コンプライアンス問題が
IT投資の無駄を増やす

デイヴィット・ウォルター
(David Walter)
RSA GRC製品(RSA Archer)担当シニアディレクター。米国ワシントン・ポストでGRC担当(内部監査人)を務めた後、アーチャー・テクノロジーに入社。GRC製品の開発、マーケティングにあたる。アーチャー社はのちにRSAに買収され、現在に至る。米国公認会計士(CPA)の資格も持つ

 大手企業を中心に、ITの「GRC」(ガバナンス・リスク・コンプライアンス)確立への取り組みが活発化している。この言葉自体、新しいものではないが、サイバーセキュリティの脅威の増大や、クラウドの普及などが注目される背景となっている。

 GRCの考え方が必要になってきた背景に、まず「ITガバナンス」の混乱がある。企業が各部署で勝手に新しいシステムを導入してしまい、企業全体としての効率性や合理性を経営者が把握できなくなる問題だ。とくにクラウドの普及によって初期コストを抑えて投資できるようになったのはいいが、部門ごとにバラバラな導入を繰り返すうち、二重投資や部門間の情報共有ができない、またはそのためにさらに投資が必要になるなど、かえってシステム費用がかさむケースが出てきている。

 こうした状況は、平時の費用負担増というだけでなく、非常時の「リスク」も増大させている。たとえば、企業は保有している顧客情報が流出する事件が発生した場合、その原因と対策を直ちに取らなければいけない。だが企業側が自社のITの全体像が把握できていなければ、まずそこからやらなければならず、顧客への説明は大幅に遅れてしまう。正確な説明ができず、時間が経てば経つほど顧客の信頼が失われていくことは、最近の情報流出事件の記者会見などを見ていれば明らかである。

 こうした「ITと事業上のリスク」の関係について、経営者が状況を掌握できていないことも問題を深刻にしている。現場の判断を優先していることが、バラバラなシステムの乱立を助長することになる。経営者もしくは経営チームとして、ITの全体把握に務めなければいけない。

 大手IT企業EMCグループのセキュリティ企業であるRSAは、GRC分野の専門企業アーチャー・テクノロジーズを買収して、「RSA Archer eGRCソリューション」として企業向けにコンサルティングとソフトウェアを提供している。

 同社によれば、企業は一般にコンプライアンス(法令遵守)への対応を最優先で行うが、ガバナンスへの取り組みは不十分だという。企業活動では、まずは法を犯さないこと、規制に違反しないことを考えなければいけないのだから、そのためにITでできることは最優先で導入していくというのは、仕方のないことともいえる。

 同社のGRC製品ディレクターであるディヴィッド・ウォルター氏は次のように語る。

「コンプライアンスのためのIT投資が、リスク管理を後回しにし、ガバナンスを悪化させている現実があります。eGRCソリューションは、こうした悪循環を断ち切るために必要なのです」