IT・デジタルを有効活用するために必要な経営層の取り組み
『DX実現に向けて経営層は何をすべきか?』<後半>
全社的なDXを実現するためには、土台づくりから経営層のコミットメントが必須です。前回は組織づくりにおいて求められる役割を紹介しましたが、今回はサイバーセキュリティ対策を含めた、IT・デジタルを効果的に活用していくための環境整備に欠かせない経営層の取り組みを2つ紹介します。
既存ITシステムの見直し
DXを始める前に是非取り組んでおきたい施策がIT(情報)システムの見直しです。経済産業省も「2025年の崖」の一つとして問題視しているように、現在多くの企業でシステムの老朽化、複雑化、ブラックボックス化が進んでおり、それらの技術的負債を解消しないと、DXの要と言うべきデータを十分に活用しきれず、最新のデジタル技術を導入しても効果が限定的になってしまう恐れがあるからです。
見直しのポイントは、部門ごと、拠点ごとではなく、全社横断的なデータの利活用を可能にする“全体最適”の視点。例えば製造業の場合、調達から製造、輸送、販売までのデータを可視化・整流化することで、サプライチェーン全体の最適化につなげることができます。
最適なアプローチは企業によって異なりますが、システムを現在のニーズに合わせて刷新する「モダナイゼーション」やデータ利活用を実現するための基盤整備、全体あるいは一部をオンプレミス環境からクラウド環境へ移す「クラウド移行(マイグレーション)」などが典型的な手法です。
なお、システムの変更は同時に業務やビジネスプロセスの変更を伴うケースが少なくないため、現場サイドが反発し、完成しても十分に使用されなかったりする可能性があります。変革には抵抗が付き物とはいえ、こうした事態を未然に防ぐのもトップの仕事。システム見直しの“正当性”や“不可避性”を丁寧に伝える、意思決定の場に現場サイドの人員を加えるなど、事業部門とのギャップを埋める配慮が必要です。
サイバーセキュリティ体制構築と情報開示
近年、IT・デジタルを活用する企業の事業継続を揺るがす脅威として、不気味かつ急速に存在感を増しているのがサイバー攻撃です。警察庁の発表(※)によると、代表的な手法であるランサムウェアの感染被害件数は右肩上がりで増加。場合によっては、自社のみならず顧客や取引先、さらに社会全体に深刻な被害を与えることもあり、今や適切なサイバーセキュリティ対策を進めていくことは重要な経営課題の一つと言えるでしょう。
参考:※令和4年におけるサイバー空間をめぐる脅威の情勢等について|警察庁
ひと口に対策と言ってもその範囲は多岐にわたりますが、経済産業省と独立行政法人 情報処理推進機構がまとめた『サイバーセキュリティ経営ガイドライン Ver.3』では、「サイバーセキュリティリスクの管理体制構築」「サイバーセキュリティリスクの特定と対策の実装」「インシデント発生に備えた体制構築」の3つが、経営者のリーダーシップが求められる対策として挙げられています。
具体的には、企業の経営方針に即したセキュリティポリシーの策定及び公開や、リソース(予算、人材)の確保など。人材面については、情報セキュリティに関する国家資格である情報処理安全確保支援士(登録情報セキュリティスペシャリスト)の取得を会社として奨励する、個人情報など重要な情報を扱っている場合はCISO (Chief Information Security Officer:最高情報セキュリティ責任者)などの責任者を任命する、といった取り組みが該当します。
こうした対策以外に、企業の社会的信頼を向上する取り組みとして推奨されているのが情報開示です。自社のサイバーセキュリティ対策の実施状況やリスクについて、情報セキュリティ報告書やCSR 報告書、または有価証券報告書などへ記載し開示しておくことで、社会的責任を果たしている企業として、顧客や投資家などのステークホルダーからの信頼構築につながります。
せっかくDXに向けた取り組みをスタートさせたものの、経営層が現場や推進部門、コンサルなどに丸投げし、失敗に終わってしまった企業は少なくありません。前回記事の冒頭でも述べたように、今回取り上げたものはあくまで一部。他の重要な取り組み、例えばビジョンや戦略策定における経営層の役割についても、機会を改めて紹介したいと思います。