NTTデータ・セキュリティ創立10周年特別コラム情報セキュリティの10大潮流－その4－
～新しいリスクマネジメント～

■■　セキュリティ管理の確立【カテゴリ1】　■■

第4の潮流「新しいリスクマネジメント」

前回コラム「情報セキュリティの10大潮流－その3－～ガバナンス（内部統制）時代の到来～」でガバナンス時代について説明しましたが、「情報セキュリティ管理（ISMS）」、「個人情報保護法」、「日本版SOX法」、「新会社法」、「事業継続管理（BCM）」等々、あらゆる場面においてリスク管理と一体となった内部統制が求められています。さらに電子化等に伴う規制緩和が進むに従い、企業や組織の自己責任範囲の拡大や社会、経済状況の変動等によるリスクが多様化する中で、企業競争力を高めるエンタープライズ・リスクマネジメント（ERM）にも注目が集まっています。今回はこうした新しいリスクマネジメントの潮流について解説します。

1. リスク管理が注目される背景

リスク管理は、古くて新しい問題として、新たに注目されています。今日株主、顧客、従業員、取引先等のステークホルダ（利害関係者）に対する責任や社会に対する責任（CSR）の重要性が増し、内部統制と一体となったリスク管理が強く求められています。一方企業を取り巻く多様なリスクが顕在化し、企業に損害が生じた場合の企業価値に与える影響も大きくなってきています。また一度何らかのリスクが発生し、株価の下落に直面すると、その回復は容易ではありません。ある調査では、フォーチュン1000企業のうち10％程度が1か月で25％以上の株価下落に見舞われた経験を持つようです。

2. あらゆる側面で求められるリスク管理

昨今の情報セキュリティに関わる多くの法律や諸制度では、リスク管理に基づいたコンプライアンスが求められています。

(1)日本版SOX法（金融商品取引法）

現在SOX法（サーバンスオックスレー法 : 米国企業改革法）が世界的にも注目されており、日本でも日本版SOX法が上場企業に対して内部統制の構築と運用を求めています。日本版SOX法は通称で、証券取引法の抜本改正である「金融商品取引法」の一部規定がこれに該当します。 日本版SOX法が求めている内部統制の目的としては、「業務活動の有効性」、「財務報告の信頼性」、「関連法規制の遵守」、「資産の保全」を挙げています。それぞれ固有の目的ですが、互いに独立したものではなく、密接に関連しています。金融商品取引法では、財務報告の信頼性を目的として、有効な内部統制を求めていますが、財務報告は、組織の業務全体と密接不可分の関係にありますから、目的相互間の関連性を理解した上で内部統制を構築し運用することが望まれます。そうした内部統制を構成する基本的要素は、「統制環境」、「リスクの評価と対応」、「統制活動」、「情報と伝達」、「モニタリング」、「ITへの対応」からなります。この6つの基本的要素がすべて適切に整備および運用されることが重要で、内部統制の有効性を判断する際の評価基準となるものです。「リスクの評価と対応」では、財務報告の重要な事項に虚偽記載が発生するリスクへの適切な評価及び対応がなされることとして、以下のリスク管理が必須の管理項目になっています。

• 重要な虚偽記載が発生する可能性のあるリスクの識別、分析
• リスクを低減する全社的な内部統制及び業務プロセスに係わる内部統制の設定 特にSOX法では、第三者の監査を可能にしておく必要がありますので、リスク分析やその対応等について文書化（可視化）しておく必要があります。

(2) 情報セキュリティマネジメントシステム（ISMS）

ISMSは、国際標準規格ISO 27001が2006年に定められ、事業所が継続的に情報セキュリティを改善できる能力があるか否かを審査する第三者認証制度も整備されています。このISMSは、情報および情報システムのセキュリティに焦点を当てた経営管理システムのしくみで、「情報」の完全性、可用性、機密性の3つの観点で適切な対応を求めるものです。対象とする情報についてデータフローや業務プロセスに関してリスクを分析していくことになります。さらに国際標準化機構（ISO）では、リスク管理プロセスと情報セキュリティ管理にかかわる作業を規格化し、情報セキュリティ・リスク管理向けのガイドラインとして「ISO/IEC 27005：2008」を新たに策定しています。

(3) 個人情報保護法

個人情報の入手、利用、破棄などに係わる業務プロセスにおいて、個人情報漏洩のリスクへの対応が必須になってきています。個人情報保護法が2005年に施行されてから4年目年に入った今日、情報漏洩の発生による社会的ペナルティが大きいこともあり、企業では、情報漏洩防止システムの導入や管理の強化を進めているところです。しかしながら未だに企業・組織による情報漏洩が止まらないのが現状です。こうした情報漏洩をはじめとした情報セキュリティへの対応については、企業内の部分的、応急的処置では限界があり内部統制に基づく、全社的・継続的なリスク管理が益々要求されているところです。

(4) 事業継続管理（BCM）

2002年に英国規格協会（BSI : British Standards Institution）がBCP（事業継続計画）の一般仕様として「PAS56」を策定しました。米国でも2004年にNFPA（National Fire Protection Association）が「NFPA1600」を発行し、BCMの導入を推進しています。日本においても情報セキュリティ分野を中心とした事業継続ガイドライン（2005年内閣府防災担当）や事業継続策定ガイドライン（経済産業省）が公表されているところです。先に説明しましたISMSの中には事業継続性も定められていますが、この場合には不正アクセスやウイルス等の情報セキュリティに関わる事業継続に限定されています。 BCMで最初に行うことは、自社の現行業務を理解し、最優先すべき事業の要件を定義することです。その後、現行業務プロセス、フローを把握しながら、想定されるリスクならびに被害を検討します。さらに、この検討結果を元に、ビジネス影響度分析（BIA : Business Impact Analysis）を導き出し、目標復旧時間（RTO : Recovery Target Objective）を決定していきます。

3. オーバオールなリスク管理に向けて

(1) リスク管理の新たな展開

従来からリスク管理とは、リスクを防止したり極小化したりして生じる損失を最小限にする総合的な管理手法であり、問題が起きたときに何をするかをあらかじめ考えておくことです。このようにリスクに対しては、避けるべきものとして従来からネガティブなイメージを持っていますが、今日ではむしろポジティブな要素として捉え、積極的に統合管理して「損失の回避軽減」から「企業価値の維持向上」へ、「個別のリスク対応」から「全社リスク対応」に変革するエンタープライズ・リスクマネジメント（ERM）として進展してきています。企業・組織では、あらゆるリスクについて、相互関連性を踏まえて統合的な対応が求められるようになってきていると言えます。こうした背景の中で企業のリスクマネジメントのあり方を大きく変えるきかっけになったのがCOSO-ERM(COSO Enterprise Risk Management2004年)です。

(2) COSO-ERMで新たに明確にされた概念

COSO-ERMでは、リスクを企業戦略の中で検討されるものとして位置づけており、リスクマネジメントの枠組みを提供することを目指して作成されました。その目的には、「①経営戦略への貢献」、「②業務の有効性」、「③財務報告の信頼性」、および「④関連法規制の遵守」の4つです。内部統制のフレームワークであるCOSOとの違いは「①経営戦略への貢献」が加わったことでCOSOーERMフレームワークでは、内部統制の構成要素として「内部環境」「目標設定」「事象の認識」「リスク評価」「リスク対応」「統制活動」「情報と伝達」「監視活動」を挙げています。 従来型のリスクマネジメントは、対象とするリスクを限定しリスク管理部門等専門的に特化した組織が対応していました。またリスクは、損失や危険をもたらすものとして、可能な限り回避・抑制するものとして捉えていました。一方ERMでは、事業上想定されるあらゆるリスクを対象とし、経営トップから末端までの全組織で対応すべきものとし、付加価値の源泉として積極的に受容するものとして捉えています。<図1参照>

(3) 広がりはじめているERM

日本版SOX法への対応でもグループ企業全体を対象にして、業務の見える化やリスクベースでの戦略策定や業務改善の気運も高まっており、より高度なマネジメントプロセスであるERM（エンタープライズ・リスクマネジメント）への展開に注目している企業も増えています。また、企業の格付け会社では、企業の評価基準にエンタープライズ・リスクマネジメント（ERM）を含めるところもあらわれているようです。さらに、日本CFO協会が2007年10月から11月にかけて実施した「財務マネジメント・サーベイ」でも、66%のCFOが現在の最重要課題として「内部統制への対応強化」を挙げている一方で、3年後の最重要課題としては34%のCFOが「ERM」を挙げているようです。