
ISMAPから考えるデジタルサプライチェーン管理
クラウドサービスやIoT、AIなどのデジタル技術の発展とともに、新たなセキュリティリスクが生じています。本レポートでは、デジタルサプライチェーンのリスクに焦点を当て、ISMAP(政府情報システムのためのセキュリティ評価制度)を活用した効率的な管理方法を考察します。
新型コロナウイルス感染症(COVID-19)の拡大や地政学的な環境変化、気候変動、テクノロジーの進展などにより、企業を取り巻くリスクはこの数年で急激に増加しています。そのような中で、多くの企業がこれらの環境変化に対応し、リスクを踏まえた意思決定やモニタリングを通じた軌道修正を行えるよう、ガバナンスやリスク管理態勢の整備に取り組んでいます。
政治・規制環境
経済環境
社会環境
テクノロジー動向
リスクアセスメントを行い、対応すべきリスクを明確化したとしても、何をどこまで対応すればよいのか、判断が困難な場合があります。例えば、重大なリスクを明確化し、行うべき対応策が分かっていても、その対応策の正しさを判断できず、実行に移せないようなケースです。このように、企業はリスク対応計画がボトルネックとならないよう、リスクマネジメントを進める必要があります。
リスク対応にあたっては、リスクの重要度や残余リスク、リスク対応策の質的・量的な効果だけでなく、自社の成熟度や他社との比較に基づくベンチマークも重要になります。また、社内外に説明責任を果たせるよう、全社レベルやグループレベルなど、組織横断的に取り組んでいくことも必要となります。
PwCが提供するリスク管理に関するベンチマークプラットフォーム「Connected Risk Engine」を活用し、リスク対応における課題に対し、成熟度評価やベンチマーク調査を支援します。
画面イメージ
※対応するフレームワークはその他にもあり、また順次拡大中です。
Connected Risk Engineを活用することで、単にベンチマークを特定するだけでなく、グループ企業内の各エンティティの評価や、過年度との比較を行うことも可能です。
対象となるリスク管理の状況について、国内外問わず、業種、規模に応じたベンチマーク調査を行い、自社として対応・改善すべき対象を検討。
Connected Risk Engineを活用したアセスメントを年次で行うことで過年度からの改善箇所を把握し、次年度に向けた改善計画を策定。
グループ会社や各拠点に対しアセスメントを行い、どこに改善機会があるかを把握。
クラウドサービスやIoT、AIなどのデジタル技術の発展とともに、新たなセキュリティリスクが生じています。本レポートでは、デジタルサプライチェーンのリスクに焦点を当て、ISMAP(政府情報システムのためのセキュリティ評価制度)を活用した効率的な管理方法を考察します。
SECは2023年12月発効の新たなサイバーセキュリティ開示規則により、「重要」と判断されたサイバーインシデントに関する特定の情報の開示を義務付けます。企業が検討すべき、かかる情報の収集から文書化、開示に至るプロセスや手順などについて解説します。
米国証券取引委員会(SEC)は、新たなサイバーセキュリティの開示規則を採択し、2023年12月中旬からの適用を公表しました。このサイバーセキュリティ開示規則は、米国企業のみならず、米国外の企業にも適用されるため、SECに上場している日本企業にも対応が迫られます。
AIの利用が進むにつれて社会に及ぼす負の影響への懸念が増大し、AIの責任ある利用に対する規制当局や機関投資家等ステークホルダーからの要請が高まっています。本稿では、AIが抱えるリスクの取り扱いについて、企業の人権マネジメントの観点から検討します。
本稿では、企業がDXを進めるための行動指針として経済産業省が定めた「デジタルガバナンス・コード」を前提に、企業価値向上に資するサイバーセキュリティ対応のあり方や、その態勢構築のアプローチについて考察します。
経済産業省の「企業価値向上に向けたデジタル・ガバナンス検討会」での政策背景を踏まえながら、「デジタルガバナンス・コード3.0」への準拠にあたり、日本企業における経営者とDX推進担当者が押さえるべき論点を考察します。
多くの企業はDXに取り組む中で、その達成度を図る指標を設けていますが、指針や基準が少ないため、試行錯誤している状況です。DX成果指標にガバナンスを効かせるにあたっての課題や、DX戦略の蓋然性と実効性を高めるためのポイントについて解説します。
内部監査部門では、慢性的な監査要員不足に加え、デジタルガバナンスに関する専門的な知識やスキルの不足が課題となっています。これらの課題への打ち手として、内部監査部門に監査推進事務局(AMO:Audit Management Office)を組成することによる、リスクベース監査にも対応できる効率的な監査態勢について考察します。