IT TREND BLOG海外子会社・現地法人のITガバナンスのあり方とは

  • 公開日:2019年12月26日
  • 海外ガバナンス

近年、企業のIT活用において「ITガバナンス」という言葉が出てきます。しかしITガバナンスについてしっかりと理解できている人はどれほどいるでしょうか?
特に海外展開している企業の場合、日本独自の考え方やルールをそのまま海外拠点に展開して正しく理解させることには無理があります。そこで今一度、自社が取り組むべきITガバナンスをしっかりと見据えてみてはいかがでしょうか。

ITガバナンスとITマネジメントの違い

ITガバナンスとITマネジメントの違い イメージ

よく勘違いされるのが、ITガバナンスとITマネジメントの違いです。国際規格において両者は明確に定義が異なっています。皆さんが実施されているのはどちらでしょうか?
まずはITガバナンスの定義を知り、その後で両者の違いについてみていきましょう。

最初にITガバナンスの国際規格を定めているISO/IEC 38500をご紹介します。品質管理のISO9000(QMS)、セキュリティ管理のISO27000(ISMS)等、組織に適用できる様々な国際規格が存在しますが、同様にITガバナンスにも国際基準としてISO38500が存在します。国際規格の良いところは言葉の定義が明確になっている点です。グローバル全体にメッセージを伝えても、人によって解釈が違ってはITガバナンスを効かすことはできません。そのため、組織へのITガバナンスの適用方法に悩まれている場合、まずこのITガバナンスの国際規格が1つの参考となるのではないでしょうか。本規格で「ITガバナンス」の定義は、2.3項に定められています。

---

2.3 ITガバナンス(corporate governance of IT)
組織のITの現在及び将来の利用を指示し、管理するシステム。ITガバナンスは組織を支援するためにITの利用を評価すること及び指示すること、並びに計画を遂行するためにこのIT利用をモニタすることに関係する。これには組織におけるITの利用に関する戦略及び方針を含む。

---

つまり、ITの利用を①評価、②実行、そして③モニタしていくことによってはじめてITガバナンスと呼べるのです。
そしてITガバナンス規格の適用範囲は組織の経営陣であり、その経営陣が定めた方針を組織内の情報システム部等の事業部門によって管理することがITマネジメントです。
もともと「ガバナンス」の語源はラテン語のgubernareで「船を操舵する」を意味しており、マネジメントのパフォーマンス結果を評価し、ビジネスニーズや社会変動に合わせて組織として目指すべき方向に舵を切りなおし、新たな指示を与え、またモニタすることで、はじめてガバナンスを効かせている状態となります。

日本企業に求められるITガバナンス

今の時代、「DX推進」というキーワード無しにビジネスは語れません。しかしDX推進をすればするほどセキュリティリスクも拡大していきます。ITガバナンスを実現するためには、DX推進のリスクと海外各国事情の両方を踏まえて今の時代にあったサイバーセキュリティ対策が必須となります。
2019年6月に経済産業省が策定した「グループ・ガバナンス・システムに関する実務指針」を参考に、ガバナンスの中でサイバーセキュリティ対策に対してどのような指針が示されているのかを確認してみましょう。

ガバナンスの目指すべきゴールは、グループ企業を含めた「グループ・ガバナンスの強化と持続的な企業価値の向上」となり、経済産業省からの本指針ではグループ・ガバナンスのベストプラクティスが紹介されています。その中でサイバーセキュリティ対策の在り方については、『セキュリティ投資は事業継続性の確保やサイバー攻撃に対する防衛力の向上にとどまるものではなく、IT を利活用して企業の収益を生み出す上でも重要な要素となる』、そして『サイバーセキュリティについて、グループ全体やサプライチェーンも考慮に入れた対策の在り方が検討されるべき』と述べられています。

サイバーセキュリティ対策は将来の事業活動・成長に必須な「投資」と位置付けて捉えることが重要であり、海外子会社・現地法人のサイバーセキュリティ対策は経営上の重要課題と位置付けられます。
ここで弊社に大変多く寄せられている海外のサイバーセキュリティ対策についての課題を列挙してみました。貴組織にあてはまる項目はいくつあるでしょうか?

---

  • 海外子会社をどのように管理するかが決まっておらず管理は現地任せ

  • M&A取得した海外子会社に対して統率力を効かせられていない

  • SaaS利用によりセキュリティ境界が変わってもポリシーと適用範囲が見直されないままになっている

  • 新しいセキュリティの脅威に対してリスク評価できる仕組みが無い

  • セキュリティインシデント報告を受けるが能動的に対応する仕組みが無い

  • 海外の法規制等の制約を理解しないまま、DX推進を実施している

  • セキュリティの重要度が浸透せず教育が不十分

---

これらの課題に加えて、現地で発生する損害だけに目を向けてしまうと、範囲は限定的になり、セキュリティ投資としての予算を確保できずリスクが肥大化するケースが見て取れます。日本本社に及ぼす影響も含んだ上でどれだけリスクを評価・可視化できるのか。DX実現を推し進める前に「リスクの規模」を把握してどこまでガバナンスを効かせるかを検討すべきなのです。

ITガバナンスが効いている企業の特徴

ITガバナンスが効いている企業の特徴 イメージ

それではガバナンスが効いている企業とそうでない企業では何が異なるのでしょうか。
ここまでの原因を見ると、潤沢なヒト、モノ、カネ、ITがなければガバナンスが効かせられず、自社にそこまでのリソースの余裕は無いため手の打ちようがないと思われるかもしれませんが、そうではありません。
ガバナンスが効いている企業は次の5つのポイントをきちんと押さえているように見受けられます。

  • Policy(ポリシー)

    これが最初に決めるべきかつ最も重要なポイントとなります。ポリシーなくしてあるべき姿はなく、対策の必要性も説明できません。
    親会社では保持している場合がほとんどですが、海外子会社・現地法人に対してどこまでを求めるか、なぜそのポリシーなのかを明確に決める必要があります。
    成り立ちや事業内容、規模にもよって変わるため社内だけで決められるものではありませんが、ここをきちんと定めることで環境変化に対応できるガバナンスが確立できるのです。

  • Process(プロセス)

    責任・役割の所在を明文化して共有し、それを運用していくことが必要です。
    どこの、誰が、誰に、いつ、何を、どのようにPDCAを行うのか定義していく必要があります。国ごとにバラバラな環境で認識を共有させるためにも、プロセスのドキュメンテーションと共有、それに沿った運用は必須となります。
    インシデントが起きてから場当たり的に日本から出張して応急処置の対応をしていては、ガバナンスは実現できません。

  • Product(プロダクト)

    ここで初めてソリューションの登場となります。ポリシーに沿ってプロセスを効率よく運用するために何を道具として使うのが良いのか、プロダクトありきではなく、ポリシーとプロセスありきで選定します。

  • Partner(パートナーベンダー)

    どのように社外のリソースを活用して展開、運用していくのか。効率的・効果的なリスク管理に最適なプロダクト活用とのバランスをみながらパートナー選定も重要となります。

  • People(人、組織)

    セキュリティは最終的に「人」を中心に考えなければならないというのが昨今の結論となっています。
    時差・文化・法人格・国籍・立場・目的が異なる海外に対してガバナンスを実施するには、コミュニケーション1つとっても「人」を見て、日本では想像もしないことが起きる前提でやり方を変えていかなければいけません。

ITガバナンスの実現に向けて

サイバーセキュリティ対策という課題に対してITガバナンスを行うには、やはり「守るべきデータは何なのか」そして「何から守るのか」を中心に考えるのがオーソドックスですが確実です。どこからアクセスするのか、どこのデータにアクセスするのか。その時どういったリスクがあるのか。ハイリスクはどれなのか。優先順位はどれが高いのか、自組織にふさわしいポリシーを決めましょう。
クラウドとモバイルが当たり前の環境になってしまった今、ITガバナンスの在り方は変革期に来ています。
先述のデータの所在、アクセス手段が、データセンターと拠点という境界から外に出てしまったことで、大きなリスクが顕在化し情報セキュリティは見直しを迫られています。
それに呼応する形で、ネットワークとサイバーセキュリティ対策のクラウド化が急速に拡がりを見せています。
海外子会社・現地法人の管理において、このクラウド型のネットワークとセキュリティを活用することで、これまで以上に効率よくリスクの可視化、防御、ポリシーの適用を実現できるフェーズになってきました。日本から情報セキュリティに関わるガバナンスを効かせやすい環境に移っているともいえます。
データを活用した変革が求められる今こそ、グローバル全体のITガバナンスを実施するべきタイミングに来ているのではないでしょうか。