不動産特定共同事業においては、インターネット条で契約の申し込みを受ける、電子取引業務(いわゆるクラウドファンディング)を行う事業者も増えています。
クラウドファンディングを行う事業者については、電子取引業務において用いる「電子情報処理組織の管理を十分に行うための基本方針」を策定し、公表するとともに、必要に応じて見直しを行うことが必要です。
具体的なルールは国土交通省の「不動産特定共同事業 電子取引業務ガイドライン」に記載があります。
本日は、電子取引業務を行う上で特に重要なシステムリスク管理についてお伝えします。
「システムのリスク管理」と聞くと、何だか難しそうに聴こえます。
「自分はITの専門家ではないし、プログラミングのスキルもない!」
と思ってしまいがちですが、実際はそんなにことはありません。
システムのリスク管理は、通常業務の管理と同じ基本さえ押さえれば、
プログラミングなどのITスキルがなくても十分に対応できます🤗
それでは、一緒に見ていきましょう!
システムリスクとは?
システムリスクとは、システムのダウンや誤作動、不正利用、情報漏洩などによって顧客や事業者に損害を与えるリスクを指し、リスクが顕在化した際の対応態勢も含まれます。これを管理する体制において、以下の留意点が重要とされる一方で、実務上では共通の問題点も数多く見られます。
次の項目をチェックしましょう!
1. 経営層の認識とリーダーシップ
・システムリスクに関する明確な基本方針を、取締役会等で定める必要がある。
・定期的にリスク情報(障害件数、原因、再発防止策等)を経営陣に報告する体制を構築。
【よくある問題】
☓経営者がリスク管理の重要性を理解せず、「形だけの対応」や「他社の方針の流用」に終始。
☓システム障害を都度報告しているが、全体像(推移や分析)は共有されていない。
2. 実効性あるリスク管理態勢の構築
・リスクの洗い出し・評価・管理基準の明確化が求められる。
・リスクの発生件数・影響を抑えるよう、分析と対応を繰り返すPDCAサイクルの構築。
☓リスク管理規程は整備しているが、リスク分析が形骸化している。
☓「リスク」と「課題(既に顕在化した問題)」を混同し、管理方法が曖昧。
3.開発・運用における安全対策と品質管理
・開発標準・テスト基準・完了基準を明確にし、品質を確保。
・情報セキュリティ(アカウント管理、ログ管理等)の徹底。
☓テスト工程が不十分なまま次工程に進む。
☓不要な特権アカウントの放置、共有アカウントの使用、ログ管理の不徹底。
4. 外部委託先の管理
・委託契約時に管理基準・監査権限・情報取扱規定などを明記。
・定期的に委託先の実施状況をモニタリング・評価。
☓委託先の進捗・品質・障害管理を任せきり。
☓システム性能や障害発生状況の確認が行われていない。
5. コンティンジェンシープラン(業務継続計画)
・緊急時の発動基準、業務優先順位、バックアップ体制を明確に整備。
・訓練や定期的な見直しを行い、実効性を維持。
☓シナリオや復旧時間の設定が不明確。
☓計画はあるが、取締役会の承認を受けていない、訓練していない。
6. 障害発生時の対応体制
・障害の記録、対応履歴、原因分析、再発防止策、顧客対応、当局報告まで一連の手順を整備。
・顧客影響と補償の判断・記録も含めた対応が求められる。
☓障害記録の不備、分析や報告漏れ、再発防止策が未実施。
☓顧客対応に差がある、当局への報告が未実施または基準が統一されていない。
7. ITガバナンスと人材育成
・情報管理責任者(CIO)機能の明確化、経営戦略と情報システム戦略の整合。
・要件定義、受入検収、委託先評価ができる人材の育成が不可欠。
☓開発・運用力はあるが、リスク管理や統括的マネジメントのスキルが不足。
☓外部委託に依存し、自社にノウハウが蓄積されていない。
まとめ
いかがでしたでしょうか?
実効性あるシステムリスク管理体制を構築するにはプログラミングなどのITスキルよりも、システム全般を管理できる『経営力』が重要であることがご理解いただけたと思います。
まず、経営層がリスクの重要性を十分に認識し、基本方針を定めたうえで、障害発生状況や再発防止策を定期的に共有する体制を確立する必要があります。また、リスクの洗い出しから対応までを一貫して運用する管理プロセスを構築し、リスクと既存の課題を区別して対応することが重要です。
外部委託先については、契約内容の明確化と実施状況のモニタリングを行い、自社としての管理責任を果たすことが求められます。さらに、緊急時対応や業務継続計画(BCP)の整備・訓練、障害発生時の迅速な対応体制の構築も進める必要があります。
最後に、情報管理責任者(CIO)の下に、システムの実務的な管理に必要なITスキルを持つ人材を配置し、人的体制全体の強化を図ることが重要です。
経営者は、必ずしもプログラミングなどのITスキルを持っている必要はありません。
システムリスクを管理できるITガバナンスの知識さえ備えていれば十分です。
これらの対応を通じて、実効性のあるシステムリスク管理を実現し、
企業の信頼を高め、持続的成長につなげていきましょう!🤗