![](/content/dam/pwc/jp/ja/knowledge/thoughtleadership/2024/assets/image/only-prop-g973715860.jpg/jcr:content/renditions/cq5dam.thumbnail.319.319.png)
保険業界におけるWeb3.0の動向と影響
近年日本でも新たなマーケットプレイスとしてLife Settlement(保険の買取ビジネス)が期待を集めているといった動向も踏まえ、本レポートでは、改めてWeb3.0に着目し、Web3.0関連技術の活用による変革の機会を見据えた今後の論点などを解説します。
ブロックチェーンは、その技術特性により高い改ざん耐性を持ちます。しかし、ブロックチェーンへのデータ入力時や、ブロックチェーン上のデータを利活用する際の内部統制が適切に行われていない場合、システム全体としては信頼性を担保できなくなるリスクがあります。
これは、ブロックチェーンには、「可用性」「改ざん耐性」「ビザンチン障害耐性」「追跡可能性」が高いといった技術的なメリットがある一方で、システムが適切に管理され、意図しないデータの改ざんや漏洩を防ぐ体制になっていることを内部統制によって担保できなければ、技術的なメリットを生かした適正な運用とシステムの信頼性が保証できないためです(図表1)。
したがって、ブロックチェーンを活用して真に信頼性の高いシステムを構築するためには、ブロックチェーンにおける基盤技術(ブロック生成に係るハッシュ関数、電子署名技術など)を理解した上で、付随する技術特性に合わせた内部統制を適切に構築・管理してシステム全体としての信頼性を担保し、外部に証明する必要があります(図表2)。
図表1 ブロックチェーンの機能性による信頼性担保の限界
図表2 ブロックチェーン利用システムにおける内部統制検討観点の例
①チェーンへの参加者や規模、ノードの役割、コンセンサスアルゴリズムなどの特性に応じたリスクの理解
②ファイナリティと各ノード間の同期のタイミングを考慮したデータ利活用
③ウォレットおよび鍵管理に係る内部統制の構築
④ブロックチェーンと周辺システム間のデータ入出力や、スマートコントラクト管理などに係る内部統制の構築
ブロックチェーンに係る内部統制の構築および証明については、2021年4月23日に日本公認会計士協会より、ブロックチェーンを対象にした保証業務に関する指針「非パブリック型のブロックチェーンを活用した受託業務に係る内部統制の保証報告書に関する実務指針」が公表されています。
これは、ブロックチェーンに関連する業務の提供者からの依頼によって、独立した第三者である監査法人や公認会計士が、情報セキュリティやリスク管理態勢、関連する内部統制について、客観的に一定の基準に基づき証明する報告書制度(図表3)の一つであるSOC (System and Organization Controls)レポートに関する指針です。
図表3 内部統制の有効性の開示例
SOCレポートは、業務を受託する側から委託元に対して、財務報告に関する内部統制の信頼性を証明する目的で制定されたものですが、財務報告以外の目的で利用するケースも踏まえ、SOC1、SOC2、SOC3の3種類に大別されます(図表4)。これらのレポートは、昨今の重要なビジネスプロセスの外部委託拡大に伴い、業務を受託する側の情報セキュリティや受託業務品質などのリスク管理、内部統制の高度化対応の取り組みに活用されています。(図表5)
図表4 SOCレポートの類型
カテゴリー | 主題 | 実施基準 | 規準 | 想定利用者 |
SOC1 | 受託会社の財務報告に係る内部統制 | 日本基準:保証業務実務指針3402 米国基準:AT-C 205&320 国際基準:ISAE3402 |
|
受託会社、委託会社、委託会社の監査人 |
SOC2 | 受託業務のセキュリティ・可用性・処理のインテグリティ・機密保持に係る内部統制 | 日本基準:保証業務実務指針 3852 米国基準:AT-C 205 |
|
委託会社、予想される委託会社、委託会社の監査人、委託会社または受託会社に係る規制当局等 |
SOC3 | 日本基準:保証業務実務指針3850 米国基準:AT-C 205 |
|
不特定多数の利用者 |
図表5 SOCレポート利用・発行のメリット
PwC Japan有限責任監査法人は、企業がブロックチェーンを活用する業務に関して、情報セキュリティやリスク管理態勢、関連する内部統制などのガバナンス体制構築を支援します。また、独立した第三者として、企業が当該ガバナンス体制について発行するSOCレポートの保証業務を展開します。
企業がITガバナンスにおける課題やシステムリスクを認識する上では、利害関係のない外部の専門家による客観的かつ適切な評価が有効です。また、改善策の立案および実行段階では、利害が錯綜することにより対応が不十分となるケースも多いため、外部の専門家を活用することで、その実効性を高めることができます。
私たちはITリスクの専門家として、暗号資産および分散台帳技術の重要性に早くから着目し、当該技術に特有のリスクを管理・低減するためのアドバイザリー業務や、各種関連法規制の要求事項を遵守するための当局対応支援に多数の実績を有しています。また、金融サービス事業者に対する豊富なサービス提供経験や、PwCのグローバルネットワークとの協業を生かし、独立した専門家としての観点から、リスク評価をさまざまな形で支援しています。
近年日本でも新たなマーケットプレイスとしてLife Settlement(保険の買取ビジネス)が期待を集めているといった動向も踏まえ、本レポートでは、改めてWeb3.0に着目し、Web3.0関連技術の活用による変革の機会を見据えた今後の論点などを解説します。
量子技術開発への公的な政策的投資の拡大により注目されている「責任ある研究とイノベーション(RRI)」という考え方についてその重要性を紹介するとともに、国際的なイノベーションガバナンスの変革に適応していくために政府機関、アカデミア機関、民間企業、およびエンドユーザーが実践すべき行動について「量子技術分野」を例に解きます。
新興技術への期待値と社会的影響のコントロールに向けた欧州におけるRRI導入の具体化をレビューし、日本におけるRRIの実践に向けて政府や企業などが取り組むべきことについて考察します。
「責任ある研究とイノベーション(RRI)」がテクノロジーガバナンスと結び付けられる理由について解説し、RRIの政策的導入が急速に進みつつある欧州の現状を紹介します。