DXに潜むITリスク対策の支援メニュー「IT統制 Master」の提供を開始します
2021年11月09日
MS&ADインターリスク総研株式会社
MS&ADインシュアランス グループのMS&ADインターリスク総研株式会社(社長:中村 光身)は、企業のITリスク対策を総合的に支援するコンサルティングメニュー「IT統制 Master」の提供を開始します。
1. サービス開発の背景
企業が市場での生き残りを賭けてDXを推進する中、サイバー攻撃やシステム不具合によるサービス提供の中断や事業の撤退など深刻な影響を与えるケースが相次いでいます。これらのリスクへの対応は企業にとって喫緊の課題です。そこで、企業のリスク対策を支援する損害保険会社グループの一員として、お客さまのITリスク低減への貢献を目指し本サービスを開発しました。
2. IT統制とは
IT統制とは、企業の業務を適正に保つ内部統制の仕組みのうち、ITシステムに関連するものをいいます。IT統制は一般的に「IT全社的統制」「IT全般統制」「IT業務処理統制」の三段階で構成されており、経済産業省「システム管理基準」や金融庁「財務報告に係る内部統制の評価及び監査に関する実施基準」等において、企業の取り組みの必要性が強調されています。
いまやITなしに企業の業務は成り立たたない一方で、昨今のデジタル化・DX推進の急速な広がりを受け、システム不具合や不適切な利用の発生等、企業自身に留まらず社会に広く重大な影響を引き起こすケースが相次いでいます。こうしたことから、組織内でのITシステムの適正な整備と運用に不可欠なIT統制の必要性がかつてないレベルに高まっています。
【IT統制の内容】
| 種類 | 目的 | 具体的内容 |
|---|---|---|
| IT全社的統制 | 企業グループ全体のITシステムを適正に構築・運用すること | 方針や計画、手続き、ルールなどの整備およびその実施状況の監視・改善など |
| IT業務処理統制 | 業務においてITシステムを適正に利用させること | データの網羅性や正当性、正確性、維持継続性などを確保する仕組みの構築、入力時のデータチェックや役職に応じたアクセス権限の管理、マスターデータの適時更新や整合性の維持など |
| IT全般統制 | ITシステムを業務に適用可能な状態に整備・維持すること | システムの開発や調達、運用や保守、安全性の確保、外部委託先との契約の管理などを適正に遂行できる体制や仕組みの整備・実施など |
3. サービスの概要
お客さまの取り組み段階に応じた支援メニューを提供します。
取り組み初期のお客さまには、現状評価で課題を洗い出し、解決のためのプラン作りから支援します。同時に、IT統制の実践に必要な体制の整備やサイバー攻撃やシステム不具合等の有事に対する備え、IT統制・管理に必要な知識や実践力を養成するための教育・研修等、個別の強化策を提供します。また、情報セキュリティマネジメントシステム(ISMS)や個人情報保護マネジメントシステム(Pマーク)の構築・運用の支援も可能です。
【サービスの全体像】
| 段階 | サービスメニュー | 概要 |
|---|---|---|
| 現状評価 | (1) IT統制・管理体制の現状評価・グランドデザインの策定 | 現状のIT統制・管理体制を評価(目指すべき状態と現状とのギャップ分析、課題・問題点の整理)し、グランドデザインを策定します。 |
| (2) サイバーリスクPML算出 | ITリスクの発生を想定した予想最大損失額(PML)を算出します。その上で、算出過程で判明した改善すべきポイント、改善実施した場合のPML削減額を分析します。 | |
| 体制整備 | (3) IT統制・管理に関するルールの策定・見直し | IT統制・管理体制の構築・運用に必要なルールの策定・見直しを支援します。 |
| (4) 情報セキュリティマネジメントシステム構築・運用支援 | 情報セキュリティマネジメントシステム(ISMS)の構築および運用を支援します。 | |
| (5) 個人情報保護マネジメントシステム(Pマーク取得体制)構築・運用支援 | 個人情報保護マネジメントシステム(JIS Q 15001)の構築および運用を支援します。 | |
| (6) IT統制に関する統合報告書作成・情報開示支援 | サイバーセキュリティ対策に関する情報開示を通じて、様々なステークホルダーに説明責任を果たすことを支援します。 | |
| 有事対応 | (7) 緊急時対応計画の策定 | ITに関する危機発生時における、対応体制とアクションプランをまとめた緊急時対応計画の策定を支援します。 |
| (8) 危機管理広報マニュアルの策定 | 危機発生時の広報対応の基本原則、対応体制、留意点、関連ツールを含むマニュアルの策定・見直しを支援します。 | |
| (9) サイバー攻撃・情報漏えい発生等の緊急時対応・危機管理広報トレーニングの実施 | ITに関する危機シナリオに基づく緊急時対応・模擬記者会見などのトレーニングを通じて危機対応の実践力を養成します。 | |
| 教育研修 | (10) 教育プログラムの整備・実践 | IT統制・管理に関する必要な知識及び実践力を養成するための教育プログラムを策定します。様々な研修・トレーニングの企画、運営、講師派遣も実施します。 |
4. 期待される効果
本サービスを活用しIT統制を構築することで以下の効果が期待できます。
- 経営計画や方針、ルールに基づいた適切なITシステムの構築・運用。それらによるヒューマンエラーによるシステムトラブルや、役職員や外部委託業者等の不適切なITシステムの利用による情報漏えい等の不正の未然防止。
- 適切なアクセス権限付与等、適正にITシステムを利用させる仕組みの構築。それらによる情報管理の強化。
- サイバー攻撃やシステム不具合が生じた際の迅速かつ適切な対応や情報開示の実践。それらによる被害を最小化。
- ステークホルダーに対するIT戦略や内部統制にかかる説明責任の履行。
以上