NTTコムウェア C+ | ゲストインタビュー有限責任監査法人トーマツ　シニアマネジャー中澤可武氏海外進出する日本企業が抑えるべきリスクとは？

ポスト

サイバー攻撃、情報漏えいなどの対策が遅れている国も

―情報システム面でも考えておくべき、リスクはありますか？

中澤：３つの大きなリスクがあります。まずサイバーセキュリティ、次いで情報漏えい、そしてITシステムの停止です。個々の説明をする前に、こうしたリスクが生じる背景をお話しておきましょう。

進出した国によっては、M&Aで子会社化した現地の企業にITに詳しい人材がいないことが多く、ITに関するリスクマネジメントも非常に弱くなります。IT部門があったとしても、運用や保守などのオペレーション担当者がほとんどで、新たなリスク対策プロジェクトを企画できる人材がいなかったりするのです。そのため、リスクを評価して改善しようという動きにつながりにくいといえます。

さて、サイバーセキュリティに関してですが、海外子会社ではサイバー攻撃に対する脆弱（ぜいじゃく）性診断が行われていないことが珍しくありません。また日本本社の情報システム部門の知らないところで、現地で各部門が独自システムを立ち上げているケースもあります。

いうまでもなく、サイバーセキュリティのリスクは低減しなくてはいけません。情報システム部門としては、まずリスク評価を行い、「そのリスクが顕在化すると何が起こるか」というリスクシナリオと、それを軽減するための投資を、提示していく必要があります。しかし、そのプロセスが欠けている企業が多いのが現実です。

―グローバルな情報システムを構築し、データを一元管理する。例えば海外子会社から日本国内にあるデータセンターのシステムにアクセスさせ、ガバナンスを日本本社で管理することは難しいのでしょうか？

中澤：確かに日本本社でデータを一元管理し、グローバルで共通システムを構築するのが最善で、新規に構築するシステムなら、そうするのが望ましいといえます。

しかしM&Aで海外進出した場合、海外子会社がそれまで構築してきた独自システムを使い続けるケースが数多く見受けられます。というのも、何より言語と法令の問題が高いハードルとなっているからです。現地のシステムは、現地の人も扱える仕様、現地特有の法令に沿う形にしないといけません。それら課題をクリアして１つのシステムに統合するのは難易度が高いプロジェクトになります。

―情報漏えいが起こる要因は日本と異なりますか？

中澤：まず挙げられるのは、欧米諸国を除く諸外国における、情報漏えいに関するリテラシーの低さです。過去の日本においても、会社のパソコンにUSBメモリーなどを接続してデータを持ち出した事件があり、外部メモリー利用に制限を設ける意識が高まりました。ところが、海外では会社のパソコンに私物のUSBメモリーを差し込むことが、システム、ルールにおいて制限されていない会社さえあります。

IDやアクセス権限の管理がまったくできていないケースもあります。日本であれば、「機密情報は上司だけがアクセス可能」など、ユーザーごとに異なる権限を設けます。しかし海外では、スタッフ全員に共通のグループIDを使わせていたり、１スタッフに強いアクセス権限を与えていたりします。そのため漏えいしやすい状況が生まれますし、漏えい元を探すのが大変になります。

各従業員のリテラシーだけではありません。専門家である情報システム部門のスタッフでも同様です。例えばサーバーのバックアップテープが資産管理されておらず、どこにどんなデータが入っているのか、情報システム部門の担当者ですらよく把握できていないこともあります。そのような状態ですので、ITシステムに障害が発生してバックアップテープからの復旧が必要になったときになって「どうしようもない」となる可能性も考えなくてはいけません。

最後のITシステムの停止に関するリスクですが、これは自然災害のリスクとも深く関わっています。海外の企業では、水害が起こりやすい地域であっても、サーバールームを建物の１階に設けている場合が珍しくはありません。2011年にタイで起こった大規模な洪水を覚えている方も多いと思います。現地に進出していた日本企業も巨額の損害を受けましたが、サーバールームが水没したところも多かったのではないでしょうか。

図2：情報システムで注意すべき、3つのリスク

【図版制作／コンテンツブレイン】

グローバルなリスク管理のカギは、日本主導による体制整備

―そうしたリスクをマネジメントするには、何から手がければいいのでしょうか？

中澤：最初に手を付けるべきは仕組み作りです。その際に大事なのは、かじ取りを個々の海外子会社に委ねず、日本本社が主導して取り組むことです。というのも、これらは特定の国、企業、拠点だけでなく、ほとんどの海外子会社で共通する課題だからです。

主導して関われば、各国におけるリスク、事情を日本本社が把握できます。情報システム面でも、「リスクを軽減するにはどう運用していくべきか」「グローバルで統一できるシステムは何か」なども検討できるでしょう。

―国や地域によって差が大きいと、グローバルな仕組み作りは難しいのではありませんか？

中澤：グローバル展開の際のリスクマネジメントで何から手がければいいのか悩んだときに役立つのは、エリアごとに表を作る方法です。

横軸に、アメリカ、中国、インドなどといった国名を記し、縦軸に情報システム、セキュリティ、不正会計などリスク要因となりうる項目を記し、表を作ります。そのうえで、海外子会社がある国別にそれぞれの各リスクについての評価を行うのです。評価はリスクが高い順にA、B、Cくらいの３段階でいいでしょう。そうすると、「どの国でどのリスクがどの程度高いのか」が俯瞰（ふかん）できるようになります。私たちはリスクマップと呼んでいますが、この表を作ることで、優先して取り組むべきことが見えてきます。

そうして本社としてリスクに対してどう臨むのか、各国の子会社に方針を明示します。併せて、海外子会社に勤務するスタッフのリテラシーを高める教育もおすすめしたいですね。

―日本国内でも、今後外国人雇用が増えていくと思われます。どのような点で注意が必要でしょうか？

中澤：日系企業がグローバル進出を強化していくと、日本国内の外国人従業員に求められる役割も変わってくるでしょう。例えば、海外子会社との窓口になる、現地の国籍を持つスタッフの重要性です。現地の法律、文化、慣習などをよく知ったスタッフを、日本本社に置いて、海外子会社との間に入ってもらうわけです。海外進出を強化するなら、否応なくそういう人材が必要となるでしょう。

日本で働く外国人従業員に対して、「日本に来たら日本流のやり方にあわせろ」は通用しません。例えば、日本には阿吽（あうん）の呼吸があり、明確に指示を出さなくても伝わるものです。しかし外国人には、伝わるところ、伝わらないところを明確に意識して指示を出さなくてはいけません。これは、日本国内における外国人従業員だからということではなく、海外子会社で現地の外国人を雇う場合と基本的に同じ話です。

リスクマネジメントは、事件が起こってから取り組む企業も少なくはありません。しかし、その前にリスクをしっかりと分析し、対策を整備しておくことは、海外進出を成功させるために重要です。