CIOがいないことは経営リスクだ

SNSやクラウドサービスへのスタンスがエンタープライズとスタートアップでは大きく異なります。エンタープライズではこれらをリスクとみなす傾向が強い一方で、スタートアップではオポチュニティ(機会)とみなすだけでなく、イノベイションのイネイブラー(可能にするモノ)そのものと捉えます。DX(デジタルトランスフォーメーション)を叫びなら、GAFAのサービスを社内ネットワークから遮断しているエンタープライズが多いのは実に皮肉な状況です。

ビジネスオポチュニティを最大化しながら、情報セキュリティリスクを最小化する必要がありますが、この際に、情シス部門が陥りがちな「思考の罠」について述べます。

一つ目の罠はそれを今やらないことのビジネスリスクの評価が抜け落ちること。少々荒っぽくても、まずは始めてみて、市場にプロダクトを出して顧客からの評価を受けながら改善を重ねていくようなアプローチが求められます。あれもダメ、これもダメと上から目線で社内の情報セキュリティガバナンスの刀を振り回して、事業担当者のモチベーションをくじかないようにしなければなりません。ビジネスの担当者から上がってくる要望を全部止めて意気揚々と「私が会社を守った!」では、本末転倒です。

リスクはその影響分析を行った上で、どのリスクを受容すべきかを判断し、事業の成長のためにリスクテイクすることが重要です。情シス部門は往々にして、リスクをゼロにすることを目的化してしまう風潮がある。これが二つ目の思考の罠です。

リスクとは将来起こりうる問題です。イシューとは既に起こっている問題です。リスクとイシューをまずは区別する必要があります。その上で、リスクについてはその起こりうる可能性と、起こった時のビジネスへの影響を総合的に考える必要があります。可能性が低く、発生時のビジネスへの影響が小さく、成功した時のビジネス的価値が大きければ、そのリスクを受容して、思い切って挑戦する意思決定を経営レベルで行う必要があります。

情シス部長とCIOの違いは、こういった意思決定の局面で大きく表れます。CIOはこの際にその経営責任を会社役員として負うことが出来る。自分の腹を括って事に臨むことが出来る。それを別の言い方をすれば、腹括りが出来る人がCIOにならないと意味がないわけです。「クラウドはよく分からん。部下の説明を聞いてもなんだか難しくて自分では判断できない。」という方が役員レベルで意思決定者であることは、会社にとって経営リスクそのものです。私が日本でCIOを職業として確立する必要性を強く感じるのも、CIOを置かないことが、企業にとっての重大な経営リスクになるからです。


この記事が気に入ったらサポートをしてみませんか?