ITリスクが経営のリスクに直結する今、技術のみならずコンプライアンスの観点から想定されるさまざまなリスクを察知し、適切な予防と対処をすることが必須となる。とりわけ規制産業と呼ばれる業界では、業務とITの連携・調整は困難を極める。ライフサイエンス領域に長年携わり、現在、デロイト トーマツ リスクサービス株式会社で、企業IT構築をリスク観点から支援する貞本康裕氏に、ITリスクコンサルタントの役割と重要性について聞いた。

リスクを前提として、経営視点でITを提案する

デロイト トーマツ リスクサービス株式会社は、サイバーセキュリティ、ITガバナンス、事業継続管理(BCM)などに関する多くの知見やノウハウをベースに、総合的に企業のリスク管理活動を支援しています。
企業を形作る要素として、「業務」「労務」「財務」「税務」「法務」という5つの「務」があります。それらが全体として整合してはじめて、企業は活動を維持できるわけですが、そこにITが活用される場面は多々あります。
「グローバル化」と「デジタル化」。2000年代に入って以降、企業にとっての経営課題の主なものはこの二つだと思っています。私が担当する製薬・ライフサイエンス業界も例外ではなく、大きな会社になればなるほど、それらの課題はより重くのしかかっています。
そのような状況で、企業が新しいITを活用しよう、それをグローバルの枠組み全体で導入しようと考えたとします。そこには、ITシステムをどうこうするだけではなく、先ほど挙げた5つの「務」のすべてにわたる、非常に複雑な組織の変容が求められます。
貞本康裕 デロイト トーマツ リスクサービス株式会社 ディレクター
大学を卒業後、総合商社系SIに在籍し、R&D部門でライフサイエンスに関わる。バイオインフォマティクス領域で、コンピュータ上で細胞シミュレーションするプロジェクトにも参画。その後、大手外資系ITコンサルティング会社へ転職し、製薬企業のR&D部門でコンサルティングを担当したほか、セールスも経験。コンサルティング会社2社を経て、2016年10月より現職。有限責任監査法人トーマツからデロイト トーマツ リスクサービス株式会社に出向して、ライフサイエンス領域のITリスクコンサルティングに従事する。
私たちコンサルタントの基本的な役割は、ITを活用して変革を遂げようとする企業に対し、経営視点での適切なアドバイスをすることです。現在、企業の変革の“てこ”として大きな部分をITが占めており、それは今後ますます高まっていくでしょう。
その中で、ITリスクコンサルタントに求められる役割は、“副交感神経”を働かせること。常にリスクベースで物事を考えながら、クライアントにITを提案できることです。
単に「良いシステムがあるので導入しましょう」と言っても、それだけでは企業は投資判断ができません。「このシステムを導入すればこんなメリットがあるが、代わりにこういうリスクもある。ただそのリスクは、こんな方法で、これだけの投資で抑えられる」ということを緻密に説明できる力が、ITリスクコンサルタントに求められています。
企業にとっては、アクセルを踏んでミッションに向かって突き進むことも必要です。そこでITリスクコンサルタントは、同時にブレーキペダルに足をかけながら、顕在・潜在するリスクに目配せをして、本当に危ない時にはブレーキを踏むわけです。ただ、「リスクがあるからやめよう」と言って、企業という車を完全に止めてしまってもいけない。リスクをとらえ、管理しながらも前に進むバランス感覚が求められる仕事です。

規制が厳しいライフサイエンス業界

ライフサイエンス業界のプロダクトは、人の健康や生命に関わるものです。そのため、レギュレーションが非常に厳しい。そこに準拠していかなければならないという、企業にかかる重圧は、他業界に比べて桁違いに大きいものです。
この業界には「GxP」という言葉があります。これは「Good x Practice」の略で、「x」にはさまざまな言葉が入るのですが、要するに、プロダクトの製造から流通段階における製品の安全性と確実性を確保することを目的に策定された品質ガイドライン、規制である「適性基準」のことです。例えばGMPだったら、製造管理・品質管理(Manufacturing)に関する基準。ほかにも、GLPなら非臨床試験(Laboratory)、GCPは治験(Clinical)に関する基準のことで、バリューチェーンの構成要素ごとに細かく規制されているのです。
こうした細かい規制は、製薬企業にとっては非常に煩雑なものに違いありません。ただ、私たちコンサルタントの立場からすると、こうした規制の厳しい業界こそ、私たちが役に立てる場であるという意識を強く持っています。
薬事という厚生労働省に対して医薬品の申請を行う業務がありますが、例えばこの業務システムを改修するとなった時に、厳しいバリデーション環境を作らなくてはなりません。それを分かっていないベンダーは、競争にすら参加することができないのです。
また、レギュレーションの変更が頻繁であることも、ライフサイエンス企業のリスクです。一つの業務を変更すると、それを支えるシステムの側は企業のシステム全体の整合を取るために、最初に申し上げた5つの「務」にわたる変更や、バリューチェーンを横断する変更の可能性までを視野に入れる必要があります。
その点、私たちには、クライアント企業の業種、サービスといったカテゴリごとに、ビジネス上でどのようなリスクがあるかを徹底的に調べ尽くしたデータベースがあります。「守り」のノウハウを熟知しているわけです。
監査法人系のコンサルタントは、会社ごとのビジネス事情を数字で評価し把握することができるため、経営視点を持ちながら、包括的に業務・システムの変革をデザインできることが強みだと思います。

ライフサイエンス業界の先端領域

このように、ライフサイエンス業界は非常に規制が厳しい業界ではありますが、別の見方をすると、エンジニアにとって大変興味深い業界だとも言えます。
現在は、生体のメカニズムというものが、数学的あるいは物理学的には解明されていません。製薬の領域では薬効、安全性・毒性、薬物動態、物質の安定性など複雑な評価の組み合わせを経て製品化に至ります。薬が人の体に入り、何の成分がどのように効くのか、あるいは副作用が出るのかというのは、極端な言い方をすると確率論であり、不確実性をはらむやり方です。そのため現在は、試験管での実験、動物での試験、次は人体での臨床試験…という段階を経て薬をつくっているのです。
しかし、ゲノムが解析され、遺伝子情報から人の体がどのように形作られているか、どのようなメカニズムで生命が維持されているのかが少しずつ分かってきました。一方で、ビッグデータ解析に象徴される様にコンピュータを用いた情報処理技術のほうも進化を遂げています。何の成分が人体にどう作用するのかについては無数の組み合わせのパターンがあるので、人の頭で最適解を見つけ出すことは到底無理です。一般のPCでもそれは無理で、スーパーコンピュータ、将来的には量子コンピュータなども用いて、ようやくできるかどうかという世界。そんなところでしのぎを削っているのが、いまのライフサイエンス領域の研究開発の最先端なんですね。
ITリスクコンサルタントの立場からも、ライフサイエンス業界にはそうした不確実性を解いていかなくてはならない業界であるということは理解しておく必要があります。それが実現するのは早くても10〜20年先の話だと思いますが、確率論ではなく、コンピュータ上のシミュレーションで製薬できるようになれば、それで本当に安全なのかをアセスメントする人が必要になりますし、業界は相当なオペレーションの変革を迫られるでしょう。
そのような近未来を見据えて、製薬企業やライフサイエンス業界が今後どうなっていくかを考えるのは、一人の技術者・研究者として非常にワクワクすることです。そして同時に、そこで生じるであろう企業の変革に対して、私たちのようなコンサルタントが目配せしてできることもあるだろうと思っています。
(取材・文:畑邊康浩、写真:中神慶亮[STUDIO KOO])