情報センサー

デジタル社会における信頼の重要性 -Trust by Design


情報センサー2020年3月号 EY Advisory


EYアドバイザリー・アンド・コンサルティング(株)
公認会計士 嶋守浩之

企業のリスクマネジメントおよび内部統制・内部監査支援を担当している。専門はITリスクマネジメント。大規模プロジェクトのPMO支援を通じて、プロジェクト・プログラムのガバナンスとリスクマネジメント、基幹システムのコントロールとセキュリティに造詣が深い。Project Management Professional。EYアドバイザリー・アンド・コンサルティング(株) パートナー。

Ⅰ  デジタル社会における信頼の重要性

デジタル社会において、人々が安心して暮らすためには、会社や技術への信頼は不可欠です。高齢化社会が進み認知機能の衰えによる事故の増加が問題になる中、センサー技術および人工知能を駆使した自動運転技術は社会に明るい希望をもたらしますが、一方で誤動作等による事故の可能性が大きな懸念となります。また、国境を越えて世界中の基軸通貨と連動する新しいデジタル通貨は、低コストでより高速かつ便利な取引を可能にするものですが、悪用される危険やコントロール不能な通貨の乱立といったことへの懸念から、各国金融当局も反対し、なかなか実現に踏み出せない状況です。サイバー攻撃による資金および情報の流出も深刻な懸念となっています。これを企業活動の目から見ればデジタル社会の進展で事業機会は広がっていますが、同時に、顧客の信頼を失い市場からの撤退を余儀なくされるリスクも増大しており、その懸念がブレーキになりかねないということです。

 

Ⅱ Privacy by DesignとSecurity by Design

デジタル社会で顧客が企業の信頼を得るためには、どのようなリスク対策が効果的でしょうか。一つのヒントがPrivacy by DesignとSecurity by Designという考え方にあります。Privacy by Designは、個人情報の利用に当たりプライバシーを保護するための原則で、1990年代の半ばに、カナダのオンタリオ州 情報・プライバシー・コミッショナーのアン・カブキアン博士が提唱しました。これは、個人情報をシステムや業務にて「使用する段階」でプライバシー保護の施策を検討するのではなく、その事前段階の「企画・設計段階」から組み込むという考え方で、欧州連合(EU)における個人情報保護規則であるGDPRの根底になっている考え方です。データの利活用のいっそうの進展が社会の便益を高めていく中で、顧客の信頼を維持発展させていくために、この考え方がより重要になっています。この、Privacy by Designは、対象を個人情報・プライバシーに絞った概念ですが、その対象を情報セキュリティ全般に拡張した、Security by Designという考え方があります。日本でも、内閣サイバーセキュリティセンター(NISC)が公表している「情報システムに係る政府調達におけるセキュリティ要件策定マニュアル」においても、「情報セキュリティを企画・設計段階から確保するための方策」として、Security by Designの考え方を取り入れています。

 

Ⅲ Trust by Designとは

Privacy by DesignとSecurity by Designで、キーになっているのは、by Design、つまり、あらかじめ設計しておくという考え方です。デジタル社会においてのリスクは、個人情報の流出や情報セキュリティのみならず、最初に幾つか例を挙げた通り、システムの意図しない誤動作、設計者も予想できない動き(いわゆるAIの暴走)、悪意を持った操作など、より幅広いものとなります。そこで、EYでは、Security by Designの考え方をさらに拡張して、企業にとって何よりも重要な顧客に安心・安全をもたらす、信頼(=Trust)の創出のために、事業を構想している段階から前広にリスク管理を考え、適切な対策をデザインするTrust by Designの考え方を提唱しています。例えば、自動運転をめぐり異業種間のインダストリーコンバージェンス(業界の統合・融合)が激しくなっている中、適切なビジネスパートナーと臨機応変にアライアンスを組んでいくことが不可欠ですが、反面でサードパーティの事業戦略、財務・資金の状況、ガバナンスやセキュリティなど新しくさまざまなリスクがもたらされることになります。そこで、予想できる限りのリスクに対して、あらかじめ管理プログラムを設計しておき、包括的に効率的な管理を実施するのが、Trust by Designの考え方です。デジタルを駆使して、多くのサードパーティの管理に必要な大量のデータをタイムリーに収集し的確に分析することで、持続的なリスク管理が可能となります。

 

Ⅳ Trust by Designによるリスクマネジメントの広がり

また、従来型のリスクマネジメントは、何か良くないことが起きることに備えることが中心でしたが、Trust by Designでは、ビジネスを企画している段階から、リスク管理の専門家が前広に関わることにより、リスク管理の手法を用いて、アップサイドリスク、すなわち収益につながる機会を積極的に増加させることも目的にしています。例えば、ある世界的な大手の製薬会社では、新薬のパイプラインの状況を把握するためのさまざまな情報を、最新のデジタル技術を駆使して予測管理し、収益化の可能性を上げるという、アップサイドリスクへの積極的な対応に取り組んでいます。リスク管理の対象を広げ、企業活動にダメージを与えるダウンサイドリスクだけではなく、新しくオポチュニティにつながる「アップサイドリスク」にも焦点を当てていくというのがTrust by Designのもう一つの柱です。(<図1>参照)

図1 新しいリスク管理の考え方

Ⅴ おわりに

EYでは、前述のようにデジタル社会で顧客から信頼を得るために、データおよび分析技術を駆使して、攻めと守りの両面からの進んだリスク管理を実現する考え方をTrust by Designとして提唱しています。先進的な企業ですでに取り組まれているところをコンセプトとしてまとめたものであり、企業経営者およびビジネスに関わる全ての方々の参考となれば幸いです。

「情報センサー2020年3月号 EY Advisory」をダウンロード


情報センサー
2020年3月号

※ 情報センサーはEY新日本有限責任監査法人が毎月発行している社外報です。