DXを実現するためのデジタルリスクマネジメント

経営・ITコンサルティング部 石井 正宏

DX推進の機運

2018年に経済産業省から公開された「DXレポート」を発端に、「デジタルトランスフォーメーション（DX）」に取り組む企業が年々増加している。2021年9月には、デジタル社会実現に向けた推進役としてデジタル庁が設置されたことにより、民間企業のみならず公的機関においても、DXの取り組みが加速すると見られている。昨今のデジタル技術の進展により、ビジネスモデルや業務プロセスの大転換が起きており、業種・業容を問わず企業は強い意志を持ってDXに対応していくことが必要不可欠となってきた。

デジタル技術を取り巻く問題

昨今ではデジタル技術の発展に伴い、AIやクラウド、IoT等の新技術を用いたソリューションやサービスが創出されており、DX推進の機運の上昇とともに、これらの新技術に着目し、導入する企業が増加している。

一方で、新たなデジタル技術を導入することにより、既存のシステムでは想定していなかったリスクも顕在化してきた。たとえば、セキュリティ設定の不備やアクセス権限の不備が原因でパブリッククラウド上に保存している個人情報が漏えいしたケースや、画像データの判別を行うAIを導入したところ、学習データの不備が原因で、利用者の性別によって著しく偏った出力結果となり、人権問題に発展するような事案も発生している。

DXに取り組むにあたり、AI等のデジタル技術を導入してビジネスプロセスや業務プロセスの変革を図る企業が増加しているが、これから本格的にDXを推進しようとする企業・組織は、このようなリスク事案が発生している点を、緊張感を持って受け止める必要がある。

また、昨今では、サイバー攻撃等の手口も高度化・巧妙化しており、DX推進の脅威となっている。2022年2月には自動車メーカーの主要取引先を狙ったサイバー攻撃により、同メーカーの国内全工場が操業停止に追い込まれ、サプライチェーンに多大な影響を与えた事案も発生した。このようにサプライヤーが被害を受けることによって、サプライチェーン全体が影響を受ける可能性もあり、自社で万全なセキュリティ対策を行うだけでなく、サプライチェーン全体を俯瞰し、対策を行う必要がある。

サイバー攻撃の被害を受ける企業は年々増加しており、大企業のみならず、町立病院で発生したランサムウェア被害のように、公的機関を含む中小規模の組織が標的となるケースも現実となっている。さらに、最近では、企業・組織のデータを使用不能状態にして身代金を要求するだけでなく、支払いを拒めばそのデータを流出させると脅迫する、いわゆる「二重恐喝型ランサムウェア」も登場し、悪質化している。

サイバーセキュリティについては、以前から危機意識を持ちすでに対策を行っている企業も多いが、DXの推進により、企業活動がますます企業間・組織間ネットワークに依存するようになっており、改めてルールの見直しや防御、検知等の対策の改善の必要性が高まっている。

従来から対応しているリスクコントロールを基礎として、継続的に見直し・改善を図りつつ、ビジネスモデルや業務プロセスの変革に対応した新たなリスクコントロールを導入・実施する必要がある。

企業・組織が取り組むべきデジタルリスクマネジメント

このように、官公庁や民間企業においてDXの取り組みが加速度的に進む中、ビジネスプロセスのデジタル化に伴う新たなリスク（デジタルリスク）が顕在化している。企業経営におけるテクノロジー活用度が高い程、デジタルリスクの管理を怠ることで、サプライチェーンや業務プロセスの中断・停止、結果としてのレピュテーションの毀損といった企業経営の根幹に大きな影響を及ぼす可能性がある。

そのうえで、企業・組織がDXを推進する中で、取り組むべきデジタルリスクマネジメントを紹介する。

①新規ビジネス創出リスク

新規ビジネスに取り組むうえで、業務、プロセス、組織、風土、環境を越えて変革・改革することによって生じる新たなリスク（新製品、新サービスが法規制に抵触していないかなど）を評価する仕組み・プロセスが必要となる。

②新規デジタル技術導入リスク

AI、クラウドサービス等の新たなデジタル技術を導入することにより、新たに発生し得る透明性（結果の説明責任、検証可能性）や公平性（人種差別、人権侵害）、プライバシー等のリスク観点について、個々の技術の特性に応じてコントロールする必要がある。

③データ利活用・データ保護リスク

新たな付加価値創造のための多種多様・大量データの利活用に係るパーソナルデータの取り扱い、外部委託先（データアナリスト、データサイエンティスト）の管理不備による情報漏えい等のリスクを考慮する必要がある。

パブリッククラウドの積極推進（政府ではクラウド・バイ・デフォルト原則の徹底により、クラウドサービスの利用を第一候補として検討している）に伴う個人情報等の取り扱いにおけるリスクを考慮する必要がある。

④サイバーセキュリティリスク

二重恐喝型ランサムウェア等のサイバー攻撃の高度化・巧妙化により、業務影響の被害が甚大となっている中、サイバーセキュリティに係る統制（ルール策定、運用、評価など）を実施する必要がある。

①新規ビジネス創出リスク、②新規デジタル技術導入リスクは、DXを推進するにあたり、新たな業務領域へのチャレンジや新技術の導入によって高まるリスクである。③データ利活用・データ保護リスク、④サイバーセキュリティリスクは、従来から認識されているものの、取り扱うデータの蓄積量の増加やサイバー攻撃の高度化・巧妙化により、DXの推進に関わらず、時系列的にリスクが高まる傾向にある（図1参照）。

また、DXの取り組みによって新たに生じるリスクを管理するための観点は多岐に渡る（図2参照）。技術、手法等によって考慮すべきリスク観点が異なり、不正事案を防止するためのアプローチも異なる。DXを推進するにあたって、従来のリスクマネジメントの枠を超えて、新たに導入する技術、手法を網羅的にカバーできるよう、対応を行う必要がある。

図1 デジタルトランスフォーメーション（DX）とデジタルリスクの関係性

図2 デジタルリスクに求められる観点

デジタルリスクマネジメントに取り組むにあたり、DXの取り組みによって新たに生じるリスクを管理するための観点や、個々のデジタル技術に係るリスクマネジメントの重要性について記載してきた。しかしながら、リスクマネジメントのルールを厳格に決定するまでDXに取り組まないと時代の潮流に乗り遅れることになる。テクノロジーの利活用とリスクの管理は車の両輪のように行う必要があり、次の①～④のプロセスを通じて、デジタルリスク管理を発展させていくべきである。

①試行フェーズ：ルールの確立、経営層の関与

DXへの取り組みと並行して、まずは、上述のような観点を基にデジタルリスクに係るルール整備を行う。また、経営層がリスクにおける危機意識を持ち、現場のみに押し付けるのではなく企業・組織全体でルール整備等を行い、リスクマネジメントの推進、内部統制を図るための下地を整える。

②確立フェーズ：ルールの正式化、現場担当者への意識浸透

企業・組織一丸となってデジタルリスクの管理に取り組むために、整備したルールを社内関係部署と調整を行って正式化し、そのルールを現場担当者に浸透させることが重要である。

③成長フェーズ：全社的なリスク管理手法の確立

近年では経営層がデジタルリスクの重要性を理解し、デジタルリスクを一元的に管理するための組織横断部門を設置し、企業全体で統制を図っているケースも増加している。このように、当フェーズでは、全社的にリスクを一元管理できる手法を確立する。

④定着フェーズ：マネジメントプロセスの確立

リスクマネジメントに係るルールや制度は一度制定したら終わりではなく、OODAループ（状況に応じて迅速に判断し、意思決定および行動すること）によるルール改善、新技術導入に係る新ルール策定、外部有識者による知見等を踏まえて適宜ルールに反映していくことが重要である。

図3 デジタルリスク管理の発展

DX推進の取り組みの中で、リスクマネジメントの分野は置き去りにされやすい。しかし、デジタルリスクマネジメントに適切な優先度を割り当てないことが原因で、何らかのインシデントを引き起こしてしまい、社会的信用失墜を引き起こす可能性もある。VUCAな時代を生き抜くためにはDXに取り組むことが喫緊の課題ではあるが、同時に、DXと表裏一体であるデジタルリスクの適切な管理・コントロールが必須となってきたことにも注目するべきだろう。