2021/3/31

DXの裏に潜む脅威。いま私たちが、本当に「守るべきもの」とは何か

Kimiwada Fumiya
NewsPicks, Inc. Brand Design Editor
デジタルトランスフォーメーション(DX)の推進が加速している中で、「デジタルリスク」に備える必要性が高まっている。そもそも「デジタルリスク」とは何か。デジタルリスク管理は具体的にどんなアプローチが必要なのか。

世界67の国・地域へセキュリティサービスを提供するなど、グローバルに強みを持つアクセンチュア セキュリティグループのストラテジー アンド リスク 日本リード 大茂 幸子氏と、ビジネス コンサルティング本部 インダストリーコンサルティンググループ日本統括 マネジング・ディレクター 中村 健太郎氏に聞いた。
INDEX
  • 「デジタルリスク」とは
  • なぜ「危機意識」が十分ではないのか
  • デジタルリスク管理は前提条件
  • 世界最大級のDXおよびセキュリティ
  • セキュリティグループ急成長の理由

「デジタルリスク」とは

──そもそもデジタルリスクとは、具体的にどんなリスクを指しますか。
大茂 マクロな視点では、急速に進む技術革新を背景に、経済と安全保障双方での米中覇権争いを起点とした国際的な陣取り合戦が繰り広げられていることから、グローバル政治・経済の秩序・構造が大きく変化するリスクがあります。
 デジタル関連分野に必要な「データ」「課税」「技術標準」等に対する国際ルールが十分確立していない点もリスクです。
 国境を越えたデータ収集・活用を得意とする他国の巨大データプラットフォーマーがさまざまな業界・産業に“越境”し市場を独占するリスクや、国民の行動や関心がリアルタイムで把握され人々の社会生活に影響を与えるリスクも想定されます。
 加えて国家ぐるみのサイバー攻撃や国際犯罪グループによる被害も後を絶ちません。
 一方ミクロな視点では、各組織が対応すべきリスクとして大きく3つあげられます。
 まず、 “サイバーセキュリティリスク”、つぎに、“デジタルテクノロジーリスク”があります。Cloud/AI/Blockchain等の新しいテクノロジーの適用・データ活用・各種エンタープライズプラットフォーム使用における設計/設定ミス・新しいテクノロジーの脆弱性・法規制(データ保護・プライバシー・産業別規制・各種技術標準)等に関するリスクが想定されます。
 そして、組織のDX推進における “デジタルガバナンスリスク”への対応も重要です。
 価値創出のためのビジョンや戦略・経営者のコミットメント・抜本的な組織変革から、新しいビジネスモデル/オペレーティングモデルの再構築・人材のリスキル等の組織能力を向上させる仕組み整備に至るまで、成熟度向上や定着化をモニターし、統合的にガバナンスリスクを管理していく態勢がDXの成功率を高めるカギとなります。
 なおデジタルガバナンスリスクにはDXに挑戦しない場合の”機会損失”や、DXに“失敗”するリスクも含まれます。DX成功に至る数年の道程を導くため、組織横断的なデジタルリスク管理態勢の構築が求められています。
──機会損失と失敗のリスク、ですか。
大茂 はい。これまでのITリスク管理ではシステム障害や情報漏えい等、安全や安心の確保に主眼が置かれてきました。
 しかし、コロナ禍で半ば強制的にデジタルシフトが進み、企業のみならず政府を含む、世界の官民双方の組織が、最大のリスクであり最大の機会であるDXに直面することになりました。
 ビジネスの経営環境が短期間で変化し競争が激しくなる中で、世界的に企業の寿命も短命化しています。次世代の事業創造のために、いかに新規ビジネスの設計・創出を戦略的に推進していくか、そのイノベーション創出の成功確率を高める役割もデジタルリスク管理に含まれます。
 そこで私たちは、DX時代の経営を支えるデジタルリスクへの対応を「デジタルリスク管理」として、お客様をご支援しています。
中村 リスク管理の重要性が叫ばれているいま、不十分なリスク管理態勢は、企業ブランドの低下、株価の低迷、金銭被害、そして法令違反による罰則など、多大な被害を招く可能性も高まっています。
 セキュリティ上のリスクにさらされている状態では、そもそも攻めの状態に整えられないし、攻めの経営を実現できません。
 加えてDXの推進が必要不可欠な中で、DXへの取り組みが遅れる「機会損失のリスク」にも対応すべき時代を迎えつつあるのです。

なぜ「危機意識」が十分ではないのか

──日本企業のデジタルリスク管理の現状をどのように捉えていますか。
中村 欧米企業と比較すると、日本企業の経営者のデジタルリスク管理への危機意識は十分でない状況にあります。たとえ経営課題という認識はあったとしても、具体的な対策を図れていないのが現実ではないでしょうか。
 欧米企業の多くは、各社が独自にデジタルリスクの対策範囲を設定しています。一方で、日本企業の多くは対策の範囲以前に、自社にとってのリスクの定義が明確ではないというのが現状です。
 そもそもリスクとは自然災害と同じで100%事前に回避することは困難ですし、どの企業にも当てはまる完璧なガイドラインはありません。多忙な経営者が、リスクの全てを把握・対応することは不可能に近い。
 とはいえ、おろそかにはできない。だから「この範囲までが企業としての責務である」と定めて、無限のリスクを有限にする欧米企業の手法は学ぶべきところがあります。
 経営戦略として、どのリスクを回避、低減すべきか、受容するか、事前に定義する必要があるのです。
──なぜ日本企業はリスク管理に対する危機意識が十分ではないのでしょうか。
大茂 日本の文化的な側面もあるかと思います。欧米のリスクマネジメントは財務的リスク管理を背景に、リスクは必ず顕在化し、人間は間違いを犯す、等の理解が前提です。
 裏を返せば、失敗を生かし許容する文化があるということでもあります。
 一方、日本のリスクマネジメントは社会的な「信用」を守るために、コンプライアンスや緊急時対応を重視する傾向にあります。背景の一つとしては、日本には「縁起でもない事」を言ったり考えたりすること自体がタブー視される「言霊文化」もあるからではないかと。
 事故や失敗は「悪い事象」で起こってはならないという傾向があります。そのため事故や失敗が起こる可能性でさえ、口に出すことが忌避され、これには「安全神話」という“思考停止”を招く文化的側面も感じます。
 社会の関心が、事故や失敗を起こさない仕組み作り(リスク管理)よりも、発生した事項や失敗の責任問題やバッシングへと集中してしまう傾向にある。
 リスクマネジメントは、事故が起こる前に、可能性として起こり得る事故や失敗を検討し、事象や影響の大きさから対応可否や優先順位付けを行い、リスク対応(受容・回避・移転・低減等)を検討する管理手法です。
 リスクの検討は、日本人にとって「縁起の悪いこと」を想定し洗い出す作業でもあり、日本的思考においてチャレンジになっているのかもしれません。
 また、企業組織でいえば、所管部門やグループ各社に見られる閉じた縦割りの問題もあります。既得権益等を背景に、事実の共有・認識の統一・標準化が遅れ、有機的で横断的な意思決定が難しい現象も見受けられます。

デジタルリスク管理は前提条件

──とはいえ、危機感が十分でない状態でリスク管理を強化する発想に至るのは難しいです。
中村 おっしゃる通りです。しかし長い時間軸で見ると、現状のビジネスを維持しているだけでは、後に衰退していくのは目に見えていますよね。あくまで“攻めの経営”のベースに、デジタルリスク管理がある、そう発想を転換していただきたいと考えています。
 私たちを取り巻く環境は、米中貿易摩擦に始まり、法規制・標準、地政学、サプライチェーンの分断、DX、自然災害や気候変動、国際情勢や事業環境へのリスクの高まりで、不確実性を増しています。
中村 産業構造の大変革期において、組織は事業の方向転換を継続的に図っていく必要があります。デジタルリスク管理の全体構想をもとに、組織の復元力を強化するためのリスク管理に取り組むことが必要になります。
デジタルリスク管理はあくまで経営戦略やDXの方向性に沿って、その定義を考えるべきです。その上で、最優先で対策すべきリスクを定義・決定する。あわせて経営陣がその判断を自ら行うことが、リスク対策の第一歩です。

世界最大級のDXおよびセキュリティ

──実際の対応は、どのようにされていますか。
大茂 DXを成功させるため、デジタルリスク管理の重要性を理解いただき、その上で対策の検討へ進める必要があります。
 具体的には、我々の強みであるグローバルの事例をもとにリスク分析を数値化した論理的な提案、他チームの多種多様な知見を持つコンサルタントとの連携をもとに、お客様の目的や状況に合わせて、さまざまな角度からアプローチしています。
中村 リスク管理の重要性をご理解いただくことは、とても難しいテーマですよね。
 例えば健康な人がヘルスケアにお金を投資しないことに対して、一度病気をした経験がある人は食生活や運動など、健康管理に膨大な投資をするようになりますよね。
 これと同じで、事前にリスク管理に投資することで、大きな損害を防ぐこともできるはずです。
 それに、現在のDXの潮流を読み解けば、自然とリスク管理意識は高まるはずです。私たちもまずは時代の流れを理解いただいた上で、リスク管理の優先順位を上げる必然性をお伝えする努力をしていますね。
──日本におけるデジタルリスク管理を推進していく上で、アクセンチュアならではの強みとは何でしょうか。
大茂 アクセンチュアは、デジタルビジネス変革のサービス提供においてリーダー企業と評価※されています。
大手グローバル調査会社フォレスター・リサーチの四半期レポートで、CEO主導によるデジタル変革サービス関連の売上高、社員数、拠点展開数などに基づいて算出された「市場プレゼンス」部門の1位を獲得
 ストラテジー&コンサルティング、インタラクティブ、テクノロジー、オペレーションズの各事業領域をコアに、デザイナー、アーキテクト、データサイエンティストをはじめ、DXに必要な30種類以上の多様な専門家を抱えています。そのためEnd-To-Endでお客様の変革を推進することが可能になっており、デジタルリスク管理もそのなかで重要なパートを担います。
 さらに、アクセンチュアのセキュリティシェアについて言えば、セキュリティコンサルティングとアウトソーシングを合わせ世界最大級となります。世界67の国・地域へ20年以上にわたりセキュリティのサービス提供をしてきた豊富な経験を持ち、セキュリティ運用に特化した専門チームも自社に備えています。
 セキュリティ分野におけるリーダー企業やエコシステムパートナーとのリレーションも構築していますので、構想策定から実装に至るまで、世界レベルのサービスを提供可能です。

セキュリティグループ急成長の理由

──セキュリティグループの社員数も近年大幅に増えているそうですね。
大茂 はい、日本でも組織の規模はかなり大きくなりました。アクセンチュア社内でもセキュリティは成長分野として注目されています。
 サイバーセキュリティ対策を含むデジタルリスク管理に関する相談が急増している中で、私たちは多くの優秀な人材を必要としている状況です。喫緊の課題として、デジタルリスク管理に関わる人材の採用に注力していきたいと考えています。
 多様性を大事にしているアクセンチュアでは、社員一人一人の「やりたいこと」や「挑戦したい仕事」を尊重します。積極的にバリューを出す人を相互に支援しあうことで、自らの強みを最大限に発揮できます。
 意欲的な人ほど責任のある仕事を任せられる土壌がありますので、自分の意思や希望をストレートに伝えることでより早く成長していけます。
──いま、アクセンチュアセキュリティグループのストラテジー アンド リスクに入ることで得られる経験とは何でしょうか。
中村 デジタルリスクの理解や重要性は徐々に浸透しつつありますし、これからいや応なくデジタルリスク管理の必要性は世界中で高まっていきます。
 しかし、デジタルリスクの知見に長けた人材はそう多くない。そのため、いまデジタルリスクの領域に飛び込むということは、希少価値の高い人材になれることを意味しています。
大茂 経営視点からトップダウンでデジタルリスク管理を提言するチームとして、戦略から実装まで通しで見渡せるのが仕事の醍醐味です。
 私たちの取り組みに少しでも共感していただけたのであれば、ぜひ仲間になっていただき共に新しい挑戦ができるとうれしく思います。皆さんと一緒に働ける日を、心待ちにしています。
構成:シンドウサクラ
取材・編集:君和田 郁弥
デザイン:Seisakujo