DX時代のITガバナンス～ITとDX、両戦略の整合性がカギ

一原：「ITマネジメント」は、個々のIT施策の計画から構築、実行、モニタリングといった具体的なPDCAを回していくプロセスを指し、IT部門や業務部門が担う領域です。「狭義のITガバナンス」で経営陣から示された指示に基づきITマネジメントを推進し、それらを実現させます。つまり、ITガバナンスとITマネジメントの2軸は一体となって機能するものとなります。一体となって機能させるためのルールの確立や共有、形骸化させない仕組みといった整備も重要な課題です。

―DXが進展するなかで、「広義のITガバナンス」に求められる役割も変わってきましたか？

一原：まさにそこが大事なポイントで、「広義のITガバナンスの取組みに対し、いかにDXの取組みを統合していくか」は多くの企業にとって重要な課題となっています。DXとITは重なる点が多いものの、目的・ゴールの違い、推進組織の違い、予算管理の違い、CIO（最高情報責任者）やCDO（最高デジタル責任者）などの役職を担当する責任者の違いなど、異なる点があります。そのような差異があるなかで、新しいリスクの発生やこれまで対応していた既存リスクの変化も踏まえて、今後の「広義のITガバナンス」の姿を考えていかなくてはならない状況になっています。

IT部門とDX推進組織の役割を整理すると、課題の構図がわかりやすく見えてきます。通常、企業のITインフラは重層的な作りになっており、基盤となるインフラ（クラウドを含む）の上に基幹システムが乗り、さらにいくつものシステム（アプリケーション）が並行して稼働しています。IT部門の役割は、ユーザー向けにより良い体験を提供するために、システムそのものを主眼としてIT環境を整備することにあります。IT部門はインフラからアプリケーションまでのシステム全般を担っていますが、DX推進組織はシステムからユーザーまでを横断的に見ています。

DXは、顧客や社会のニーズに応えて企業の競争優位性を確立するために、データとデジタル技術を活用して製品やサービス、ビジネスモデルを変革することを意味しています。DX推進組織は、既存のIT部門とは別の組織として、業務やITなど各専門分野の知見を持ったメンバーが集まり、社長直轄のプロジェクト組織として組成することが多くあります。データとデジタル技術を用いて製品、サービス、ビジネスモデルを変革していくというコンセプトである以上、既存のIT環境を変更しなければならないケースも少なくありません。ただ、その後の維持や管理はIT部門が担うことが多く、今までのガバナンスの考え方と違うガバナンスの考え方が融合しないことには、いろいろなところに綻びが出てきてしまいます。そのため、より柔軟で企業独自の環境に合った「広義のITガバナンス」の見直しが求められています。

IT部門とDX推進組織の目線や意識をすり合わせることが不可欠で、そのために経営陣がリーダーシップを発揮すべきです。それを怠ってリスクが顕在化すれば、最悪の場合、善管注意義務違反で経営責任が問われてしまう可能性も出てきています。

―ITガバナンスが特に重要な業界はありますか？

一原：「広義のITガバナンス」の取組みは、業界を問わずどの企業にも必要となります。ただ、規制の厳しい産業はITリスクにも敏感で、象徴的なのは金融業界です。「フィンテック」という言葉に代表される新たな取組みが生まれる状況で、デジタル化が加速しています。地方銀行を中心に、複数行で共同の基幹システムを管理・運営する動きも目立ちます。金融庁では2023年6月、「金融機関のITガバナンスに対する対話のための論点・プラクティスの整理」（第2版）を公表し、デジタル化の進展による社会環境変化に伴うリスク管理を指摘し、「広義のITガバナンス」の必要性を強調しています。そこでは、経営者はITとDX、両戦略を経営戦略と連携させ企業価値を向上させる役割を担うことを明示しています。

こうした動きは、同じく規制産業である製薬業界や重要インフラを担う業界に広がることが予想されます。また、規制産業に限らず、社内不祥事や情報漏えいといった事態が起きると、コーポレートガバナンスの不備が指摘され、その一要素である狭義・広義両方のITガバナンスの弱さをめぐる議論に発展することも想定されます。経営陣には“ITに疎い”といった言い訳は通用せず、「自分ごと」という意識で取り組む必要があります。

―ITガバナンスをめぐる環境やリスクについて教えてください。

一原：テクノロジーの進化にリスク対応が後追いすることは歴史が物語っています。IT領域を例にとってみると、オンプレミスからクラウドへのサーバー移行の流れが定着化し、一気にクラウド環境への移行が加速するといわゆる“野良クラウド”が散在する現象が起きてしまい、それに伴うリスクが顕在化するようになりました。その結果、クラウド環境に対する「あるべきガバナンス」が取り沙汰されるようになりました。DXも、まずはトランスフォームすることが求められる状況ですが、その変革に伴うリスクに対応していくためのガバナンスが求められるようになっています。最近では、生成AIを利用するケースも増えてきていますが、AIに関連したガバナンスも同様に今後注目される傾向にあると思います。

こうした状況を踏まえると、ITガバナンスも「ルールや仕組みを決めたら終わり」ではなく、デジタル化の進展に伴う環境の変化に応じて積極的に見直していくべきです。そして当然のことながら、デジタル化の進展に伴うリスクは経営上のリスクに直結するため、経営層が積極的に関与すべきです。そのためには、業務執行側の責任者を交えたITガバナンスに関する定期的な報告・連絡・相談の場が必要で、経営陣は見直しに関与していかなければなりません。

―ITガバナンスにおいて、今後、重要になる視点は何ですか？

一原：2点あります。まず1つは、グローバル展開している日本企業は特に、ITガバナンスを世界全体の視点から考えなければいけないということです。国によって求められるレギュレーションも異なりますし、組織体の成熟度によってガバナンスの程度も変える必要があるでしょう。企業としてのポリシーを明確に示し、個別の組織に応じてガバナンスをかけていく必要が高まるでしょう。

もう1つは組織を動かす人材です。ガバナンスを強化するためには、対応する人員の増強が不可欠ですが、ITやDXに関する知見を持つ人材をどのように育成していくかは待ったなしの課題です。特にIT技術に関する動向は昔から変化が非常に早く、それらを把握しつつリスクを理解でき、組織全体としてどのように推進していくかを検討できる人材を作っていくことが重要となります。

人材は、すぐに育つわけではありません。昨今、リスキリングが声高に叫ばれていますが、人は動機がない限り動きません。そのため、何らかの人事評価と紐付けるなどの動機につながる仕組みを検討し、制度として確立することも必要となります。また、ITやDX、それらのリスクに詳しい外部人材を活用することも一時的には有用ですが、ナレッジを獲得するための手段と捉え、自社の社員と一体となって業務に当たらせることで社員を育成する形式にしていくべきでしょう。

―高度なITガバナンスを追求するためのポイントはありますか？

一原：グローバルでのデファクトスタンダードのフレームワークとして、ISACA（Information Systems Audit and Control Association：情報システムコントロール協会）という米国の組織が提唱するCOBITというフレームワークがあり、この考え方に則って「広義のITガバナンス」態勢を構築すればITガバナンスを効かせることはできます。ただ、あくまでもフレームワークなので、そのまま取り入れようとすると、企業経営はがんじがらめになってしまい、業務が回らなくなってしまう可能性が高くなります。

では、現実解としてどうすればよいか、そこには魔法の杖のような正解はありません。1社1社の企業が置かれている環境、DXの取組み、リソースやスキルセット、資金といった経営体力、外部的に対応すべきレギュレーションも違ってきます。いろいろな要素を加味して、その企業や組織が目指す着地点を探っていくことに関しては、まさに当社が手がけているようなコンサルティングの範疇になるのではと考えています。

―ITガバナンスに対するKPMGの支援策を聞かせてください。

一原：大きく2つあります。1つは当社の組織形態を最大限に生かした支援です。業界の知見を持つスペシャリストとITやリスクマネジメントといったサービスのエキスパートが一丸となってクライアントを支援しているほか、世界140ヵ国以上にある拠点のネットワークを活用できます（注：拠点数は執筆時点）。たとえば、グローバル展開しているクライアントであれば、各国の子会社に対して、本社が定めたITガバナンスのポリシーを「現地スタッフ」が「現地の言葉」でコミュニケーションすることができます。

一原 盛悟

KPMGコンサルティング　執行役員 パートナー

本稿に関連したサービスを紹介します。下記以外のサービスについてもお気軽にお問い合わせください。