グループ企業探訪
専門性の高い「リスクマネジメント」対策を行う会社
NTT Risk Manager は、情報事故や災害により企業や地域コミュニティのリスク要因が増加傾向にある中、リスク対策プランの立案・運用支援や人材育成、事故発生時の補償までを含めたトータルなリスクマネジメントをワンストップで提供している。リスクマネジメント事業を通じて地域社会発展への貢献をめざす考えを白石涼子代表取締役副社長に伺った。
NTT Risk Manager 白石涼子代表取締役副社長
リスクマネジメントプランの立案や人材育成、保険によるリスクの移転等を含むトータルなリスク対策支援をワンストップで提供
■設立の背景と会社の概要について教えてください。
ESG経営の進展や個人情報保護法の改正、サイバー空間における攻撃の高度化・多様化等、経済・社会活動を取り巻く脅威はより複雑化しています。一方で地域の中小企業やコミュニティを中心に、こうした脅威への対策の検討や実行に対して、情報不足、有スキル人材不足等の理由から、十分取り組めていないという状況があります。このような背景を踏まえ、これまでICTを通じて地域の課題解決を進めてきたNTT東日本、損害保険の分野で広範囲にリスク対策に取り組んでいる東京海上日動火災保険、サイバーセキュリティ分野を中心に卓越した技術を有するトレンドマイクロの3社の共同出資により、リスクマネジメントプランの立案やプランの実行・運用に必要不可欠となる人材の育成、保険による情報事故発生時のリスク移転を含むトータルなリスク対策支援等、専門性の高いリスクマネジメント対策を行う新会社としてNTT Risk Managerを2022年7月に設立しました。
NTT Risk Managerは、リスクマネジメント事業を通じて地域社会の自助・公助の支援と共助の仕組構築など、地域社会の安定した経済活動、生産性の向上、価値創造等に効果を波及させ、持続可能なよりよい社会づくりおよび地域コミュニティ(職場・学校・家庭等)の活性化に貢献することをめざしています。
■具体的にどのような事業展開をしているのでしょうか。
地域社会の安心・安全な社会活動の実現に向けて、「コンサルティング事業」「損害保険販売事業」「リスク対策サービス開発」の3つを柱として事業展開しています(図1)。
「コンサルティング事業」では、情報セキュリティを中心としたリスクへの対策に関するコンサルティングを実施し、その結果を具体的な対応につなげていくための「情報セキュリティポリシーの策定・運用」「リスクマネジメント分野における人材育成」「ISMS(情報セキュリティマネジメントシステム)認証取得支援・監査点検」等を実施しています。
「損害保険販売事業」では、サイバー保険の販売に力を入れています。サイバー保険は、サイバー攻撃を受けた時だけではなく、従業員のミス等により情報漏えい事故を起こしてしまった際の損害賠償やシステム復旧費用等の補償に対応することができる損害保険ですので、情報セキュリティコンサルティングのスキル・ノウハウを活かし、サイバーリスクに対する対策の一環としてサイバー保険の加入までをワンストップで提供しています。またサイバー保険の加入だけではなく、新規ビジネスに潜在する新たなリスクに対する補償として損害保険を附帯したり、新サービス等に保険要素を組み入れることによりサービス自体への付加価値を高め、競争力を向上させるといった提案も行っています。
「リスク対策サービス開発」は、企業・自治体等に限らず一般家庭も含めた地域のお客さま全体に対し、リアル空間・サイバー空間両面にかかわるリスク対策サービスの開発・事業化をめざしています。
現時点ではコンサルティング事業による収益が9割以上で、それに保険販売が付随し、サービス開発については具体的なサービスの開発・事業化に向けた情報収集・準備・検討をしている段階です。
会社設立から約1年経過しましたが、コンサルティング事業の活動として、地域の中小企業に対するサイバー攻撃演習やWeb脆弱性診断、情報事故発生時の対策支援等の情報セキュリティコンサルティングや、ネットワーク環境・セキュリティアセスメントの事前調査等の案件に取り組み、各企業から感謝の言葉をいただいています。また行政機関や自治体からの要望におこたえし、地域の中小企業におけるセキュリティ対策の実態を調査分析しレポートする業務も受託しており、高い評価をいただきました。さらに、昨今重大な情報事故の発生が報道されている医療・自動車等の業界のお客さまにおいては、監督官庁等からの情報セキュリティガイドライン遵守の通達等が出されていることから、情報セキュリティ対策に関する関心や優先度が急激に高まっており、多くの問い合わせをいただいています。また情報セキュリティに関するレクチャーの依頼をいただくことも多く、個々の企業における社員向け情報セキュリティ研修の実施や、地域のコミュニティや企業が企画・開催している情報セキュリティ関連イベント等への参加・共同開催といったかたちで講演活動も行っています。
情報セキュリティを含むすべてのリスクに対するマネジメントで地域社会に貢献
■事業を取り巻く環境はどのような状況でしょうか。
情報セキュリティに関するインシデントの報道件数は、2020年の537件から2021年の769件と、1年間で1.4倍にも増えており(独立行政法人 情報処理推進機構(IPA)「情報セキュリティ白書2022」より)、その手口も、標的型メール攻撃、ランサムウェア等の「特定のターゲットへの攻撃」、フィッシング、キーロガー等の「不特定多数に向けた攻撃」、DDoS(Distributed Denial of Service)攻撃等の「負荷をかける攻撃」、セッションハイジャック、ドメイン名ハイジャック攻撃等の「脆弱性(セキュリティホール)への攻撃」、パスワードリスト攻撃等の「パスワードに関する攻撃」と多様化しています。このようなサイバー攻撃以外に、企業からの個人情報漏えい等のニュースもマスコミを賑わせています。
こうした現状に対して、各企業が具体的な対策を実行していくためのスキルおよび人材が、大企業においても不足しており、中小企業ではさらに深刻な課題となっています。同様に、インシデント後のレジリエンス(回復力・復旧力)やマスコミ対応をはじめとする各種対応にも相当な費用が必要となり、中小企業にとってはこれが事業継続をも揺るがす深刻な問題となり得ます。
こうしたリスクに備えるために、IT企業、IT系コンサルタント、損害保険会社等が、人材育成、システム的なセキュリティや認証等のオペレーション強化といった対応や、ISMSやPマークといった認証取得による社内教育・セキュリティ対策の運用、費用を補償する損害保険等をサービスとして提供しています。しかしこれらのほとんどが比較的規模の大きな企業を対象にしているもので、さらに多くの場合サービス提供各社の得意分野に絞ったサービス提供が行われています。
一方でNTT Risk Managerは、情報セキュリティ対策として運用ルールの策定から監査・点検、社員・職員等のリテラシー向上を目的とした研修等の人的セキュリティ対策に加え、情報事故発生時の補償としての損害保険販売までを、中小企業の皆さまのニーズにもマッチしたかたちでトータルにワンストップで提供しているところが大きな特長です。情報セキュリティ対策をどんなに手厚く実施しても、事故発生のリスクを「ゼロ」にすることはできないため、一定の対策を講じたうえで、それでも万が一情報セキュリティ事故が発生してしまった場合の金銭的な補償を準備しておくところまでを提案させていただいていることに、お客さまからの評価をいただいています。
■今後の展望についてお聞かせください。
現時点では情報セキュリティに関するリスク対策が主な事業分野となっていますが、社名の「Risk Manager」は情報セキュリティを含むすべてのリスクに対するマネジメントを行う、という思いを込めたものです。それを現実のものとしていくために、今後は情報セキュリティ以外の分野(例えば、財務やコンプライアンスに関する分野、地域コミュニティの課題解決等)におけるリスクマネジメントについてもコンサルティングを実施できる企業となり、地域の安心・安全の実現に貢献できる企業になることをめざします、
担当者に聞く
コンサルティング事業の知見をベースにNTT東日本グループ新会社群のハブをめざす
企画総務部 担当部長
久保 英夫さん
■担当されている業務について教えてください。
NTT Risk Managerは、地域コミュニティのリスク対策全般を担う企業となるべく、事業拡大をめざしています。その中で、損害保険販売代理店としての立場を活かし、企業等が営むさまざまな事業が直面する可能性のあるリスクに対する下支えや事業継続の手段として、「サイバー保険」等の損害保険サービスの販売を行っています(図2)。
リスクへの対処方法は、損害の規模と発生頻度に応じて「回避」「低減」「移転」「容認」の4つに分類されますが、このうち損害の規模が大きくかつ発生頻度が低いものに対してはリスクを第三者へ「移転」するというのがリスクマネジメントの考え方です。具体的なリスク「移転」の手法として損害保険サービスをご提案しています(図3)。
情報セキュリティ対策における「リスク移転」手段としてご提案するサイバー保険は、「サイバー攻撃を受けたときのみ補償される保険」というイメージをお持ちの方が多いです。数ある企業・団体等の中から自組織がサイバー攻撃の標的になる確率はそう高くないだろうとの考え方から、保険加入の必要性を感じていただけないケースが多くあります。しかし実際には外部からの攻撃だけではなく、従業員が起こしてしまったミス等自社起因の情報セキュリティ事故も補償の対象となります。またエンドユーザ様等から損害賠償請求を受けたときの費用に加え、事故復旧のためにかかる費用や事故期間の逸失利益まで補償することが可能です。これらの点を丁寧に説明し、お客さまにご理解を深めていただけるよう努めています。
また、サイバー保険の提案・販売に加え、企業・団体等お客さまの営む各種事業に応じた新規保険サービスの企画・組成・販売や、企業等が提供する商品・サービスに情報事故等発生時の補償機能を組み込むことで商材・サービスとしての付加価値を高め、販売の拡大につなげる提案も実施するなど、お客さまの営む事業全体にかかわる課題の解決に向けた提案にも取り組んでいます。
お客さまの事業が抱える課題はさまざまで、リスクの所在も異なりますが、情報セキュリティ対策のコンサルティング業務で培った、「お客さま自身もまだ気付いていない潜在的な問題点や課題を洗い出し、顕在化させるノウハウ」を活用することでそれぞれの事業を深く理解し、リスクの所在を明確化して的確な補償プランの企画・提案を行っています。
■今後の展望について教えてください。
現在、NTT東日本グループは非通信分野も含めた新規事業の開拓や新会社の設立に積極的に取り組んでいますが、NTT Risk Managerはどの分野にも共通する「情報セキュリティ対策」や「事故発生時の補償」といったテーマを扱う会社であるという立ち位置と、これまでの提案をとおして得たノウハウを活かし、新会社間の「ハブ」的な存在となることで新たな事業を創り、成立させていく役割も担っていきたいと考えています。
ア・ラ・カルト
■オフィスは元役員室
NTT東日本本社ビルの中にオフィスがあるのですが、何とこの部屋は元役員室なのだそうです。社員一同、役員になった気持ちで業務に取り組んでいるので、経営に関するさまざまな数字に目がいくようになりました。その中で、NTT Risk Managerの社員になる前はあまり気にすることもなかった、家賃等の費用が固定費として意外と大きな割合を占めていることが分かり、こういったコストも踏まえつつ最終的に企業としての利益目標をどのように達成していくか、といった経営的視点に磨きがかかったようです。経営者の目線・観点をコンサルティング業務にも活かし、業務品質を高めていくというサイクルを回すべく奮闘努力中とのことです。
■「戦隊ヒーロー」登場!
NTT Risk Managerの情報セキュリティに関する取り組みを、企業・自治体・団体等の社員・職員から小中学生まで広く理解していただくための短編動画を制作中とのことです。その中で、情報事故の場面を再現するシーンでは、「戦隊ヒーロー」に扮した社員が登場するそうです(写真)。
通常業務の合間に社員が制作していることもあり、手づくり感が満載なのですが、今年の夏ごろより、各種講演や研修等における活用のほか、NTT東日本の運営する実証フィールド「NTTe-cityLabo」内のリスクマネージメントブースにおいても常時放映される予定だそうです。もしかしたら、「NTTe-cityLabo」に本物の「戦隊ヒーロー」が登場して、情報セキュリティに関する取り組みを説明する日が来るかもしれませんね。