EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

コンプライアンス情報を統合する――リスク可視化ツール「Risk Organizer」

  2015/08/05 11:00

 国内ではコンプライアンスや情報セキュリティに関連した不祥事や事故が相次ぎ、改めて企業に潜む多様なリスクや影響範囲の広さに気づかされた人も多いだろう。今やセキュリティ対策やコンプライアンス遵守の必要性が増しているのは明らかであり、さらにはより実効的な対策が求められている。しかし、これまでの個別対応型のソリューションでは管理負荷が大きく、流動的な変化にも対応できないという問題がある。そこで注目されているのが、「ガバナンス・リスク・コンプライアンス」を横断的に捉え、かつ能動的に管理する『GRC』という考え方だ。NANAROQ株式会社はこの『GRC』にいち早く注目し、GRC専業サービスプロバイダーとして企業の課題解決に応えてきた。同社のGRCソリューションの概要について紹介する。

変化の激しい社会情勢に対応していくために、あらゆるコンプライアンス情報を統合する

 GRCとは、言葉通り「ガバナンス・リスク・コンプライアンス」を統合し、それぞれが連携しながら包括的にコントロールする、一連の活動や仕組み、システムのことだ。企業を取りまくリスクの多様化・複雑化、その範囲の影響の拡大などを鑑み、今あらためて注目されている。  

 もともと従来から「ガバナンス・リスク・コンプライアンス」については企業の大きな課題であり、様々な施策が展開されてきた。しかし、その多くがJ-SOX法準拠やISO対応、個人情報保護法やPL法への対応といったように、いわば個別対応に近いものも多かった。法令遵守への対応というように受動的であることから、予期せぬリスクや断続的な法改正など流動的な対応を苦手とし、管理負荷も増大する傾向にあった。また、ビジネスにおけるグローバル化が進み、海外進出先でのコンプライアンス対応はもちろん、取引先・提携先・連携子会社など意識すべき範囲も広がっている。

 こうしたコンプライアンス対応およびリスクマネジメントの複雑化に対して、GRCによる横断的・能動的な管理を“シンプルに”提供する。そのコンセプトのもと開発されたのが、NANAROQのGRCソリューションだ。

NANAROQ株式会社執行役員 兼 COO 榎本司氏

NANAROQ株式会社 執行役員 兼 COO 榎本 司氏

 SOX法はもちろん、様々な業界法令も含めたコンプライアンスに対する専門家のコンサルテーションとアセスメント。そして、世界各国の最新の情報を集約して提供するコンプライアンスデータベースの「UCF (Unified Compliance Framework)」、そしてリスクマネジメントを可視化し、能動的な対策を支援する「Risk Organizer」をクラウドサービスという形態で提供するなど、ITツールまでEnd-to-Endで提供している。「GRCに特化したベンダーというのは、日本では希有な存在だと思います」とNANAROQ株式会社執行役員 兼 COO榎本司氏は語る。さらに日本国内だけでなく、国外拠点へのソリューションをワンストップで提供できるのも同社の強みだ。

 「アジアを中心に、各国の法例に則ってローカライズしたGRCのシステムインテグレーションを提供しています。フロントや使い勝手は日本企業にフォーカスしながらも、バックヤードでは常に世界の変化を意識し、各国の最新情報を収集して提供しています。いつでも安心してグローバルビジネスに注力できるよう、使い勝手のいい『パスポート』的なソリューションを提供するつもりで取り組んでいます」(榎本氏)

各国の専門パートナーとの連携、ワンストップでのコンプライアンス設計が可能

 NANAROQのGRCソリューションは、リアルとITの連携によって、効果的かつ効率的なGRCを実現しようというものだ。  

 まず、コンサルティングについては、基本的な設計からアセスメント、そして実装までをそれぞれの専門家とのパートナーシップのもと、ワンストップで提供している。

 「コンプライアンスやセキュリティ対策における盲点を洗い出したり、GRCとして統合するロードマップを提供したり、“統合・最適化”を目的としたものが多いですね。海外拠点の場合は、GRC関連するサポートを各国の専門パートナーと連携して、提供しています」(榎本氏)  

 また、監査業務も手がけており、たとえば世界規模のペイメントテクノロジーを提供するVisa Inc.の日本唯一のSecurity Assessorsとして承認されている。従来、Visaが担っていたPINセキュリティなどのコンプライアンス・プログラムにおいて審査実施が可能だ。PCI DSS(Payment Card Industry Data Security Standards)などにも精通している。

 「コンサルタントがすべてコンプライアンスの専門家であると同時にバイリンガルであるのがNANAROQの強みの1つでしょう。現在、日本語・英語・中国語・韓国語・ヒンズー語に対応しており、海外とのやりとりや国外拠点へのサポートがスムーズに行えます。今後はさらに対応言語を増やしていく予定です」(榎本氏)

 コンサルタントは社内外合わせて約60名を超え、基本的には担当者が最後まで伴走するシステムになっている。ただし、アジア圏の拠点など遠方に対しては、より合理的かつ低コストでサービスを提供するために、クラウドサービス「アドバイザリーコネクト」によってサポートを行う。たとえば、監査前の専門家によるチェックや新たな対応に対する質問対応などがあった場合には、クラウド上でNANAROQが、企業の法務や経理などの部門担当者と現地のエキスパートとの仲立ちを行い、スムーズなコミュニケーションを支援するというものだ。

 また、近年の情報漏洩などのトラブルが内部的要因に起因していることを鑑み、社員に対してコンプライアンス教育を提供する「シンプラZ」の提供も開始した。クラウドで提供されるゲーム型教材になっており、一人のコンプライアンスへの意識の向上に貢献するという。

 こうした様々なソリューションの中でも、GRC統合の要となっているのが、リスクマネジメント可視化ツール「Risk Organizer」だ。


関連リンク

著者プロフィール

  • 伊藤真美(イトウ マミ)

    フリーランスのエディター&ライター。もともとは絵本の編集からスタートし、雑誌、企業出版物、PRやプロモーションツールの制作などを経て独立。ビジネスやIT系を中心に、カタログやWebサイト、広報誌まで、メディアを問わずコンテンツディレクションを行っている。

  • Security Online編集部(セキュリティ オンライン ヘンシュウブ)

    Security Online編集部 翔泳社 EnterpriseZine(EZ)が提供する企業セキュリティ専門メディア「Security Online」編集部です。デジタル時代を支える企業の情報セキュリティとプライバシー分野の最新動向を取材しています。皆様からのセキュリティ情報をお待ちしております。

バックナンバー

連載:Security Online Press

もっと読む

All contents copyright © 2007-2021 Shoeisha Co., Ltd. All rights reserved. ver.1.5