内部統制のキホン「3層防御」がうまく機能しない……第1線と第2戦の溝を埋める「第1.5戦」とは？

内部統制を確保する「3層の防御線」

　スリーラインディフェンスは、多くの業界で広く採用されているベストプラクティスです。より堅牢なリスク管理体制を構築することができ、組織が適切にリスクを識別し、対処するための汎用的なフレームワークです。具体的には3つの防御層を構築し、リスクの識別・評価・管理において内部統制を確保するために活用されています。

　スリーラインディフェンスは3つのラインから構成されており、それぞれの役割は以下のように定義されています。

第1線：事業部門および事業部門を統括する経営層／役員

　事業部門は事業推進にともなうリスクの発生源であり、リスクの所有者 兼 管理者になります。自ら発生するリスクをコントロール（重大なリスクを識別・評価、低減、内部統制のプロセスを維持するなど）することに対する直接的な責任を有します。

第2線：リスク管理部門・セキュリティ部門

　第1線である業務部門からは独立して、リスクの管理態勢や運用状況をモニタリングし、必要な支援や助言を行う部門のことを指します。第1線が導入したリスクコントロールの手段やマネジメントプロセスが適切に設計されているかモニタリングして、必要に応じて第1線を支援する責任を有します。

第3線：内部監査部門

　独立した立場で、第1線と第2線の活動を含む、組織のあらゆる領域のリスクマネジメントとコントロールを監査し、有効性を評価する責任を有します。また、客観的な視点から評価することで、これにより、企業全体のリスク管理体制が強化することができます。

　複数の防御線を設ける、各防御線の役割と責任を明確にすることで、リスク管理の効果が高まり、リスクの早期発見、迅速な対応をすることができるといった利点がスリーラインディフェンスにはあります。

第1線と第2戦の間にある、情報伝達の“溝”

　スリーラインディフェンスでは各部門の役割を別々に設けているため、責任分界点が明確になる一方で、各部門での縦割り構造を招いてしまう課題がありました。また、第1線はビジネスを推進する立場にあり、第2線であるセキュリティ部門との業務や文化の違いにより連携するうえでの阻害要因となることがあります。

　具体的に言えば、第1線はビジネスを推進して売上を上げる「攻め」の部門、第2線はビジネスを推進するうえで発生するリスク低減策の推進・整備を行う「守り」の部門という位置付けです。第1線はビジネスを推進することが主軸であることから、セキュリティの知見がなく、セキュリティに関してはリスク評価含めて第2線に丸投げ状態になってしまうことが多くあります。第1線の部門数は大企業になるほど多くなる傾向にあり、そのすべてを賄うとなると、第2線としてのセキュリティ部門の負荷が非常に高くなり、運用が回らなくなります。また、文化の違いもここには関与してきてさらに負荷を高める要因となってしまいかねません。

　第2線でリスクを評価する際に根拠となる情報は、基本的に第1線から入手します。第1線で実施しているビジネスに関する評価をするため、第1線から提供される資料やヒアリング結果をもとに第2線でリスク評価をすることになるのですが、この際に評価に必要な情報を適切に入手することができず、第1線との情報共有に時間を要してしまうのです。というのも、先述のような第2線に丸投げ状態であると、リスク評価手法や提示する情報など細かなことは第2線に任せておけばよいという考えとなり、提示する情報が断片的になる傾向が少なくありません。第2線としてはリスク評価においてより正確に行うために実態を把握する必要があり、抜けている情報を必死で収集しようと第1線と連携しますが、お互いに扱う用語がビジネス用語とセキュリティ・IT用語で会話が成立せずに、やり取りだけで時間がかかってしまう傾向にあるのです。

　他にも、セキュリティ領域は第2線に位置する部門の中でも重複している部分が発生しやすい領域になります。たとえば、個人情報保護はコンプライアンス部門や法務部門の領域にもなりますが、個人情報を保管する技術的な観点はセキュリティ部門が担うことが多く、第1線からすると複数の部門から同様のリスク評価のための情報収集がきてしまい煩わしさを感じます。一度提供した情報は第2線内で共有してほしいという思いから、第2線に提供する情報が差分のみとなってしまうというのもよくある例です。

　こうした第1線と第2線の連携時の問題から、この2者間をつなぐ役割を有する「第1.5線」という存在が注目を集めるようになりました。

双方の知見を持ち合わせる「第1.5戦」が橋渡し

　第1線と第2線双方の知見を有した人材が双方の部門をつなぐべく、第1.5線というものが登場しました。これは特定の部門が担うのではなく、第1線もしくは第2線のどちらかに設置されます。

　第1.5線の役割を任命された者は、第1線と第2線のつなぎ役となり、第2線が定めるセキュリティ規程を第1線のビジネスに落とし込むために、第1線のビジネス・第2線のセキュリティに関する知見を有していることが求められます。

　双方の知見を持った人材がいれば連携は円滑に進みますが、ここで対応できる人材が課題になります。ビジネスやセキュリティの片方だけの知見をもった人材だけでも希少価値があるのに、双方の知見を適切に持った人材を確保することはさらに難しいのが実態です。そのため、ビジネスの知見をもった人材にセキュリティ教育を行うか、セキュリティの知見をもった人材にビジネスの教育を行って育成していく傾向があります。実際には、第1線の現場の情勢を知っており、既に当該部門ともコネクションのある人材にセキュリティ教育を施した方が、より現場にセキュリティ施策を落とし込みやすくなり、セキュリティ以外の第2線の役割も担ってもらえるようになるため、特に前者の傾向が顕著です。