Download PDF -
自治体領域におけるAIガバナンス 第3回:自治体におけるAIガバナンスの要諦
自治体のデジタルトランスフォーメーション(DX)およびAI利活用の現状について概説し、今後のあるべき姿について、基盤となるガバナンスを軸に考察と提言を行います。第3回では、AIガバナンスのあり方について考察と提言を行います。
デジタルオペレーショナルレジリエンスとは
金融庁は2023年4月に「オペレーショナルレジリエンス確保に向けた基本的な考え方」を公表しました。これを受けて、金融業界を中心に「オペレーショナルレジリエンス」という考え方が徐々に浸透しつつあります。オペレーショナルレジリエンスとは、システム障害、サイバー攻撃、自然災害などの多岐にわたるリスク事案が発生した場合にも、企業が重要な業務を継続できる、または重要な業務が停止した場合にも速やかに再開できる能力のことを指します。
既存のリスク管理(リスクの未然防止策)やBCP(地震などの特定のリスク事象を想定した対応計画)は重要ですが、想定外の事象が発生した場合に、柔軟に対応できなくなり、顧客や市場に深刻な影響を与える恐れがあります。このような状況を踏まえ、オペレーショナルレジリエンスは、未然防止策を尽くしてもなお、リスク発生や業務中断・停止が起こることを前提とし、早期復旧と影響の軽減に向けた対応策を準備することに重点を置いています。
本稿のタイトルにもなっている「デジタルオペレーショナルレジリエンス」は、デジタル領域におけるオペレーショナルレジリエンスを指します。具体的には、システム障害、サイバー攻撃等のデジタル/IT資産を毀損するリスク事案が発生した場合にも、企業が重要な業務を継続できる、または重要な業務が停止した場合にも速やかに再開できる能力を指します。
ITシステムは企業活動を推進するために必要不可欠な道具です。昨今は、それに加えて、顧客向けに提供されるほとんどのサービスがデジタル化しました。ホテルや飛行機のチケットを予約したり、日用品を購入したりするのもインターネット経由になりました。コンシューマ市場だけでなく、企業間でも日夜大量のデータが交換されています。企業活動において、デジタルテクノロジーやITシステムへの依存度は各段に高まっています。それにもかかわらず、報道を見ると、サイバー攻撃や大規模システム障害等、業務中断・停止が生じるインシデントが多発しています。このような状況を背景に、企業には、デジタルオペレーショナルレジリエンスを強化し、重要な業務の早期復旧と影響の軽減を図ることが求められるようになりました。
インシデントの例
- ランサムウェアが引き起こすデータ障害
- システム更改不備による大規模システム障害
- 自然災害によるシステム・業務停止など
本稿では、デジタルオペレーショナルレジリエンスを強化するための第一歩として、企業が実践すべきポイントについて解説します。
従来のシステムリスク管理が直面する課題
デジタルオペレーショナルレジリエンス強化に向けたリスク対策の1つ1つは、決して新しいものではありません。例えば、BCP/BCM、サイバーセキュリティ、個人情報保護、委託先管理等の取り組みは、その時々の必要性に応じて、部分最適の形で対応されてきました。しかし、DXの浸透により、マルチクラウド/ハイブリッドクラウドの利用、外部サービスとの連携が一般的になったことや、AIを代表とするエマージングテクノロジーの活用が進んだことにより、企業のデジタル環境は日々複雑化しています。中には、情報システム部門の目が行き届かない範囲で利用される外部サービスなどもあり、自社を取り巻くデジタル環境の全体像や付随するリスクを把握することが非常に難しくなっています。
デジタル環境の複雑化を踏まえ、既存のシステムリスク管理やガバナンス態勢を見直し、デジタルネイティブな企業活動に適した取り組みにアップデートすること(=デジタルオペレーショナルレジリエンスの強化)が各企業に求められています(図表1)。
図表1:デジタル時代のリスク管理(デジタルオペレーショナルレジリエンス)
デジタルオペレーショナルレジリエンスを強化するための実践ポイント
デジタル環境が年々複雑化する中、デジタルオペレーショナルレジリエンスを強化するためには、リスク管理やガバナンス態勢の現状を評価し、実態を把握することが、重要な第一歩となります。評価は、以下のA、Bのように2段階で進めることができます。
- 【A】リスク管理プロセスが整備されているか
- 【B】【A】により特定された個々のリスク領域に対して必要な対策が取られているか
PwCが提唱するデジタルオペレーショナルレジリエンスのフレームワーク(図表2)では、【A】リスク管理プロセスと【B】デジタルリスクへの対策の2段階で、オペレーショナルレジリエンスを強化するための項目を包括的に定義しています。当フレームワークを用いることで、現状のデジタルオペレーショナルレジリエンスの成熟度の全体像を把握・評価することができます。
図表2:デジタルオペレーショナルレジリエンスのフレームワーク
以下、このフレームワークをもとに、企業のデジタルオペレーショナルレジリエンスに関する現状を評価する上でのポイントを説明します。
【A】リスク管理プロセス
デジタルオペレーショナルレジリエンスを評価するには、まず、以下のA-1~4に示す基本的なリスク管理プロセスが整備されているかどうかを確認します(図表3)。顧客への影響などを踏まえ、会社として継続すべき「重要な業務」が特定されていること(A-1)、また、それに対する業務提供の水準(A-2)や必要な経営資源の整理ができていること(A-3)、危機シナリオの分析や訓練を通じて、「重要な業務」における影響を評価・改善していること(A-4)がポイントとなります。
A-1:「重要な業務」の特定
- 優先的に継続すべき、顧客向けの「重要サービス」が特定されているか
- 「重要サービス」に紐づく、「重要な業務」が特定されているか
A-2:「耐性度」の設定
- 「重要な業務」について、業務中断が生じることを前提に最低限維持すべき業務水準(耐性度)が設定されているか
A-3:リソースマッピング
- 「重要な業務」に必要な経営資源が整理されているか
- 重要な業務の遂行に必要な人的リソース(内部、外部、人数、職階、など)
- 重要な業務の遂行に必要なサードパーティ、フォースパーティ
- 重要な業務が利用している拠点、システム、ツール、データベース、サービス
A-4:適切性の検証/見直し
- 危機シナリオの分析や訓練を通じて、「重要な業務」における影響を評価・改善しているか
図表3:評価結果のイメージ(【A】リスク管理プロセスの例)
【B】デジタルリスクへの対策
次に、デジタルオペレーショナルレジリエンスにおいて必要なリスク対策が整備されているかどうかを確認します。具体的には、システム障害や情報漏洩など、自社のデジタル/IT資産に影響を与える事象(デジタルリスク)への対策として、以下の項目を確認します。なお、変更管理については、システム環境などに変更があった場合でもレジリエンスを確保できる仕組みや対策が取られているかを確認するために必要な項目となります。
B-1.BCP(継続管理)
B-2.サードパーティ管理
B-3.サイバーセキュリティ
B-4.エマージングテクノロジー
B-5.変更管理
上記項目について必要な対策が網羅的に整備・運用されているかを確認するためには、BCP(継続管理)、サードパーティ管理等のそれぞれのリスク対策を機能の軸で分類し、評価することがポイントとなります。
また、リスク対策における機能は、以下の形で分類することができます。なお、回避、防止、抑制は主に平時の機能、検出は平時/有事双方に該当する機能、回復・訂正は有事の機能に該当します。
- 回避:リスクの原因となること(事業、プロセスなど)をしないこと
- 防止:リスクが発現しないように対策をすること
- 抑制:リスクが発現した場合にその影響を最小限に抑えられるよう、対策をすること
- 検出:リスクが発現していることまたはその可能性が高いことを見つけること
- 回復:リスクが発現し、それが損害の拡大につながらないようにし、元の状況に戻すこと
- 訂正:リスクが再び発現しないように対策に変更を加えること
つまり、図表4のように、各デジタルリスクへの対策、すなわちB-1.BCP(継続管理)、B-2.サードパーティ管理、B-3.サイバーセキュリティ、B-4.エマージングテクノロジー、B-5.変更管理を、リスク対策の機能(回避・防止・抑制・検出・回復・訂正)ごとに分類し、整備・運用状況を評価することが、現状評価を実施する上でのポイントです。
図表4:【B】デジタルリスクへの対策における評価観点
図表4の評価観点ごとに現状評価を実施することで、図表5のようにリスク対策の整備・運用状況の概観を把握することができます。例えば、サードパーティ管理(B-2)であれば、以下のような事項が主な確認ポイントとなり、それに対して資料閲覧やヒアリングを実施することで、対応の充足性を評価することができます(図表5の例では、「B-2.サードパーティ管理」の「検出」において対応が不足していることが可視化されています)。
- 信頼性が低いサードパーティを避けるため、リスク評価の上、サードパーティを選定しているか(回避)
- 重要な業務に関連するサードパーティが特定されリスク管理(契約管理、SLA管理等)されているか(防止)
- サードパーティに要求するレジリエンスに係る事項(インシデント発生時の報告等)、水準が定義されているか(抑止)
- 重要な業務に関連するサードパーティが自社のレジリエンス要件を満たしているかを定期的にモニタリングしているか(検出)
- サードパーティでのインシデント発生時における対応(サードパーティとの情報共有手順など)が定められているか(回復)
- サードパーティでのインシデント発生後に、サードパーティとのプロセスを見直し、必要な改善を実施しているか(訂正)
図表5:評価結果のイメージ(B-2.サードパーティ管理の例)
また、図表5で現状評価・可視化実施後、図表6のように課題と必要な対応を整理することで、デジタルオペレーショナルレジリエンス強化策を検討・整理することができます(図表6では図表5で発見された検出事項に対する具体的な課題、およびその対応の方向性が整理されています)。
図表6:課題・対応一覧のイメージ(B-2.サードパーティ管理の例)
最後に
サイバー攻撃や大規模システム障害等のデジタル/IT資産を毀損するインシデントの増加や、企業におけるデジタルテクノロジーやITシステムの活用推進に伴い、各企業は改めて現状のリスク管理やガバナンス態勢を見直す局面に来ています。
PwCコンサルティングでは、ビジネス、IT、サイバーセキュリティ、サードパーティリスク、リスク管理、グローバルの規制、最新のリスク動向など多岐にわたる知見を活用し、デジタルオペレーショナルレジリエンスの成熟度評価から、評価結果に基づくレジリエンス構築・運用・改善まで一貫してサポートすることが可能です。お気軽にお問い合わせください。
インサイト/ニュース
20 results
Loading...
Download PDF -
EU DORAにおける脅威ベースのペネトレーションテスト(TLPT)義務化の動向
2025年6月18日、欧州委員会はデジタルオペレーションレジリエンス法(DORA)に基づくTLPTに関する規制技術基準(RTS)を公表しました 。国内の金融機関や関連組織に対して、先進的なTLPTに関する法規制の内容を解説し、今後の推奨事項を提示します。
Download PDF -
特定卸供給制度におけるサイバーセキュリティ対策届出の対応
特定卸供給事業のライセンス申請においては、セキュリティ対策の実施状況に関する報告が必要となります。報告にて遵守状況の提出が求められるセキュリティ要件の概要や制度対応のポイントを解説します。
Download PDF -
米国SECサイバーセキュリティ開示規則適用後の5つの傾向
米国証券取引委員会(SEC)は、新たなサイバーセキュリティの適時開示や年次報告に関する開示規則を、2023年12月18日より適用しました。新規則施行から1年半が経過したタイミングで、米国におけるサイバーセキュリティ情報開示の傾向をまとめ、日本企業への推奨事項を示します。
Loading...
