中国は湖北省・武漢市に始まり、現在も世界中を混乱の渦に巻き込んでる新型コロナウイルス(COVIDー19)。日本では4月7日より緊急事態宣言が発令され、5月25日に宣言を解除、その後は段階的な評価によって緩和措置を実施しました。
しかしながら、新型コロナウイルスの世界的なパンデミックを受け、企業はビフォアコロナ(新型コロナウイルスが存在していない)の時代には考えられなかった速度で、急速な働き方改革が求められています。これにより、リモートワークをはじめとしたビジネスのデジタル化である「デジタルトランスフォーメーション(DX)」が、企業の最重要経営課題であることがより強調される結果になったと言えます。
強制力の高い外部要因によって緊急的な働き方改革を余儀なくされた状況下において、新しいテクノロジーに十分な検証や研修期間を設けることは難しく、全ての面において未熟のまま未知のテクノロジーを搭載するケースが増えています。そうした際に懸念すべきなのが、テクノロジーに起因する「デジタルリスク」の発生です。
AI(Artificial Intelligence/人工知能)、IoT(Internet of Things/物のインターネット)、RPA(Robotic Process Automation/ロボットによるプロセス自動化)といった最先端テクノロジーを活用してDXを推進するにあたり、企業が取り組むべき「デジタルリスクマネジメント」とは一体何なのか?本記事ではその押さえるべきポイントをご紹介します。
あなたのDXを推進するのは誰?
世界中で新型コロナウイルスがパンデミックを引き起こし、強制的な働き方改革を余儀なくされているのは日本だけではありません。新型コロナウイルスがWHO(World Health Organization/世界保健機関)によってパンデミックと認定されてからすぐに、Twitter上で次のような投稿が4,000回以上リツイートされています。
Who led the digital transformation of your company?(あなたの会社でデジタルとランフストーメーションを牽引しているのは誰ですか?)という質問と共に3つの選択肢が用意され、「COVIDー19」がチェックされています。つまり、新型コロナウイルスの影響により強制的にDXを推進しなければいけない状況下にあることを示しています。
人類の歴史において、パンデミックが発生した後の社会には様々な社会環境のパラダイムシフト(常識的な考えが劇的に変化すること)が起きています。19世紀にパンデミックを引き起こしたコレラは100万人以上の死者を出し、飲料水の消毒や上下水道のインフラ整備が先進国を中心に広がり近代的な公衆衛生が確立されるきっかけになりました。
これに対し、新型コロナウイルスでは現在、ソーシャルディスタンスを強制するための首都ロックダウンが世界各地で実施され、企業のDXと働き方改革の推進を強制的に進めようとしており、人々の生活と社会環境が大きく変化する転換期に到達していると考えられます。
アフターコロナに待ち受けるデジタルリスク
企業がビフォアコロナの時代から様々なデジタルリスクに晒されていました。2019年の調査では、日本と米国で次のようなセキュリティリスクが頻発しています。
| 脅威となる事象 | 日本 | 米国 |
|---|---|---|
| 標的型攻撃による情報漏洩 | 1位 | 1位 |
| 内部不正による被害(情報漏洩、業務停止) | 2位 | 8位 |
| ランサムウェアによる被害(情報消失、金銭被害) | 3位 | 3位 |
| メールの誤送信・誤配信 | 4位 | 9位 |
| 情報機器・社員証等の置き忘れに、棄損による情報漏洩 | 5位 | 6位 |
| 退職者・転職者による在職時に利用していた情報の使用 | 6位 | 7位 |
| ビジネスメール詐欺(BEC)による金銭被害 | 7位 | 4位 |
| サービス妨害攻撃(DDoS攻撃など)によるサービス停止 | 8位 | 2位 |
| 自社ウェブサービスへのリスト型アカウントハッキング | 9位 | 5位 |
このようにデジタルリスクが存在する中で、アフターコロナ(新型コロナウイルスが広がった世界)の時代ではこれらの脅威がより高まる可能性が懸念されています。その背景にあるのが、対面でのコミュニケーションが減少することでちょっとした確認を怠ったり、思い込みが生じたりしたBECなどのリスクや、データをどこでも利用できることによって機密情報等が持ち出されるリスクが高まるのではないかと考えられています。
そもそもリスクマネジメントとは何か?
上記に紹介したデジタルリスクの発生や危険性の増大を防ぐには企業としてリスクマネジメントが欠かせません。しかし、リスクマネジメントとはそもそも何なのでしょうか?
これは、デジタルリスクに限らず将来発生しうるリスクを想定し、そのリスクが顕在化した際に損失を最小限に留めるための取り組みを意味します(本記事ではリスク=損失と定義)。さらに、損害の最小化は、最小化のための取り組みにかかるコストを含めた総額を最小化することも含めており、リスクマネジメントを導入する際の一つの基準として事前評価すべき指標となります。具体的なリスクマネジメントのステップは次のようになります。
ステップ1. リスクアセスメント
自社及びそれを取り巻く環境下において、発生しうる可能性のあるリスクを網羅的にリストアップした上で、それぞれのリスクが顕在化した際の推定損失(金額ベース)と、それが顕在化する確率を評価します。
ステップ2. リスクマッピング
リスクごとに評価した属性情報(推定損失額や発生確率など)を基にして、縦軸をリスクが発生した際の損失の大小、横軸をリスクが発生する確率の大小を取り、それぞれのリスクを配置します。
ステップ3. リスクコントロール
リスクごとに具体的な対策方法として「回避」「低減」「移転」「保有」の4つに分類し、マッピングされたリスクごとにどのような対応を取るべきかを認識し、検討します。
このようなステップでリスクマネジメントを実施することで、アフターコロナ時代のデジタルリスクを適切に管理しながら、リスク発生を抑制する取り組みを進めていくことが可能です。
変革の時代にこそ攻めのIT戦略を
いかがでしょうか?デジタルリスクマネジメントは、新型コロナウイルスによる社会的変革を乗り越えるために欠かせない管理です。そして、強制的ではあるものの働き方改革やDXによる変革はすぐそこまで来ています。そんな時代だからこそ、従来の守りのIT戦略から攻めのIT戦略へと転換し、働き方改革やDX、デジタルリスクマネジメントを同時に推進して行っていただきたいと思います。
![[Azure]【AvePoint × PSC】動画で解説「ローコード実践術 × データ保護」](https://www.cloud-for-all.com/hubfs/images/cta/cta-footer-low-code-practice-and-data-protection.png "[Azure]【AvePoint × PSC】動画で解説「ローコード実践術 × データ保護」")
