IT統制後のITの在り方

いやいや取り組む「守りのIT」、意欲的に向き合う「攻めのIT」

更新日: 2008/07/17
公開日: 2008/07/15

通知

戦略的競争優位の源泉として「内部統制」の必要性が認知されるようになり、その効果的な方法としてITに対する取り組みがいっそう強化されつつある。しかしながら、法令遵守という目の前の課題にとらわれ、本来の目的を忘れてしまう企業も多い。果たして法令対応のためのIT統制のその後に、経営は何を見て、どのように組織を導いていけばよいのか。日立コンサルティングシニアディレクターとして、多くの企業のIT戦略に携わる中村誠氏にお話を伺った。（IT Compliance Review vol.7より転載）

通知

IT統制に意欲を見せる経営層、その一方で、誤解や混乱も

――経営層の「IT統制」に対する関心が高まりつつあるといわれていますが、誤解や混乱も多いようです。

　そうですね。ただでさえ経営層にはなじみのないIT用語に法律の専門用語が入り交じり、わかりにくい状況になっていることは確かでしょう。しかし、もともと日本の経営層はIT組織出身者が少ないですから、どうしても関心が薄くなるのは仕方のないことです。これまでの関心といえばせいぜい「役立っているのか」「不安はないのか」「無駄なことはないか」という程度だったでしょうし、自らそれを検証する術もなく、担当者任せにしてきた部分は大きいと思います。そうした経緯を鑑みると、近年の経営層の「IT統制」に対する関心の高まりは、方向性としてはこれまでと変わらないかもしれませんが、「これはもう少しちゃんと見なければならないぞ」という気持ちになったことは大きな進歩だと思っています。

株式会社日立コンサルティングシニアディレクター中村誠氏

　一方、IT担当者側から見ると、これまで裏方として黙々と行っていたのに、急に表舞台に引き出されて、少々戸惑っている気配が感じられます。しかし、これも経営層と直接対話ができるチャンスとして捉えれば、実は望ましいことでしょう。

　ITの観点から経営層と対等に対話するCIOというポジションは、重大であるにもかかわらず、これまで日本では閑職のような扱いを受けてきました。以前、CIOの会合に出席したことがあるのですが、半数が長年勤め上げた人のリタイア前の「最後のお勤め先」となっていると聞いて、愕然としたことがあります。ITの業務がわからない人がわからないまま、権限や責任も不明確な役職に就いている。欧米では、次期CEOのポストを狙えるくらい有力なポジションとして認識されてきているのに、まさに対照的だと感じました。

　それでも、まだ多数派とはいえませんが、ITシステム部門の出身者がCIOとして采配を振る企業も出てきました。たとえば物流業などは、業務とITシステムが密接に関係していますので、人的にもIT部門と現場部門との連携がとれていることが多いですね。そういうところでは、あえてCIOという役職をおかなくても、営業とITの橋渡し的な立場の人が、既にCIOとしての役割を担っていることがあります。

　そうした事例を踏まえると、現場の力が強い日本では、業務とITを密接に絡めて結果を出して、その時はじめてITが認められるのかもしれません。そう考えると、内部統制に関心が集まっている今こそ、IT統制によって成果を上げ、「ITが本業にどのようにどのくらい役に立っているか」をアピールする絶好のチャンスなのではないでしょうか。

いやいや取り組む「守りのIT」、意欲的に向き合う「攻めのIT」

――関心が高まっているとはいえ、まだまだ「IT統制＝変更管理・セキュリティ対策」といった感覚が根強く、法対応のためという脅威論的な捉え方がなされがちです。

　経理部門からITの世界へと入った私自身の経験を踏まえると、「直接データを変更してはならない」「変更管理を正確に行え」などといったことは、ごくごく当然のことでした。ですから、それが法令で規制されることになったといって、「今さら大上段を振りかざして何を言っているんだ」と憤るIT担当者は多いと思います。

　それはそうですよね。「ITを担う人が不正を行うことを防ぐ」といったようなことを言われて、これまで「より役立つ仕組みにしたい」「コストを掛けずにいいものをつくりたい」と、真摯に取り組んできた人々にしてみれば、心外としか言いようがない。ですから、私がコンサルタントとして、そうしたIT担当者と対峙する時には「今まで通り行いましょう」「それらを正しく示しましょう」と伝えるようにしています。

　よくセキュリティ対策やアクセス管理などを「守りのIT」、マーケティングやデータ活用などを「攻めのIT」という言い方をするようですが、私にしてみれば、いやいや取り組むのが「守りのIT」、積極的に使えるITを目指して意欲的に向き合うのが「攻めのIT」というところでしょう。

　そうなれば、現在のようにIT統制への関心が高まっているこの「追い風」を、どう活かすかが重要です。監査人に指摘されて「仕方なく証明するためのシステムづくり」だけを行うようではいけません。証明のその先にある、業務の効率性や競争力向上を意識しながら、ITに取り組むことが大切です。たとえば、ログを取る際に「そのシステムが役に立っているか」「どこをどう変えるべきか」といったように、次の改善につなげるための手がかりになると思うくらいがよいでしょう。単純に変更管理のためとなれば「とりあえず変更前後のログをとっておこう」という後ろ向きの発想になってしまいます。それではせっかくとったログも活かし切れません。

　このように考えていくと、IT部門の「気持ち」が、攻めのITを実現する大きなファクターになると言っても過言ではないでしょう。それにもかかわらず、その「気持ち」を近年の「IT統制」ブームが押しつぶしているように感じてならないわけです。「とりあえず」と法令遵守を押し付けられ、ぎちぎちのシステムを短時間で構築することを求められて疲弊した結果、IT部門が「考えないモード」になってしまうのが、IT統制対応後の一番のリスクだと思います。

次のページ
本来のIT統制は「攻めのIT」であるべき

この記事は参考になりましたか？

印刷用を表示

IT Compliance Reviewスペシャル連載記事一覧: コンビに見るIT統制効率化の最適解 2年目のIT統制は「やらないこと」を作ること（後編）

PCI DSS最前線～全米が注目するセキュリティガイドラインを俯瞰する（後編）

コンビに見るIT統制効率化の最適解 2年目のIT統制は「やらないこと」を作ること（前編）

もっと読む

この記事の著者: EnterpriseZine編集部（エンタープライズジンヘンシュウブ）

「EnterpriseZine」（エンタープライズジン）は、翔泳社が運営する企業のIT活用とビジネス成長を支援するITリーダー向け専門メディアです。データテクノロジー/情報セキュリティの最新動向を中心に、企業ITに関する多様な情報をお届けしています。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この著者の最近の執筆記事