[インタビュー]

2016年8月5日(金)川上 潤司（IT Leaders編集部）

リスト

　各種のクラウドサービスが充実してきたことや、ビジネスパーソンのITリテラシーが向上したことなどを背景に、事業部門が自ら“攻めの事業モデル”を画策し、あれこれ積極的に手を打ち始めている。セキュリティやガバナンスの観点で問題がないかを確かめにCIOやITリーダーが現場にヒアリングに出向くと、「我々がアクセル全開でいこうとしてるのに、わざわざブレーキを踏みに来たのか」といった陰口をたたかれかねない。こうした状況にどう対峙していくべきだろうか。

米ガートナー リサーチ部門 バイスプレジデント 兼 ガートナーフェローのトム・ショルツ氏

　事業部門自らが、最新テクノロジーを活かしてビジネスを加速させていく「デジタルイニシアティブ」に取り組むようになった状況下、「CIOやIT部門がデータのセキュリティやガバナンスに関わるすべてに責任を持つべし」といった従来ながらの考え方が通用しにくくなっていることをまず認識しなければならない。Time to Marketが最優先される様々なプロジェクトが既に社内で多数動いているだろうし、その数はますます増えることになる。すべてを中央集権型でカバーするのには自ずと限界がある。

　それぞれの事業部門が主導権を握って進める戦略においては、リスクのとらえ方もまちまちだ。リスクという英語の真意はなかなか伝わりにくいのだが、単に“危険”を意味するものではない。リスクをTakeする（とる）という表現からも分かるように、能動的な行動の結果として予期せぬことが起こる可能性がリスクであり、それには目的を阻害するマイナス要因もあれば事業機会に結び付くプラス要因もある。事業部門は、これまで避けていたリスクを積極的にとることもあるし、その性質や選考度合いが大きく変わってきていることを理解する必要がある。CIOがかねてから経験を積んできたリスク管理のやり方を、紋切り型で持ち込んでも、うまくはまらないのだ。

　とはいえ、企業はコンプライアンスを遵守しなければならないし、セキュリティインシデントに端を発する信用失墜などを起こさぬよう注意を払わなければならない。ここで最近、広く受け入れられるようになってきたのは、事業部門が自律的に推し進めるデジタル戦略において、それを支えるシステムが独立したものである限りはインフラもデータも当該部門がオーナーであり、しっかりとした説明責任を負って事にあたるべし、という考え方だ。CIOとしてアドバイスできることは多々あるが、責任はあくまでオーナーとしての各事業部門にあり深く干渉できないと割り切る。一方、その事業部門が全社的に共有されるインフラ環境を使ったり、CIOが責任を持つデータとつなげたりするのであれば、CIOが管轄するポリシーに準拠することが絶対条件という明確な線引きをするのだ。