日本のGRCは10年遅れ!?世界と渡り合うためにも早急な対応が必要
――もともとGRCというキーワードは、2006〜2007年頃、J-SOX法準拠に向けた内部統制対応などで耳にするようになりました。近年になって改めて注目される理由はどこにあるのでしょうか。
NANAROQ 株式会社 代表取締役社長 兼 CEO 佐々木慈和氏
1976年、岩手県出身。2001年 南カリフォルニア大学コンピューター
サイエンス学科を卒業後、日本ヒューレットパッカード社へ入社。
セキュリティコンサルティング業務へ従事。
2005年2月同社を退社、同年3月NANAROQ株式会社(ナナロク)を設立。
2013年よりアジア市場開拓のため、シンガポール駐在。
私たちがNANAROQとして企業のコンプライアンスにフォーカスし始めた2007年頃、確かに既にJ-SOX法準拠などが起点となって、日本にも様々なリスクマネジメントやセキュリティ関連の製品やサービスなどが存在していました。しかし、リスクマネジメントに関する4つのセグメント、アプリケーションセキュリティ、データセキュリティ、ITセキュリティ含めたマネージドセキュリティサービス、GRC統合を照らし合わせると、GRCに関するものが日本市場ではほとんど見られなかったのです。
一方、欧米に関してはSOX法対策が一定完了した後、GRCの大きな市場が生まれていました。コーポレートガバナンスや国際的な規制の強化の下で、海外の事業展開やM&A、事業モデルの変革等で多様化するリスクや運用負荷の増大に対し、受動的で個別による対策では解決できない。より実効的な施策として、ガバナンス・リスク・コンプライアンスを横断的に捉え、かつ能動的に管理することを考えたわけです。
当然、日本でもその波はやってくると思い、私たちもそれに応えるべく、GRCソリューションの提供を準備し、2009年に提供を開始したのですが、リーマンショックの直後でした。その後2011年には東日本大震災も起きるなど、社会情勢が落ち着かない中、なかなかコンプライアンスの施策に気持ちも投資も向かわなかった。その結果、企業のコンプライアンスは8〜10年も遅れてしまったという印象があります。それがようやく景気回復の兆しもあって、注目されてきたというところでしょう。
バラバラな管理でリスク&コストが増大――GRCによる効率的な一元管理で課題解決を
――実際、GRCが既に展開し浸透している欧米と比べ、日本企業のコンプライアンスやリスクマネジメントなどには、どのような課題があるとお感じですか。
昨今、大きな不祥事や事故が相次ぎましたが、それに象徴されるように、リスクの多様化や影響範囲の拡大化が進み、より実効的な対策が求められているように思います。
確かにこれまでもJ-SOX法対策をきっかけに様々な施策がとられていましたが、会社法やIT法、様々な業界法など、対応すべき法令は多く、総合的なコンプライアンス体制を確立することは極めて難しかった。さらに、法令で必ずしも担保されない経営リスク、たとえば、災害による事業停止や急増している標的型攻撃による情報搾取や漏洩などに関しては、企業の自発的な自己防衛が求められています。
そうした背景のもと、多様化するリスクへの個別対応やシステム側の分断などもあり、コンプライアンスに関する運用負荷やコストは増大していました。そこで、注目されているのがGRCです。GRCは内部統制、リスク管理、法規制対応の業務や情報を統合し、企業のリスク対応能力を向上させようというもので、管理効率化やコスト削減にも貢献します。
NANAROQが提供するGRCソリューションは、米国ネットワークフロンティア社と提携したコンプライアンス情報をマッピングし一元的に管理する、世界で初めてのフレームワークUCFがベースです。そこに、デジタルツールおよびコンサルティングなどのリアルなサービスを提供しています。さらにリスクマネジメント可視化ツール「RiskOrgnaizer」がクラウドサービスとして用意されており、組織のリスクを体系的に管理し、可視化することができます。
スタートサポートのためのアセスメントが提供され、月額20万円からというリーズナブルな価格体系もあいまって、多くの企業に導入および問い合わせをいただいています。
