SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

Data Tech 2022

2022年12月8日(木)10:00~15:50

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

Security Online Press(PR)

コンプライアンス情報を統合する――リスク可視化ツール「Risk Organizer」

 国内ではコンプライアンスや情報セキュリティに関連した不祥事や事故が相次ぎ、改めて企業に潜む多様なリスクや影響範囲の広さに気づかされた人も多いだろう。今やセキュリティ対策やコンプライアンス遵守の必要性が増しているのは明らかであり、さらにはより実効的な対策が求められている。しかし、これまでの個別対応型のソリューションでは管理負荷が大きく、流動的な変化にも対応できないという問題がある。そこで注目されているのが、「ガバナンス・リスク・コンプライアンス」を横断的に捉え、かつ能動的に管理する『GRC』という考え方だ。NANAROQ株式会社はこの『GRC』にいち早く注目し、GRC専業サービスプロバイダーとして企業の課題解決に応えてきた。同社のGRCソリューションの概要について紹介する。

変化の激しい社会情勢に対応していくために、あらゆるコンプライアンス情報を統合する

 GRCとは、言葉通り「ガバナンス・リスク・コンプライアンス」を統合し、それぞれが連携しながら包括的にコントロールする、一連の活動や仕組み、システムのことだ。企業を取りまくリスクの多様化・複雑化、その範囲の影響の拡大などを鑑み、今あらためて注目されている。  

 もともと従来から「ガバナンス・リスク・コンプライアンス」については企業の大きな課題であり、様々な施策が展開されてきた。しかし、その多くがJ-SOX法準拠やISO対応、個人情報保護法やPL法への対応といったように、いわば個別対応に近いものも多かった。法令遵守への対応というように受動的であることから、予期せぬリスクや断続的な法改正など流動的な対応を苦手とし、管理負荷も増大する傾向にあった。また、ビジネスにおけるグローバル化が進み、海外進出先でのコンプライアンス対応はもちろん、取引先・提携先・連携子会社など意識すべき範囲も広がっている。

 こうしたコンプライアンス対応およびリスクマネジメントの複雑化に対して、GRCによる横断的・能動的な管理を“シンプルに”提供する。そのコンセプトのもと開発されたのが、NANAROQのGRCソリューションだ。

NANAROQ株式会社執行役員 兼 COO 榎本司氏

NANAROQ株式会社 執行役員 兼 COO 榎本 司氏

 SOX法はもちろん、様々な業界法令も含めたコンプライアンスに対する専門家のコンサルテーションとアセスメント。そして、世界各国の最新の情報を集約して提供するコンプライアンスデータベースの「UCF (Unified Compliance Framework)」、そしてリスクマネジメントを可視化し、能動的な対策を支援する「Risk Organizer」をクラウドサービスという形態で提供するなど、ITツールまでEnd-to-Endで提供している。「GRCに特化したベンダーというのは、日本では希有な存在だと思います」とNANAROQ株式会社執行役員 兼 COO榎本司氏は語る。さらに日本国内だけでなく、国外拠点へのソリューションをワンストップで提供できるのも同社の強みだ。

 「アジアを中心に、各国の法例に則ってローカライズしたGRCのシステムインテグレーションを提供しています。フロントや使い勝手は日本企業にフォーカスしながらも、バックヤードでは常に世界の変化を意識し、各国の最新情報を収集して提供しています。いつでも安心してグローバルビジネスに注力できるよう、使い勝手のいい『パスポート』的なソリューションを提供するつもりで取り組んでいます」(榎本氏)

各国の専門パートナーとの連携、ワンストップでのコンプライアンス設計が可能

 NANAROQのGRCソリューションは、リアルとITの連携によって、効果的かつ効率的なGRCを実現しようというものだ。  

 まず、コンサルティングについては、基本的な設計からアセスメント、そして実装までをそれぞれの専門家とのパートナーシップのもと、ワンストップで提供している。

 「コンプライアンスやセキュリティ対策における盲点を洗い出したり、GRCとして統合するロードマップを提供したり、“統合・最適化”を目的としたものが多いですね。海外拠点の場合は、GRC関連するサポートを各国の専門パートナーと連携して、提供しています」(榎本氏)  

 また、監査業務も手がけており、たとえば世界規模のペイメントテクノロジーを提供するVisa Inc.の日本唯一のSecurity Assessorsとして承認されている。従来、Visaが担っていたPINセキュリティなどのコンプライアンス・プログラムにおいて審査実施が可能だ。PCI DSS(Payment Card Industry Data Security Standards)などにも精通している。

 「コンサルタントがすべてコンプライアンスの専門家であると同時にバイリンガルであるのがNANAROQの強みの1つでしょう。現在、日本語・英語・中国語・韓国語・ヒンズー語に対応しており、海外とのやりとりや国外拠点へのサポートがスムーズに行えます。今後はさらに対応言語を増やしていく予定です」(榎本氏)

 コンサルタントは社内外合わせて約60名を超え、基本的には担当者が最後まで伴走するシステムになっている。ただし、アジア圏の拠点など遠方に対しては、より合理的かつ低コストでサービスを提供するために、クラウドサービス「アドバイザリーコネクト」によってサポートを行う。たとえば、監査前の専門家によるチェックや新たな対応に対する質問対応などがあった場合には、クラウド上でNANAROQが、企業の法務や経理などの部門担当者と現地のエキスパートとの仲立ちを行い、スムーズなコミュニケーションを支援するというものだ。

 また、近年の情報漏洩などのトラブルが内部的要因に起因していることを鑑み、社員に対してコンプライアンス教育を提供する「シンプラZ」の提供も開始した。クラウドで提供されるゲーム型教材になっており、一人のコンプライアンスへの意識の向上に貢献するという。

 こうした様々なソリューションの中でも、GRC統合の要となっているのが、リスクマネジメント可視化ツール「Risk Organizer」だ。

次のページ
能動的にリスクに備え、迅速に対応する――リスクマネジメント可視化ツール「Risk Organizer」

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
関連リンク
Security Online Press連載記事一覧

もっと読む

この記事の著者

伊藤真美(イトウ マミ)

フリーランスのエディター&ライター。もともとは絵本の編集からスタートし、雑誌、企業出版物、PRやプロモーションツールの制作などを経て独立。ビジネスやIT系を中心に、カタログやWebサイト、広報誌まで、メディアを問わずコンテンツディレクションを行っている。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/7036 2015/08/06 10:20

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2022年12月8日(木)10:00~15:50

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング