金融業界に学ぶデジタル時代のシステムリスク管理

デジタルレジリエンスにつながるシステムリスク管理の構築

  • 2024-07-17

はじめに

IoTの浸透や社会のデジタル化に伴うオンラインサービスの普及は、人々の生活に利便性をもたらす一方で、システム障害によるサービス停止やサイバー攻撃、個人情報の漏洩など、システム利用に伴うリスクをはらんでいます。

日本ではこうした脅威について、金融庁が「システムリスク」という言葉を用いて金融業界に対して警戒および対応を求めてきましたが、他業界の企業はどのような意識を持ち、対策を検討しておくべきなのでしょうか。システムリスク管理の動向や基本的な考え方について解説します。

顕在化していないリスクを想定することも必要

ただ、ここで大きなハードルとなるのが、「多数の国際規格やフレームワークの中からどれを選び、どのような組み合わせにすればいいのか判断が難しい」ということです。各企業の業種業態やビジネスの内容、システム構成によってリスクは異なり、当然ながら必要なフレームワークも変わってきます。多数のフレームワークを比較して効果を検討するのは、一般の企業にとっては時間の面でも手間の面でも大きな負担になります。

また、社会の変化や新たな脅威という点でここ数年を俯瞰すると、AIやブロックチェーンといった最新技術への対応、未知の感染症による世界的なパンデミック、国際的な紛争による地政学リスクの高まり、増え続けるサイバー攻撃など、考慮すべきことは多岐にわたります。

コンサルティングファームが企業のシステムリスク管理を支援する場合には、上記のようなことを念頭に置きながら支援を行っていますが、PwCの取り組みを例に挙げると、社内のリスクコンサルティングチームが専門的に「システムリスク管理の要素一覧」というリストを作成しています。これは、多数の国際規格やフレームワークの中からカバー領域に応じて有効なものを網羅的に選定し、最新技術や新たな脅威、さらには日々の業務実績を通じて蓄積したナレッジを整理したものです。

先ほども述べたように企業によってリスクは異なるため、企業のシステムリスク管理を支援する際には、ヒアリングを通して必要な要素を個別に整理します。これを踏まえ、「システムリスク管理の要素一覧」をベースに、各企業の特性に合わせたカスタマイズを行うことで、その企業にとっての最適なシステムリスク管理を定義し実施しています。

留意しておかなくてはならないのが、今後も社会は変化し、新たな技術が生まれ、リスクが増え続けていくという点です。FISC安全対策基準が何度もアップデートを重ねて金融業界のシステムリスク管理を支えてきたように、非金融業界のシステムリスク管理も常に新たなリスクに向き合い、アップデートを継続する必要があります。

企業サイドからすれば、顕在化していないリスクも含め、自社にとって必要な項目が網羅的に整理されているリストがあれば、システムリスク管理の体制づくりや具体的な施策に役立てることができます。AIなどの最新技術の場合、国内外の法令やルールへの対応も必要になりますが、PwC Japanグループには弁護士法人や税理士法人があるほか、サイバーインテリジェンスの専門チームもあるため、これらを踏まえた形でのカスタマイズも可能となっています。

まとめ

デジタルレジリエンスの一環として、システムリスクに備えるにあたっての基本的な考え方について概説してきました。FISC安全対策基準をはじめ、国際規格やフレームワークといった既存の知見は、企業がシステムリスク管理を進めるうえで大きな助けになりますが、多数のフレームワークの取捨をどう見極めるかが課題であることも見えてきたと思います。

AIが台頭し、サイバー攻撃が増加する一方で、国内外を含め法的な整備は追いついておらず、各企業は現状に対応するだけでなく未来を予見しながらシステムリスクに備えることが求められています。そのためには、まずは自社のシステムリスク管理の実態をつかみ、十分な統制が効いているかどうかを把握したうえで、今後の対応を探る必要があります。システムリスクに備えることは、デジタルレジリエンスの向上にもつながる点は意識しておくべきなのではないでしょうか。

執筆者

小菅 侑子

シニアマネージャー, PwCコンサルティング合同会社

Email

{{filterContent.facetedTitle}}

{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}

本ページに関するお問い合わせ