企業のテクノロジに関する意思決定は、現代のデジタルビジネス環境下でパートナーのエコシステムを管理するという困難な課題に直面している。調査会社OvumのシニアアナリストAlan Rodger氏は、取引先管理に関する複雑さは増すばかりだと話す。
「ITリーダーは異なるさまざまなパートナーに対応する必要がある」と同氏は言う。「社内に必要なスキルがなく、技術的なリソースを社外に頼るしかない場面も多い。コンプライアンスに関する懸念材料が増えていることで、取引先の管理は大きな課題になっている」
Rodger氏は最近、リスクをテーマとしてロンドンで開催されたRSA Securityのイベントで、専門家のパネルディスカッションに参加した。そこでは、特にEU一般データ保護規則(GDPR)の施行を間近に控えている中での、サードパーティーの扱いに関する課題が議論された。イベントに参加した専門家は、取引先管理を強化しようとする企業は、ポリシー、評価、契約の3つの重要分野に力を入れる必要があると語った。
実効性のあるプロセスとポリシーを策定する
ガバナンスの専門家であるISACAのRaef Meeuwisse氏は、大手企業で取引先の監査を行い、大企業向けの監査フレームワークを作った経験を持っている。同氏は、GDPRをポリシーとプロセスの問題として捉えるべきだと考えている。適切な手続きをすでに定めている企業には問題は起こらない。しかし残念ながら、企業に十分な備えができていることを示す証拠は少ないという。
「多くの企業は現在、この問題と悪戦苦闘しているところであり、特にサードパーティーリスクの把握と評価で躓いている。GDPRはいくつかの優れた原則を定めており、例えば、プライバシーバイデフォルト、プライバシーバイデザインといった原則がそれに当たる。しかし、GDPRを遵守するためには、プロセスにかなりの手を加える必要がある」とMeeuwisse氏は述べている。
同氏によれば、ファイアウォールの外側については、企業によってリスクの捉え方が異なっているという。社内では、従業員が使うツールや設定について、厳格なルールや規定を定めることもできる。しかしサードパーティーのパートナーに対しては、契約を結び、目標を設定し、それが守られるよう祈るしかない。
「抜け目のない会社は、相手企業以外にも契約の対象を拡大し、提案依頼の段階からデータの管理について検討している」と同氏は言う。「そうしておけば、バイデフォルト、バイデザインで適切な監査や管理を行うことができる」。繰り返しになるが、そのような対策が行われている様子はほとんどない。さらに悪いことに、最高情報責任者(CIO)やその他の企業幹部は、他の課題にも直面している。
