守りから支援へ、企業価値を高めるITガバナンスの再構築

1. はじめに：システムリスクの高まりと管理体制の再定義

デジタル化の加速とビジネス環境の複雑化に伴い、企業が直面するシステムリスクは年々深刻さを増しています。サイバー攻撃、システム障害、クラウド依存、サプライチェーンの脆弱性など、リスクの種類は多様化しており、従来の管理体制では十分に対応しきれないケースが顕在化しています。

世界的にも、システムリスク管理の高度化が加速しています。特に米国では、2024年に改訂された米国立標準技術研究所（NIST）のサイバーセキュリティフレームワーク（CSF 2.0）が、企業のリスク管理の新たな標準となっています。NIST CSF 2.0では、従来の「特定」「保護」「検知」「対応」「復旧」の5機能に加え、「統治（Govern）」が新設され、経営層の関与やサプライチェーンリスク管理、役割・責任の明確化が強調されています。これにより、IT部門だけでなく経営層が主体的にリスク管理に関与し、組織全体でリスク許容レベルを判断する体制の構築が求められています。

また、米国サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は、「Shields Up」キャンペーンや「Cross-Sector Cybersecurity Performance Goals」などを通じて、全ての組織に対し警戒レベルの引き上げと具体的な対策の実施を推奨しています。これには、多要素認証の導入、サプライチェーンリスクの管理、インシデント対応計画の策定、経営層への報告体制の強化などが含まれます。

欧州連合（EU）ではDigital Operational Resilience Act（DORA）が施行され、金融機関を中心にサイバー耐性強化が義務化されました。日本でも金融庁が「金融分野におけるサイバーセキュリティに関するガイドライン」を発出し、グローバルでリスク管理の高度化が求められる文脈が強まっています。

生成AI時代に顕在化する新たなシステムリスク：大障害とレギュレーション違反の“新しい起点”

生成AIの業務組み込みが進むことで、従来のサイバー攻撃や障害リスクに加え、“AI特有の不確実性”がシステムリスクの新たな起点となりつつあります。特に、生成AIはアプリケーションの一機能にとどまらず、ナレッジ検索（RAG）、コード生成、問い合わせ対応、業務ワークフローの自動化など、企業の基幹プロセスに横断的に接続される傾向が強まっています。その結果、AIコンポーネントの停止・誤作動・悪用が、将来の大規模障害や規制違反に直結し得る点を、経営として見落とすべきではありません。

例えば、LLMアプリケーションでは、プロンプトインジェクション（入力によってモデルの挙動が意図せず変わる脆弱性）が主要なリスクとして整理されており、モデルがシステム指示を逸脱したり、意図しない出力や処理を誘発したりする可能性があります。

また、生成AIの出力は確率的であり、誤情報を生成し得ること、説明責任を果たしにくいことが、誤判断や事故対応の遅れにつながる懸念があります。

さらに重要なのが、データ・コンプライアンス起因のシステムリスクです。入力データの取り扱い（機密情報、顧客データ、個人データ）を誤ると、情報漏えい・プライバシー侵害・知的財産問題など、レギュレーション違反や訴訟リスクへ波及し得ます。実際に、個人管理の生成AIサービスに業務データを入力するインシデントが複数件発生していることからも、統制が不十分な状態で生成AI活用が進むこと自体が、重大なシステムリスクとなり得ます。

規制面でも、EUではAI Actが発効し、リスクベースで透明性やリスク管理などの義務が段階的に適用されます。また、AIの管理体系としてISO/IEC 42001（AIマネジメントシステム）や、NISTのAI RMF（GOVERN／MAP／MEASURE／MANAGE）など、AIガバナンスとリスク管理の枠組み整備が国際的に進んでいます。

したがって、生成AI時代のシステムリスク管理では、従来の“守り”に加えて、AIの利用実態（ユースケース）・データ経路・外部依存・脆弱性（LLM特有）を可視化し、統治（Govern）と監査（第三線）で継続的に有効性を担保することが不可欠です。

また、近年、デジタルサプライチェーンを標的としたサイバー攻撃が、複数の業界で確認されています。

一部のケースでは、外部委託先や関連会社のシステムが侵害された結果、それを起点として中核システムへの不正侵入が発生し、結果として顧客情報や業務情報に影響が及ぶ事態が報告されています。

また、拠点ネットワーク機器やリモートアクセス環境の脆弱性を突いた攻撃により、個人情報を含む重要データの漏洩リスクが顕在化したと公表された例もあり、サプライチェーン上のセキュリティの弱点が全社的なリスクに直結することが改めて認識されています。

さらに、クラウドサービスの利用拡大に伴い、設定不備や権限管理の不足を起点とする不正アクセス事案も確認されています。特に、IAM（Identity and Access Management）の設定ミスが認証情報の悪用や被害の横展開につながるケースは、業界を問わず注意が必要なリスクとして認識されています。

これらは、サプライチェーンおよびクラウド環境を含めた横断的な統制設計が不十分な場合、企業の信用や情報資産に重大な影響を及ぼし得ることを示しています。

こうした状況下で、システムリスク管理は「リスクを許容レベルまで低減する」原理原則論に基づき、判断できる人材・体制による対応が不可欠です。体制上許容できない場合は、リスクの受け入れ方として「回避」「移転」「低減」「受容」の4つのカテゴリを意識し、経営層が意思決定できる仕組みが求められます。また、従来の「守る」だけの防御型体制では不十分であり、米国企業を中心にアクティブディフェンスライン（能動的防御）の導入が進んでいます。脅威の早期検知・対応力を強化するため、日本企業も1.5線組織やCIO設置など、現場と経営をつなぐアクティブな防御・支援体制の構築が求められています。

PwCは、こうした変化に対応するためには、従来の「守る」役割から「支援する」役割への転換が不可欠であると考えています。これは単なる体制変更ではなく、企業価値を守り、成長を支える戦略的なリスク管理への進化です。

2. 現状と課題：経営層とIT部門の認識ギャップ

PwCが2025年に実施した「システムリスクに関する調査」^※によると、多くの企業では、経営層が「システム管理は問題ない」「必要なリソースはすでに確保している」と認識している一方で、現場のIT部門は予算承認の壁に直面しています。IT部門長は、日々の運用の中でリスクの深刻さを肌で感じており、脆弱性の放置が重大なインシデントにつながる可能性を強く認識しています。アンケート結果だけを見ると、多くの企業が「システムリスク管理は問題ない」と自己評価しています。しかし、その自己評価が実際に有効に機能しているか（システムリスクが許容レベルまで低減されているか）を担保するためには、客観的な検証が不可欠です。そこで重要となるのが、システム監査や第三者評価といった“第三線（3線）機能”による有効性検証です。これらを定期的に実施することで、考慮漏れ・対応漏れを発見して是正でき、万一重大なシステムリスクが顕在化した場合でも、会社として説明責任を果たすための根拠を持つことができます。具体的な位置づけと進め方は、第4章「4. システム監査や第三者評価の実施」で詳述します。

^{※「システムリスクに関する調査」対象：日本国内企業の経営層、IT部門・システムリスク管理部門の部長クラスおよび担当者／有効回答数：316名／調査期間：2025年5月}

しかし、社内で予算を確保するには、経営層が納得する「説明可能な数字と根拠」が求められます。技術的なリスクを財務的インパクトに変換することは容易ではなく、現場の危機感が経営判断に反映されにくい構造が存在しています。

このギャップは、単なる認識の違いではなく、組織構造や情報の非対称性に起因しています。経営層は、ITリスクを「技術的な問題」として捉えがちであり、事業戦略や財務リスクと直結するものとして認識していないケースが多く見られます。一方、IT部門は、日々の運用や監視の中で、サイバー攻撃の兆候やシステムの脆弱性を把握しており、リスクの顕在化が「いつ起きてもおかしくない」状態であることを理解しています。

PwCの調査では、以下のような実態が明らかになりました（図表1、2）。

図表1：システムリスク対策の管理レベル

^{n＝316
出所：PwC「システムリスクに関する調査」（2025年）}

図表2：経営層を交えたシステムリスクに対する議論の有無

^{n＝316
出所：PwC「システムリスクに関する調査」（2025年）}

• システムリスク対策が十分であると感じている企業はわずか13%。有効回答数の内、半数以上が「一部不足はあるが全体的には良好」と回答しているものの、約3割は「不十分またはリスクが高い」と認識しています。
• 取締役会などでシステムリスクとその対応方針が議論されていない企業が24%。その内訳を見てみると、半数以上は売上1,000億円以上の企業が占めています。
• この結果から、経営層がリスクの本質を理解し、意思決定に反映する体制が整っていない企業が一定数存在することが分かります。

このような状況では、IT部門がいくらリスクを訴えても、経営層が「問題ない」と判断してしまえば、予算も人材も確保されず、リスクは放置されることになります。結果として、インシデントが発生した際には、企業全体が説明責任を果たせず、信用失墜や法的責任に直面するリスクが高まります。

3. 役割の再定義：ゴールキーパーからイネーブラーへ

従来、システムリスク管理は「守る」ことを主眼に置いた体制で運用されてきました。いわば、リスクの侵入を防ぐ「ゴールキーパー」のような存在です。しかし、ビジネス環境の変化とともに、リスクの性質も変化し、単なる防御では対応しきれない局面が増えています。

PwCは、リスク管理の役割を以下のように進化させるべきだと提言します。

• ゴールキーパー（守る）
  リスクの発生を防ぐことに注力する防御型の役割。
• ゲートキーパー（制御する）
  リスクの流入を制御し、業務とのバランスを取る調整型の役割。
• イネーブラー（支援する）
  リスク管理を通じて、事業の成長や変革を支援する戦略的な役割。

この変革により、リスク管理は単なる防御機能ではなく、企業価値を高めるための「支援機能」として再定義されます。特に、限られた人材・予算の中で最大の効果を発揮するためには、役割の再設計が不可欠です。

たとえば、IT部門がリスクを「止める」だけでなく、「事業部門と連携しながらリスクを許容・制御する」ことで、スピード感ある意思決定や新規事業の推進が可能になります。これは、単なる体制変更ではなく、企業の競争力を左右する経営戦略の一環です。

4. 具体的なアクション：効果的な管理体制の構築

システムリスク管理を実効性あるものにするためには、単なるルール整備では不十分です。PwCは、企業が直面する複雑なリスク環境に対応するために、企業の状況に合わせたアクションを推奨しています。

（1）1.5線組織の設置

図表3：システムリスク管理組織の設置形態

1.5線組織とは、システム開発・運用部門（1線）とリスク管理部門（2線）の間に位置する、システムリスクを扱う専門的なリスク管理組織です。技術的な知見を持ち、現場に近い立場でリスクを評価・制御する役割を担います。1.5線組織は、バーチャルなCCoE（Cloud Center of Excellence）を組成するケースもあります（図表3）。

• IT部門の実務に寄り添いながら、リスクの早期発見と対応を支援
• 経営層への報告ラインを確保し、意思決定の質を向上
• ルールの運用状況をモニタリングし、改善提案を行う

この組織の設置により、現場と経営の間にある情報の非対称性を緩和し、リスク管理の実効性が飛躍的に高まります。

（2）CIO（Chief Information Officer）の設置

CIOは、経営層とIT部門の橋渡し役として、戦略的なIT投資とリスク管理を統括するポジションです。

• 経営戦略とIT戦略を連動させる
• システムリスクを経営課題として捉え、取締役会での議論を促進
• 予算配分や人材育成に関する意思決定を支援

CIOの存在により、IT部門の声が経営層に届きやすくなり、リスク対策のスピードと質が向上します。

（3）実効性あるルールの整備

ルールやガイドラインの整備は、リスク管理の基盤です。しかし、文書化されたルールだけでは不十分であり、運用体制とモニタリング機能の構築が不可欠です。

• ポリシーの定期的な見直しと現場への浸透
• モニタリングツールの導入とアラート体制の整備
• インシデント対応プロセスの標準化と訓練

ルールは「守るための枠組み」ではなく、「支援するための仕組み」として設計することが重要です。加えて、生成AIの業務利用・開発・外部AIサービス利用が増加する中では、ハイリスクユースケースの識別やセルフチェック、利用データの制約、成果物レビューなどをルールとして明確化し、実務に落とし込むことが重要です。

これらのアクションは、単独で導入するよりも、組み合わせて実施することで相乗効果を発揮します。特に、1.5線組織とCIOの連携は、現場の課題を経営に伝える強力なパイプとなり、企業全体のリスク耐性を高める鍵となります。

（4）システム監査や第三者評価の実施（3線機能による有効性担保）

システムリスク管理は、ルールや体制を整備しただけでは「有効に機能している」とは言い切れません。経営として説明責任を果たすためには、整備した管理が実際に運用され、リスクが許容レベルまで低減されていることを、客観的に示せる状態が必要です。

そのために重要となるのが、システム監査や第三者評価です。これらは、システムリスク管理をより良いものにするための“第三線（3線）機能”として位置づけられ、以下の価値をもたらします。

• 有効性の担保
  自己評価や運用実態の妥当性を客観的に検証し、経営判断に耐える根拠を提供する。
• 考慮漏れ・対応漏れの発見と是正
  設計上・運用上の抜け・漏れを早期に発見し、改善サイクル（発見→是正→再評価）を回す。
• 説明責任の強化
  インシデント発生時に「何を把握し、何を改善してきたか」を示し、対外的な説明力を高める。

また、監査・第三者評価は“単発のイベント”ではなく、1.5線組織やCIO、ルールモニタリングと連動して、継続的に管理態勢を改善していく仕組みです。すなわち、現場（1線）の実態を把握し、2線の枠組みを補強し、3線で有効性を検証することで、経営が安心して意思決定できる状態を作ります。特に生成AIを組み込むシステムでは、LLM特有の脆弱性（例：プロンプトインジェクションなど）やデータガバナンス上の統制（機密・個人データの入力制御など）を含めて、監査・第三者評価の対象として継続的に検証することが望まれます。

5. 成功事例：PwCが支援した企業の変革

PwCが支援したある大手企業では、システムリスク管理体制の抜本的な見直しを実施しました。従来は、IT部門が単独でリスク対応を担っており、経営層との連携が限定的でしたが、以下の施策により、組織全体のリスク耐性が大きく向上しました。

実施された主な施策

• 1.5線組織の設置
  IT運用部門と監査部門の間に、技術的知見を持つ専門組織を新設。現場に寄り添いながら、リスクの評価・制御を担う体制を構築。

• CIOの設置と権限強化
  経営層とIT部門の橋渡し役としてCIOを任命。IT投資とリスク管理を統括する役割を明確化し、取締役会への報告ラインを確保。

得られた成果

• システム障害の発生率が約30%減少
  予防的なリスク管理と早期対応が可能となり、業務停止リスクが大幅に低減。
• ITリスク報告が取締役会で定例化
  経営層がリスクを戦略的に捉えるようになり、意思決定の質が向上。
• 現場と経営の連携が強化
  IT部門の声が経営に届くようになり、予算配分や人材育成に関する意思決定が迅速化。

この事例は、単なる制度導入ではなく、組織文化と意思決定プロセスの変革によって、システムリスク管理が企業価値の向上に直結することを示しています。

6. 予算の現実：企業は十分なリソースを確保できているか？

システムリスク管理において、最も根本的かつ現実的な課題のひとつが「予算の確保」です。多くの企業では、IT部門がリスクの深刻さを認識していても、予算承認の壁により、必要な対策が後回しにされるケースが少なくありません。

PwCは、企業が連結売上高の0.5%以上をセキュリティ投資に充てるべきと考えています。これは単なるコストではなく、企業の持続可能性と信用を守るための戦略的投資です。

この基準は、企業規模や業種を問わず、リスクに対する最低限の備えとして位置づけられるべきです。特に、クラウド依存や外部委託が進む中で、セキュリティ投資は「守るため」だけでなく、「支援するため」の予算として再定義する必要があります。

経営層への問いかけ

• 自社は企業が連結売上高の0.5%以上の水準を満たしているか？
• システム障害対策やセキュリティ対策への投資を「コスト」としてではなく、「価値創造の手段」として捉えているか？
• 予算配分の意思決定に、IT部門の現場感覚が反映されているか？

経営層は、これらの問いに対して真摯に向き合い、必要なリソースを確保する責任があります。予算の確保は、リスク管理の出発点であり、企業価値を守るための第一歩です。

また、もしシステムリスク管理に係る予算確保の意思決定に必要な情報が不足しているのであれば、実際に自社がどの程度のシステムリスクにさらされており、どのような対応がなされているのか、残余リスクはどの程度かを、システム監査や第三者評価などを通じてまずは把握することから始めるべきです。把握（可視化）を起点にすることで、経営に対して「説明可能な数字と根拠」を持った投資判断につなげることができます。

7. PwCが支援する未来志向のリスク管理

システムリスク管理は、もはやIT部門だけの課題ではありません。企業の持続可能性と競争力を左右する重要な経営テーマであり、経営層が主体的に関与することが不可欠です。そして、こうした未来志向のリスク管理を“絵に描いた餅”にしないためには、システム監査や第三者評価を通じて、リスク管理の有効性を継続的に担保し、考慮漏れ・対応漏れを発見して是正する仕組みが不可欠です。体制整備（1.5線組織／CIO／ルールモニタリング）と、第3線機能（監査・第三者評価）を組み合わせることで、企業は説明責任を果たしながら、変化する脅威環境に適応し続けることができます。

戦略的なリスク管理体制を構築することで、企業は以下の価値を実現できます。

• 業務の安定性と継続性の確保
• 顧客・取引先からの信頼の維持
• 新規事業やDX推進におけるリスク耐性の強化
• 説明責任を果たすためのガバナンスの高度化

PwCは、企業の変革を支援するパートナーとして、以下の領域で包括的な支援を提供しています。

• 体制構築：1.5線組織やCIOの導入支援
• 人材育成：リスク管理人材の育成と配置
• 予算確保のロジック構築：経営層への説明資料作成、財務インパクトの可視化

企業が未来志向のリスク管理へと進化するために、図表4にまとめたアクションを今すぐ検討・実行することを推奨します。