デジタルトランスフォーメーション(DX)への取り組みが進むと、想定していなかった新たなリスクが次々と表出する。経営へのインパクトの大きさをしっかりと認識し、柔軟な復元力を持つレジリエントなデジタルリスクマネジメント体制を構築することが、DX推進には欠かせない。
DXの進捗とDRM成熟度の相関関係
データやAIの活用、それによるビジネスモデル変革といったDXの取り組みは、いずれも既存ビジネスの領域を大きく超える取り組みである。
未知の領域には、未知のリスクが存在する。「DXを推進するほど、抱え込むリスクの種類と数は増え、問題が複雑化します」と語るのは、企業のDXを支援するコンサルティングファーム、Ridgelinezの藤本健氏である。
一例として藤本氏が挙げるのが、豪州の軍需関連企業が起こした情報流出のケースだ。
「ハッキングによって同社のサプライヤーから盗み出された情報が他国に送られ、兵器開発に利用されてしまいました。このような情報漏洩事案が増加する中で、米国ではNIST(国立標準技術研究所)が定めたセキュリティ基準を軍需関連企業に適用しました。欧州で個人情報保護を目的とするGDPR(一般データ保護規則)も導入されており、データ保護の新たな規制やガイドラインへの対応は企業の必須課題です」(藤本氏)
最近では、クラウド上に構築したシステムの脆弱性を突く不正アクセスのリスクも増大している。たとえばある小売企業は、パブリッククラウド上にオンラインカード決済のためのシステムを開発した。CX(顧客体験)向上が狙いであったが、設定ミスによってシステムに脆弱性が生じ、不正アクセスが相次いだ。
Ridgelinezの宇田川千穂氏は、「こうしたクラウドリスクのほかにも、AIの利用に伴う倫理リスク、サイバー攻撃によって生じる事業継続リスクなど、DX推進を巡るリスクは多様化、複雑化しています」と指摘する。
DXによって新たな価値を生み出すためには、車の両輪としてのDRM(デジタルリスクマネジメント)が欠かせない。しかし、日本企業のDRMへの取り組みは、あまり進んでいないようだ。
宇田川氏は、「当社が実施した950人へのインターネットモニターリサーチによると、リスク評価、対応策の検討・優先順位付け、ロードマップ策定、施策実行とモニタリングなどの状況をもとに、成熟度が『高い』と評価できる企業はわずか15%にとどまりました。74%の企業は成熟度が『低い』という結果でした」と明かす。
調査結果をさらに分析したところ、DX施策は、DRMの成熟度が高い企業ほど計画どおりに進んでおり、成熟度の低い企業では、遅れや停滞が目立つ傾向も明らかになったという。
「DXの進捗とDRMの成熟度には相関関係があるようです。DXを推進すればするほど、発生しうるリスクが明確になり、対処の必要性が生じるからではないでしょうか」(藤本氏)
