セキュリティ対策コラム新たなリスク管理の展開（3）

リスク管理は、古くて新しい問題として、今日新たに注目されています。その背景はさまざまですが、昨今では株主、顧客、従業員、取引先等のステークホルダ（利害関係者）に対する責任や社会に対する責任（CSR）の重要性が増し、内部統制と一体となったリスク管理が強く求められています。企業を取り巻くリスクが顕在化し、企業に損害が生じた場合の企業価値に与える影響も大きくなってきています。一度何らかのリスクが顕在化して、株価の下落に直面すると、その回復が容易ではありません。某調査では、フォーチュン1,000社のうち10％程度の企業が1か月で25％以上の株価下落に見舞われた経験を持つようです。そうした企業を取り巻くリスクは以下のように分類できます。

• オペレーショナルリスク ： 製品・サービスの不具合、法的・倫理上の問題(不正取引、知的財産権侵害等)、環境問題の発生、労務人事問題
• 戦略リスク ： ビジネス戦略（新規事業、企業買収等）、市場・マーケティング戦略、人事制度、経済社会情勢、メディア（マスコミ対応）
• ハザードリスク ： 自然災害、事故・故障、情報システム（誤作動等）
• 財務リスク ： 資産運用（不良債権、株価・地価変動等）、決済（金利・為替変動、回収不能問題等）、流動性（資金繰破綻等）

（1）日本版SOX法(金融商品取引法)

現在SOX法（サーバンスオックスレー法 : 米国企業改革法）が世界的にも注目されており、日本でも日本版SOX法として上場企業に内部統制の有効で効果的な構築と運用が求められています。日本版SOX法は通称で、証券取引法の抜本改正である「金融商品取引法」の一部規定がこれに該当します。

日本版SOX法が求めている内部統制の目的としては、「業務活動の有効性」、「財務報告の信頼性」、「関連法規制の遵守」、「資産の保全」を挙げています。それぞれ固有の目的ですが、互いに独立したものではなく、密接に関連しています。金融商品取引法では、財務報告の信頼性を目的として、有効な内部統制を求めています。しかしながら、財務報告は、組織の業務全体と密接不可分の関係にありますから、目的相互間の関連性を理解した上で内部統制を構築し運用することが望まれます。

そうした内部統制を構成する基本的要素は、「統制環境」、「リスクの評価と対応」、「統制活動」、「情報と伝達」、「モニタリング」、「ITへの対応」からなり、この6つの基本的要素がすべて適切に整備および運用されることが重要で、内部統制の有効性を判断する際の評価基準となるものです。 「リスクの評価と対応」では、財務報告の重要な事項に虚偽記載が発生するリスクへの適切な評価及び対応がなされることとして、

• 重要な虚偽記載が発生する可能性のあるリスクの識別、分析
• リスクを低減する全社的な内部統制及び業務プロセスに係わる内部統制の設定

等のリスク管理が必須の管理項目になっています。
特にSOX法では、第三者の監査を可能にしておく必要がありますので、リスク分析やその対応等について文書化（可視化）しておく必要があります。

SOX法が求める内部統制の基本的要素である「ITの対応」では、内部統制にITを利用する観点と、IT自身の統制の観点からITを捉えられます。特にIT自身の統制では、情報セキュリティに関してISMS（Information security Management System）が適用できます。その他ITに関しては、内部統制全体を対象としたもので、COBITがフレームワークとして制定されています。また、ソフトウエアの品質に関してはCMMI（Capability Maturity Model Integration）、ITの運用に関してはITIL(Information Technology Infrastructure Library)等各観点からリスク管理が求められています。

（2）新会社法

会社法では、上場企業を含む大会社に対して内部統制を求めています。内部統制の目的は、SOX法が求める「財務報告の信頼性」だけではなく、「業務の実効性と効率性」および「適用される法令への遵守性」等広く企業の業務全体に渡っており、同時に「損失の危険の管理」として、企業全体を対象としたリスクマネジメントを実施することを求めています。

（3）情報セキュリティマネジメントシステム（ISMS）

ISMSは、国際標準規格ISO　27001が2006年に定められており、事業所が継続的に情報セキュリティを改善できる能力があるか否かを審査する第三者認証制度も整備されています。このISMSは、情報および情報システムのセキュリティに焦点を当てた経営管理システムのしくみで、「情報」の完全性、可用性、機密性の3つの観点で適切な対応を求めるものです。対象とする情報についてデータフローや業務プロセスに関してリスクを分析していくことになります。

一般にISMSの構築では、①セキュリティポリシーの決定、②ISMSの適用範囲の決定、③リスクの評価（情報資産抽出と脅威，脆弱性評価）、④管理対象リスクの決定、⑤実施目標と管理策の選択等によりISMSのフレームワークを構築していきます。

（4）個人情報保護法

個人情報の入手、利用、破棄などに係わる業務プロセスにおいて、個人情報漏洩のリスクへの対応が必須になってきています。個人情報保護法が2005年に施行されてから3年目年に入った今日、情報漏洩の発生による社会的ペナルティが大きいこともあり、企業では、情報漏洩防止システムの導入や管理の強化を進めているところです。しかしながら未だに企業・組織による情報漏洩が止まらないのが現状です。こうした情報漏洩をはじめとした情報セキュリティへの対応については、企業内の部分的、応急的処置では限界があり内部統制に基づく、全社的・継続的なリスク管理が益々要求されているところです。

個人情報の管理に関わるリスクについては、ISMSでもほとんどがカバーされます。時には、日本版SOX法における業務プロセスフローの中で、個人情報の取り扱いフローも併せてリスク分析を進められることもあるでしょう。

（5）事業継続管理（BCM）

2002年に英国規格協会（BSI : British Standards Institution）がBCPの一般仕様として「PAS56」を策定しました。米国でも2004年にNFPA（National Fire Protection Association）が「NFPA1600」を発行し、BCMの導入を推進しています。日本においても情報セキュリティ分野を中心とした事業継続ガイドライン（2005年内閣府防災担当）や事業継続策定ガイドライン（経済産業省）が公表されているところです。先に説明しましたISMSの中には事業継続性も定められていますが、この場合には不正アクセスやウイルス等の情報セキュリティに関わる事業継続に限定されています。

BCMで最初に行うことは、自社の現行業務を理解し、最優先すべき事業の要件を定義することです。その後、現行業務プロセス、フローを把握しながら、想定されるリスクならびに被害を検討します。さらに、この検討結果を元に、ビジネス影響度分析（BIA : Business Impact Analysis）を導き出し、目標復旧時間（RTO : Recovery Target Objective）を決定していきます。

従来から多様なリスクに対して目的に応じ個々のアプローチで対応されてきました。今まで説明してきましたように、今後は、全社的に統合的にリスク管理に取り組むことが求められており、そのために如何に効率的・合理的にリスクを管理していくかが大きな課題になってきています。

（1）SOX法対応で注目されるリスク管理

SOX法対応でも指摘されていますように業務プロセスの標準化・共通化により扱うリスクの限定化、単純化、共通化などをすることも有効でしょう。また、日本版SOX法の実施基準にも示されているように、重要で影響の大きなリスクを上位概念からアプローチするトップダウン方式を採ることも有効でしょう。

（2）リスクトレラントシステム

トップダウン方式とも関係しますが、全てのリスクを細かく特定して対応することは効率的ではありません。例え当該リスクが発生したとしても関連する、あるいは包括されるリスクへの対応（コントロール）によって、包括的・柔軟にリスクに対応して行こうとする新しい概念ですが、別の機会に紹介したいと思います。

（3）ソーシャルガバナンスとリスク

コーポレートガバナンス、内部統制、ITガバナンス、セキュリティガバナンスは、いずれも単独企業や関連企業グループ内に閉じて求められるガバナンスです。ソーシャルガバナンスは、社会的基盤となっているサービスについて、その社会的責任を果たすために、関連する企業群、行政等全ての関連事業体に統括的に求められるガバナンスとして筆者が新たに呼んだものです。もちろんサービスは、複数の関連企業によって提供されますので、各企業においては個々のガバナンスが構築され有効に運用されていることが、ソーシャルガバナンス確立の前提となります。

先の中越沖地震では、自動車部品の製造工場が損傷を受け、各自動車メーカでは部品の入手ができず操業が中止されたそうです。業界として、サプライチェーンに影響を与えるリスクに対応できるようにしておくことは、ソーシャルガバナンス確立の一手段となるものです。