デジタル化による企業経営課題の改善を図るDX(デジタル・トランスフォーメーション)や、ChatGPTをはじめとするAIのビジネス活用など、IT技術をビジネスに活用する重要性は高まっています。同様に、依然としてシステム障害やサイバー攻撃のリスク対策も重要性が高いことに変わりはありません。
このような状況下で企業が注目していきたい施策は、ITガバナンスの強化です。ITガバナンスとは、経営層とIT部門が協調して行う、企業の価値を高めるための情報システム戦略、その仕組みづくりのことです。
ITガバナンスの定義は難しいところがあります。この記事ではITガバナンスの意味や強化を図る重要性・ITガバナンスの適正化を図るために見直したい8つの要素について、体系立てて解説します。
ITガバナンスとは、ITの活用により、顧客や社員、株主に対する企業価値を最大化するための行動のことをいいます。この概念は、企業経営を監視し、その規律を強めるコーポレートガバナンスから派生したとされており、それを応用しIT活用を監視し、規律の強化を図る趣旨で制定されました。
具体的には、以下のような取り組みのことを指します。
ITガバナンスとよく似た言葉にITマネジメントがありますが、こちらはITの設計から開発・保守・運用といった、一連のプロセスを円滑に動かす役割のことになります。ITマネジメントの主な目的は、企業が掲げる目標達成のために情報システムを使い、イノベーションを図ることです。
※1 デジタル庁|デジタル・ガバメント推進標準ガイドライン(令和3年9月10日改訂版)(参照 2023年5月12日)
ITガバナンスが必要になった背景は、企業がITを活用することに関して、リスクを抑える仕組みが必要になってきたことです。
そのきっかけとなる出来事が、2002年4月に発生したみずほ銀行の大規模なシステム障害です。
このシステム障害の背景にあったのは、第一勧業銀行・富士銀行・日本興業銀行の3つのシステムを一本化するにあたり、全体を統合した動作の重要性が認識されていなかったことです。各システム連携においての稼働テストが十分でないまま、リリースに踏み切ってしまいました。経営陣が統合を急がせたことが大きな要因だとされます。
結果、ATMの停止やエラー、口座振替の遅延や二重引き落としなどが発生し、大規模な障害を引き起こしました。このインシデントをきっかけとして、以後多くの企業においてITシステムの動作不良は大損害につながるということ、またそれを防止するためのITガバナンスの必要性についての認識が高まりました。
今後も、各企業においては、IT運用に関する規定を設け、内部統制を徹底することで損害を生まないようにするITガバナンスへの取り組みは必須になると考えられます。
金融庁が発表した『金融機関のITガバナンス等に関する調査結果レポート』※2のアンケート結果によると、約9割以上の地域銀行がクラウドシステムを導入していると回答しています。また、8割以上の地域銀行がRPA※3(ロボテック・プロセス・オートメーション)を導入済みであるとし、多くの銀行が、今後AIを導入していきたいと回答したという結果が出ています。
ただ、機密データの取り扱い、セキュリティインシデントへの対応など不安があるという結果も出ており、新しい技術へのITガバナンスの取り組みの必要性も提起されています。企業が保有する機密情報、顧客の情報流出を防止するためにも、ITガバナンスのアップデートは企業の課題であると言えるでしょう。
※2 金融庁|金融機関のITガバナンス等に関する調査結果レポート 令和3年6月(参照 2023年5月16日)
※3定型の事務作業を自動化する技術
ITガバナンスを適正化するために見直すべき8つの構成要素について解説します。
ITガバナンス強化のためには、IT戦略と実際に導入するシステムの整合性を図ることが大切です。戦略で実現したい目的と実際に導入したシステムで得られる効果に乖離があると、思ったような成果を得られず作業効率の低下を招く可能性があります。そのような事態を防ぐために、システム導入の際には戦略目的に沿った効果を得られるものなのかどうかをしっかり精査することが重要です。
IT技術を適切に運用できるような組織体制の改善が必要になります。従来の体制に問題がある場合は、IT技術をうまく企業の利益に転用できない可能性が高まります。業務部と情報システム部が連携、また経営層へ状況を共有し、必要に応じて経営層から指示を下せる組織体制が望まれます。
また、社員一人ひとりのIT技術に対する認識の甘さが招く危険性について啓発できるよう、社内研修を開くといった対策も非常に重要です。
ITガバナンスの強化を図る際は、ITシステムを導入する対象となる業務内容を把握することが大切です。業務内容への理解なくして、システムの導入によって何を改善できるのかを明確にはできないためです。
また、各部門で情報を共有できる包括的なシステムを使うことは、社員全員が情報を共有できるだけでなく、全体最適化を行ううえでも欠かせません。
ITガバナンスを進めるうえでは、費用対効果を含めたITコストの算出も必要になります。計算したコストをもとにリソースを有効に活用できるような投資を行い、得られる効果を測定します。
システムの運用においては、トラブルが起きないように常に見直しが求められます。オペレーションワークフローの設定やトラブル対処法など、トラブルを防止するとともに、再発防止に努める体系を構築します。
IT技術活用にあたっては、従来の社内規定やガイドラインを見直し、新たなルールを定める必要がないかを考慮します。ルールを更新したあとは社内全体にそれを周知し、社員がガイドラインを順守できるよう、管理者がフォローを行い、定着させます。
システム稼働中にはエラー、外部からの攻撃が起きる可能性があります。それらの問題が発生した場合にはどのようなインパクトがあり、どのような不利益があるのかをリスト化し、対応策を検討します。具体的には、社内のセキュリティ対策を策定する、セキュリティに対する社員へのリテラシーを強化するなどです。
対応策が決まったら、それを実施していきます。システム上のリスク管理はもちろん、ヒューマンエラーや物理的なリスク管理や内部統制の強化など、企業の情報資産を守るための施策を行うことも欠かせません。
システムを調達する際は、調達先、調達方法についてガイドラインを作成し、ガイドラインに沿った選定を行うようにします。廃棄まで適正なIT機器のライフサイクルを保持するために、調達先のベンダーの評価・選定を正しく行うことが大切です。
IT技術を企業の利益につなげるためには、最適な仕組みを実現するITガバナンスの構築が必要不可欠です。
ITガバナンスの構築にあたっては、IT技術を企業の戦略に生かす方向性、社内各部署・情報システム部・経営層の認識、導入するシステムの整合性を取り、統制できるフレームワークをつくることでシステムの稼働を安定化させられます。
ITガバナンスは、企業の信用を守り、企業の価値を高めるために役立つものです。そのため、経営層、情報システム部、従業員すべてが力を合わせて取り組むことが大切だといえるでしょう。
