新技術の導入にともなうリスクを知ろう
特徴として挙げられるのは、ICTの革新は変化の激しいところです。
メインフレームの時代、分散処理、ウェブシステムをへて、クラウド・コンビユーテイングヘ
と変化を遂げて、そして、通信のかたちもまた、専用通信回線の時代からインターネットへ、
有線LANから無線LANへと変化してきました。
さらに、企業内での情報システムの利用から個人利用へ、パソコン時代から、携帯電話やスマ
ホヘと変化してきました。
このような変遷の結果、セキュリティリスクが一部門のIT部門の課題としていたものが、企業
全体のリスクにまた、個人を含めた社会全体のリスクへと大きく変化してきたのです。
新技術を導入すると、新たなビジネスが生まれますが、それと伴に新たなリスクが発生しま
す。
例えば、新しいビジネスを始めて、それが、インターネットを利用したものであれば、不正ア
クセスによる情報漏えい、画像などの知的財産権侵害の問題や顧客情報の入力ミスが原因とな
る商品の誤配送といった新たなリスクが発生します。
また、スマホを含めたモバイル端末を利用してものに既存の営業プロセスを改革すると、
システム障害によるビジネスの遅滞やモバイル端末の盗難・紛失といった新たなリスクが生じ
ますし、さらに新技術自体により、リスクも発生します。
新技術を導入に伴う、ビジネスプロセスの変化
新技術を導入するにあたり、ビジネスプロセスを分析してどのように変化するか知る必要があ
ります。
ビジネスプロセスの変化の分析においては、J-SOX(金融商品取引法の内部統制の有効性評価)
の業務フローチャートを活用するとよいでしょう。
起票作業、入力業務、チェック作業、数量を数える業務など、いままで行なってきた業務がど
のように変化したのかを分析します。
例えば、押印作業がなくすために書面による決裁から電子決裁に変更をおこなうことで、押印
作業では重要なのは印鑑の管理でしたが、電子決裁では、IDやパスワードの管理が重要になり
ます。
また、入庫業務が電子化されることによって、商品マスターや部品マスターの登録が重要にな
り、そのかわり、商品や部品の品名・品番の誤り、個数の数え間違いといったリスクがなくな
ります。
それは、誤った登録を商品マスターや部品マスターに行なうと、入庫情報に誤りが生じること
からです。
情報セキュリティ担当者は、書面のビジネスプロセスと電子のビジネスプロセスではどのよう
に業務が変わるのかに十分に注意を払う必要があります。
その際、機密性だけではなく、必要な時点で情報にアクセスできる状態といった可用性およ
び、正確性のインテグリティの視点も忘れないことが重要です。
変化によってどのようなリスクが発生しているのかを検討するために、ビジネスプロセスの変
化を把握します。
その分析によってビジネスプロセスの業務における行為がどのように変化したのかがわかりま
すが、それらの行為にはリスクがあり、ビジネスプロセスを分析時に、行為とリスクをモデル
化することにより、リスク対策を講じやすくなり、またリスク対策の抜けを防ぐことができま
す。
ビジネスプロセスの変化に伴うリスクが特定されれば、そのリスクに対する対策も明確になり
ます。
対策には、例えば、次のようなものが挙げられます、これを参考にして対策の整備・運用を進
めましょう。
(1)重複チェック
入力者以外の者によるチェックなど
(2)管理者によるチェック
入力結果、出力結果、業務の実施状況のチェックなど
(3)システムによるデータチェック
属性、実在性、関連性のチェックなど
(4)帳票や画面による定期的なチェック
処理の遅延、処理のもれ、異常値のチェックなど
まとめ
ビジネスの現場では定着してきている用語で「BPM」という手法があります。
ビジネス・プロセス・マネージメントが表示され、業務の流れの見える化・改善・最適化を行
う業務改善の手法です。
BPMでは、ビジネス・プロセスを見える化することで、ビジネス・プロセスの課題を明らかに
します。
ビジネス・プロセスの課題を解決する方法を考え、適用し、
効果を測定するというサイクルを継続的にまわしていきます。
BPMに取り組むと、ビジネス・プロセスと組織の関係が整理されることにより、
各組織がどのように連携してビジネス・プロセスを実行しているのかがわかるようになり、
ビジネス・プロセスを効率的に実行することが結果的に経営目標の達成につながります。