価を行い、リスクレベルの高いものから対応を実施すること。たとえばECサイトの物販データより、個人の名前やメールアドレスが入った問い合わせデータのほうが高リスクと考える。カード情報などの決済データは、リスクレベルを最高レベルとする。といった具合に、情報資産のレベルに合った管理をしていく必要があります。すべてに対応することは困難なため、リスクに応じた対応が重要なのです。
熊谷:多くの企業にとって、DXを加速させるうえでクラウドサービスは便利なツールではありますが、同時に、管理する「コスト」が必ずついて回ることを忘れてはいけません。
デジタル化しないリスクにも
目を向ける
今回のコロナ禍によって自社のDXが一気に進んだことに安堵している経営者も多いかもしれませんが、ウィズコロナの2年目だからこそ、留意すべきポイントはありますか。
熊谷:多くの企業が急ごしらえのデジタル化を迫られましたが、そこには大きなリスクが潜んでいることはこれまで申し上げてきた通りです。よって1年経って知見と経験が蓄積されてきたいまだからこそ、現状の対応に抜け漏れがないかを見直す重要な時期であると認識いただきたい。
最後にお伝えしたいのは、手当てすべきは「デジタル化によるリスク」だけではないということです。「デジタル化しないリスク」にも、あらためて目を向ける必要があります。
たとえば社内文書一つ取っても、紙では日付の書き換えなどの改ざんが可能ですが、電子印鑑であれば決裁した日時のタイムスタンプが付与されるため、改ざんすることができません。また会計監査においては、従来は膨大な紙の財務諸表から一部の項目をサンプル抽出して公認会計士が検分する「試査」が主流でしたが、いまではAIによるデジタル監査の導入によって、膨大な数の全項目を一瞬でチェックできる「精査」が実現可能となり、不正発見に大きな成果を上げています。このように、デジタルはリスクを回避できる重要なツールでもあるのです。
経営者の重要な業務の一つは「リスクマネジメント」です。デジタルの脅威を過剰に恐れることなく、デジタルの真価を引き出すことで事業成長と企業価値向上を実現する時代だからこそ、リスクマネジメントはガバナンスの一部と心得て早期にデジタルリスクの芽を摘む「for Digital」。効率的、効果的なリスク管理実践のために、デジタルを活用した「by Digital」。これらを両立した「with Digital」型の統合的リスクマネジメント体制を早期に確立することが、リスク多発時代における経営者の新たなミッションだといえるでしょう。
企画・制作|ダイヤモンドクォータリー編集部