リスクマネジメントとDX

リスクマネジメントは、外部環境や戦略などによって企業ごとに立ち位置が変わりますが、リスクもどんどん変化していくので、企業人としてリスクマネジメントを担当する以上は、新たな経験や視点を常に取り込みながら、スペシャリストになるためにキャリアを積み上げています。

なぜリスクマネジメントの中にデジタルトランスフォーメーション（DX）が出てきたかというと、テクノロジーによって世の中がとても便利になり、ビジネスで得られるデータやシステムは戦略策定のためのフィードバックとして、あるいは重要な資産として扱われるようになりました。そこをうまく活用することが企業の成長に大きな影響を与え、DXやテクノロジーの活用自体が企業価値を決めるようになりました。ですから、リスクマネジメント活動を行うに当たっては、DXやテクノロジーは避けて通れないわけです。

DXやテクノロジーによって社会が便利になる一方でリスクも増加しているという点で、まず思い出されるのはサイバーセキュリティだと思います。デジタルの進化や新しいテクノロジーの出現によってリスクも急速に変わり、特にサイバーセキュリティの分野では、サイバー犯罪者が新しいターゲットを見つけては攻撃を仕掛けることが日常茶飯事になっています。

リスクマネジメントというとITやテクノロジーに焦点が当たることが多く、セキュリティ対策がDXの中心になるのはその通りだと思いますが、今日はそれ以外の領域でDXがどのように使われているのか、私の経験や知見を交えながらお話しします。

リスクマネジメント活動の定義はさまざまですが、米国のトレッドウェイ委員会支援組織委員会（COSO）が公表したリスクマネジメントのフレームワークによると、考慮すべき20の原則の1つに「情報とテクノロジー」が含まれており、リスクマネジメント活動に情報をしっかり使うべきだとうたわれています。

リスクマネジメント活動を考えるに当たって、「リスクの特定・検知」「リスクの評価」「リスクの軽減活動」「リスクモニタリング」「経営報告・レポート」の5つのプロセスに分けて考えると分かりやすいので、これらに沿って事例を紹介します。

「リスクの特定・検知」では、WORD CLOUDがいろいろな場面で活用されています。日々のやりとりの中でよく使われる言葉を頻度に応じて画面やキャプチャーなどで視覚的に大きく表示したツールです。

従来、リスクマネジメント活動を遂行する上で潜在的なリスクがどこにあるのかを考えるときに、インタビューやお客さまからの声、社内資料や公開情報などからリスクを特定していましたが、今では音声、メール、文書などのデータをデータベース化し、WORD CLOUDというツールを活用することで頻出語が視覚的にとらえられ、会社や事業、プロダクトに関する潜在的なリスクを検知することができます。

それから、SNSやニュースのモニタリングのニーズも高まっています。一般事業会社では個人のお客さまに対していろいろなサービスやプロダクトを提供しているので、SNS起因のリスクの顕在化は結構気になる領域です。気付かないうちにリスクが増すこともあるので、SNSやWebニュースの口コミのようなものなどもしっかり見て回る（クロールする）ことがリスクマネジメント活動としてよく行われています。

例えば、新サービスリリース時のマーケットの反応を見るためにSNSのクローリングをしたり、ネガティブなイベントがあったときのレピュテーションリスクをモニタリングしたりすることが増えており、SNSはリスクマネジメントという観点でも非常に熱い領域になっています。

リアルタイム不正検知も行われています。キャッシュレス決済では、個人のアカウントが乗っ取られてお金を引き出されるという不正が分単位で行われます。1回成功すると次々と同じような手口でどんどんお金が引き出されるケースもあって、検知速度が遅ければ遅いほど傷口が広がり、テクノロジーの進化に伴うリスクとしては大きくなります。

ですから、例えば不正な取引がデータやログから検知されたとして、どの店舗で取引が行われたのかをテクノロジーの力を使って瞬時に特定することで、さらなる被害拡大を防ぐわけです。ここでポイントになるのは、検知した後に実際にサービスを止めるかどうかという判断です。例えば、あるエリア一帯の店舗の決済を止めるのか、ピンポイントの店舗だけ止めるのかというのは、DXと人間の行動を組み合わせて対応しています。

「リスク評価」のプロセスでは、意思決定におけるモデルの活用が進められています。モデルを使うことのメリットとしては、現実世界を可視化したり、定式化できなかったものを機械学習やAIを使って一定の方向性を示したり、既存のプロセスの効率化を図ったりすることができます。

しかし、課題としては、手法や仮定の選択によってアウトプットが大きく変わり得ます。機械学習も学習データの入れ方によって答えが変わるのと同じで、リスクマネジメントにおいてもモデルが適切に使えているかどうかのモニタリングは必要でしょう。金融庁が2021年11月に発表した「モデル・リスク管理に関する原則」でも、継続的なモニタリングや検証を行う必要があることが明記されています。

実際にどんなことをしているかというと、まず事業戦略と新規プロダクトの検討、開発フェーズ、実装フェーズ、改定・高度化フェーズという一連のプロセスがあるとして、かなり最初の段階から入り込んで、リスクマネジメントの観点からそのモデルが意思決定をゆがめていないかというレビューを走らせています。

例えば機械学習であれば、期待される答えの方向性がずれていないか、学習データを入れたときに結果としてプラスの方向に出るのか、マイナスの方向に出るのかという特徴量の方向性をマクロ的に分析したりしながらモデル・リスクを管理しています。このあたりは、DXという観点からするとなかなかレベルの高い領域で、社内でしっかり回していくのは人材の観点からもかなりハードルが高いと感じるので、こうした仕組みを組み上げるのは課題だと思っています。

それから、RISK MAPを活用した「リスク評価」「リスクモニタリング」も行われています。会社でリスクを検知し、リスクを評価するときに使う1つの枠組みとして、リスクの発生確率とそのリスクが顕在化したときの影響度を縦軸・横軸にしてマッピングし、影響度や発生確率が高いリスクを重点的に軽減することを普段から行っているのですが、そうしたものが最近、ある程度自動でできるようになり、リスクマネジメントの世界でもはやっています。そうしたRISK MAPのようなツールを提供している企業がかなりあり、そうしたツールを使ってDXを進めることで、業務を効率化しながら企業活動を高度化しています。

また、企業が「経営報告・レポート」をするときに、RISK DASHBOARDというものが最近よく活用されています。社内の経営会議の報告などいろいろなレポーティングの中にWeb機能を組み込んでしまって、リアルタイムに情報を可視化することで、リスクが顕在化したときにすぐ反応できるようにしておくことも、リスクを早めに軽減する上で非常に有効とされています。

RISK DASHBOARDは、私も活用したいものの1つではあるのですが、データをそろえるのが難しいことと、見せるデータだけで会社の意思決定をさせていいのかというジレンマもあって、このあたりは実務的な難易度が高くはあるのですが、経営に対してテクノロジーの力を使って意思決定の材料にするという動きは今後もトレンドとして続くと思っています。

テクノロジーの進化に伴い、リスクが複雑化・高度化しています。しかし、デジタル時代はどうしても予見が難しく、統計データを使って業務を「型化」し、それをテクノロジーの力を使って回していくことが困難な側面がリスクマネジメントには存在します。ですから、何らかの予兆を検知する仕組みづくりにDXの力が使えないかというのは悩みでもあります。そうしたリスク管理プロセスではとらえられないリスク（エマージングリスク）を見つけるところにテクノロジーの力を使えないか、日々考えています。

DXを使って全てが解決するのではなく、人間の知恵や経験のようなものとテクノロジーを融合させて初めて効果が発揮されるところがリスクマネジメントの面白さであり難しさだと思っていて、こうした点をリスクマネジメント活動の高度化としてうまく取り入れたいと思っています。取り入れる1つの領域としては、エマージングリスクにテクノロジーを活用することが課題でもあるし、これができれば、昨今顕在化した想定外のリスクに対しても備えができると思っています。

これを行うに当たってヒントがあると思うのは、リスクの検知という観点で良いシナリオを立てることです。過去のデータや経験からはなかなか見えないものでも、もしかするとAIなどを使うと、予見されていないものを検知したり、リスクシナリオを立てたりできるかもしれません。

例えば、politics、economy、technology、societyのような一般的な切り口でいろいろな情報や学習データをつぎ込むことで、AIや機械学習を使って何らかのトレンドやリスクシナリオを検知したり、可視化・言語化できたりすると、リスクマネジメントの領域も非常に高度化するでしょう。一方で、リスクはダウンサイドだけでなく、ビジネスチャンスでもあります。企業が成長するためにはこういったプラスの機会を検知することも必要です。

われわれが遠い未来を予測することはどうしても難しいですが、少し先の未来を見通すと、その先の潜在的なプラスマイナスを含めたリスク・機会が予見できます。そこに向けてできることはまだまだたくさんあると思います。特にテクノロジーやDXを考えると、一企業人として日本や世界の活動を参考にし、有効活用できるところはあるのではないかと考えています。

渡辺：
これから起きるリスクをどう予兆して、検知して、備えるか、将来に向けてどうするかというのは大変重要なご指摘だったと思います。サプライチェーンのリスクもありますし、地政学のリスクもあります。消費者のレピュテーション（評判）のような話もあるのだろうと思います。

サプライチェーンがつながっていく中で、全体でリスクを管理していくためにはどうしたらよいでしょうか。民間企業と政府の役割分担についてはどうお考えでしょうか。

A：
会社のシステムが止まったときにどんな影響があるかということをリスクとしてとらえるのと同じで、いろいろなパートナーやネットワーク、データの流れの中からリスクを検知するには、業務の流れやサプライチェーンを全部可視化して、リスクの所在を特定する活動が必要です。

とはいえ、重要なところから取り組まないといつまでたっても終わらないので、取り組むべき重要なエリアを見つけるために、リスクが顕在化したときのインパクトなどから逆算して、取り組むべき領域を特定しているのが実態です。

政府との役割分担については、一般事業会社は自助努力としてリスクの高度化をしなければならない領域はかなり広く、国や官庁から出るガイダンスペーパーや指針は非常に参考になるので、そういったものを見える状態にしていただくととてもありがたいと思います。

Q：

サイバー攻撃によるトヨタ自動車の工場停止問題がニュースをにぎわせましたが、どのようにお考えですか。

A：

まず、ランサムウェア（身代金要求型）に対する守りの難しさといったん攻撃を受けたときの対応の難しさがあると思います。それから、部品などを調達しているパートナーが攻撃されるとサプライチェーンが止まってしまうという難しさもあります。

前者については、大企業の場合はお金をかけてしっかり守ることも場合によっては可能かもしれませんが、投資額が限られる場合は脆弱（ぜいじゃく）にもなりえます。攻撃を受けて身代金を要求された場合、お金を払ってシステムを復元してもらうかは企業倫理の問題に跳ねることもありえます。対策としては、システムバックアップを頻繁に取って、止められたとしても時間軸を戻すことが想定しやすいかもしれません。

後者については、パートナーとの連携の中で想定したリスクシナリオを考え、サプライチェーンが止まらないようにプランBをつくっておくことと、パートナーでもしっかり対策を講じるよう働き掛けていくことが必要かもしれません。

Q：

世界が不透明感を増す中、リスクマネジメントはますます重要になっています。先生の経験でひやっとしたことやうまくいったことなどがあれば教えてください。

A：

カントリーリスクにしっかり向き合わなければならないと思います。タイで洪水があったとき、日本のメーカーのサプライチェーンが止まったことがあり、自然災害に対する見方が大きく変わりました。ロシアのウクライナ侵攻についても、地政学への知見をわれわれとしてももっと深めなければならないし、リスクシナリオもしっかり組み立てなければなりません。

Q：

組織のトップがリスクマインドを持っていない場合、部下はどうすればいいのでしょうか。

A：

リスクマインドを持たせるためには、インセンティブを与えることが必要だと思っています。リスクマインドを持つことがなぜ自分たちにとってプラスなのかという仕組みづくりに力をかけるといいでしょう。

Q：

リスクを予見するセンスを磨くために行っていることはありますか。

A：

あらゆる分野の情報にフラットな気持ちで接することと、リスクシナリオをつくるための考え方やヒントになるような本は結構読んでいます。

Q：

リスクマネジメントを企業自身の取り組みに大きく依存するのは日本の場合、現実的でないのではないでしょうか。

A：

リスクへの対応として、リスクを自助努力で軽減させる考え方と、リスクを移転させたところに保険などを使う考え方と、そもそもリスクを持ち切れないのでやめてしまう考え方の3つの選択肢があり、移転できなければリスク軽減策を図るしかないし、やめてしまうということは事業をあきらめることにつながるので取りにくい選択肢だと考えると、軽減する活動に経営としても力を振り向けなければならないのが実態だと思います。

Q：

日本のリスクマネジメントの人材育成について何か意見があればお願いします。

A：

日本の場合、人事ローテーションがあるため、リスクマネジメント1本でキャリアを積んでいる人が圧倒的に少ないと思います。海外は逆に多いので、そうした人材をしっかり育成したいとずっと思っています。それから、リスクマネジメントが意味のある重要な仕事なのだと認識してもらえるような取り組みが必要だと思っています。

Q：

政府の取り組みについて提言があればお願いします。

A：

政府で検討しているもので、リスクマネジメントの観点で非常に参考になるものはたくさんあるのですが、そこにリーチするまでが遠いので、何か共通のプラットフォームがあると情報にアクセスしやすくなるのではないでしょうか。

Q：

リスクマネジメント面で日本政府が行っている良い取り組みがあれば教えてください。

A：

内閣府で行われている、セキュリティに関するトレーニングに私も参加したことがあり、非常に役に立ちました。あのような取り組みが広がると非常にいいと思います。それから、チーム・リスク・オフィサー（CRO）の人たちが集まってリスクマネジメントに関する考え方やドキュメントをたくさん発表するようなフォーラムができるといいと思います。