ITエコシステム管理サービスでは、組織のサプライチェーン全体のデジタル分野におけるリスク管理を行う体制やプログラムの策定および運用を支援します。
従来のセキュリティやコンプライアンスに加え、近年は個人情報保護、経済安全保障、ESG、Responsible AI(責任あるAI)、その他さまざまな規制などへの対応が求められており、これらを遵守するためにはサプライチェーン全体での管理体制を構築することが不可欠となっています。しかしその一方で、サプライチェーン全体におけるガバナンスを適切に維持することは非常に難易度が高い課題となっています。
PwC Japan有限責任監査法人のITエコシステム管理チームは豊富な支援実績をもとに、クライアントのサプライチェーンにおけるガバナンスの構築と維持を支援します。
ITエコシステム管理は大きく以下の6つのカテゴリーで構成されます。
どのカテゴリーにおいても、特定の時点で管理ができている状態を目指すだけではなく、継続的なモニタリングにより管理状況を評価し、改善していくことが重要となります。
なお、以下の6つのカテゴリー以外にもPwCネットワークのプロフェッショナルと連携することで、ニーズに応じてさまざまな領域のサービス提供が可能です。
多くの企業がセキュリティとプライバシーをサプライチェーン全体で保護することが課題となっており、ITエコシステム管理の中でスタートラインとなる分野です。
近年IT環境は複雑さを増しています。さらにAIの一般化によりデバイスから情報へアクセスすることが容易となり、AIが搭載されているPCなども登場している昨今においては、サプライチェーン全体のコンプライアンスを維持するためのスタートラインとして、IT資産管理が改めて注目されています。IT資産を適切に管理することで、コンプライアンスリスクおよびセキュリティリスクの低減、コストの削減といった効果が期待できます。
サプライチェーンにおける知的財産・著作物におけるライセンスロイヤリティを管理することにより、サプライチェーン全体の公平性とコンプライアンスを維持することができます。
クラウドとオンプレミスのハイブリッド環境が当たり前となった現在のIT環境においては、利用しているクラウドサービスなどを網羅的に把握し、責任分界点を正しく理解した上で管理することが必要となっています。また、SOCレポートやISMAPのような制度を活用することでクラウドサプライチェーンを効率的に管理することができます。
昨今のAIの爆発的な普及に伴いResponsible AI(責任あるAI)という考え方が浸透し始めていますが、これもサプライチェーン全体での対応を行わないと実効性の薄いものとなります。
サステナビリティやESGの観点においてもサプライチェーン全体で対応することが重要です。カーボンニュートラルや人権のような分野においては、自社だけでなくサプライチェーン全体で適切に対応する必要があります。
PwC Japan有限責任監査法人は、ITエコシステム管理領域で以下の主要サービスを提供しています。また、クライアントの要望に応じてカスタマイズしたサービスを提供することも可能です。
| サービス名 | 概要 |
| デジタルサプライチェーン管理プログラム構築支援 |
組織のサプライチェーンにおいてセキュリティ、プライバシー、クラウド、ESG、Responsible AI(責任あるAI)などのさまざまな観点に基づいて、管理プログラムの策定を支援します。グローバル大手企業のサプライチェーン管理プログラムの策定を支援した実績をもとに、単純なSAQ形式だけではなく、リスクに応じた第三者評価を組み合わせるなどして、効果的なプログラムの策定、生成AIを活用した効率化などをサポートします。 |
| 共有責任モデルに基づくリファレンスガイド作成支援 | クラウド領域では、共有責任モデルと言われる複数のステークホルダーにおける責任分界点を考慮したリスクマネジメントと、その情報提供を行うことが肝要です。ISMAPをはじめとする共有責任の考えに基づいたリスク管理領域の豊富な支援実績をもとに、企業・組織が説明責任を果たすためのリファレンスガイドの作成をサポートします。また、クラウドセキュリティ領域だけではなく、Responsible AIと呼ばれるようなAI領域においても支援が可能です。 |
| IT資産管理体制高度化支援 | 組織が保有しているソフトウェア、ハードウェア、ライセンスなどのIT資産を把握し、管理体制の構築および高度化を支援します。PwC Japan有限責任監査法人では、システム監査の方法論およびソフトウェアのライセンス遵守状況に係る調査経験をもとに、組織における適切なIT資産の把握や、管理体制の高度化、組織の適切なIT投資・利用、業務データの利活用、セキュリティ対策の強化などを支援します。 |
| ライセンス・コンプライアンス・プログラム構築支援 |
ライセンサー企業に対しては、ソフトウェアライセンスなどの知的財産権を保護し、適切なライセンスフィーを回収するためのコンプライアンスプログラムの構築を支援します。また、ライセンス利用企業に対しては、これらのコンプライアンスを維持する管理態勢の構築を支援します。これらの目的には、セキュリティ強化やコスト削減も含まれます。 |
| Microsoft SSPAプログラム独立評価 | MicrosoftのSupplier Security & Privacy Assessment (SSPA) プログラム※1に基づいた独立評価を日本におけるPreferred Assessorとして提供しています。SSPAはセキュリティ・プライバシーの領域だけではなく、Responsible AI(責任あるAI)に関しても検討が進められており、先進的なサプライチェーン管理プログラムとなります。 |
| 生成AIハルシネーションリスク管理支援 | サプライチェーンの一部に生成AIが登場するケースが増加していますが、生成AIが誤ったアウトプットを出力するハルシネーションに対するリスクの低減を支援します。生成AIに大量のデータを処理させるケースにおいて全てのアウトプットを人の目で精査することは難しいため、統計学を基にした会計監査の方法論を応用することで、合理性の高いサンプリングやリパフォーマンス方針の策定を支援します。 |
※1 Microsoft SSPA プログラム (https://www.microsoft.com/en-us/procurement/sspa)
PwCはITエコシステム管理領域において以下のような強みを有しています。
