日本マイクロソフトは、10月28~29日にセキュリティとコンプライアンスをテーマとしたオンラインイベント「Microsoft Digital Trust Summit 2020」を開催した。本稿では29日の基調講演「AIが実現するコンプライアンス対策~マイクロソフトが見据える次世代型ITリスクガバナンス」の概要をレポートする。
日本マイクロソフト Microsoft 365 ビジネス本部長の山崎善寛氏
まず登壇した日本マイクロソフト Microsoft 365 ビジネス本部長の山崎善寛氏は、「分断された現場で情報を判断し、判断を下すためにはDX(デジタルトランスフォーメーション)によるガバナンスが必要」と強調した。その上で、「働き方改革」「セキュリティ管理」「コンプライアンス管理」を組み合わせたガバナンスの再構築が推奨されるという。
山崎氏は、日本の顧客が不安視する要素として、特に詐欺行為による機密情報の盗難やデータの漏えいがあるとする。また、Marketing General Manager, ComplianceのAlym Rayani氏は、「コンプライアンスは幅広いトピックだが、われわれはデータに関するリスク管理を含むと捉えている」と語り、「Information Protection and Governance(場所依存しないデータ保護と管理)」「Insider Risk Management(内部不正リスクの特定と対応)」「Discover and Respond(迅速なデータの調査と対応)」「Compliance Management(コンプライアンスチェックの簡素化)」の4分野に投資してきたと説明する。
Microsoft Marketing General Manager, ComplianceのAlym Rayani氏
講演では、データ保護やガバナンスの実施の前にデータを分類する「Information Protection and Governance」、組織関係者の善悪に関わらず内部的な脅威を特定してアクションを実行する「Insider Risk Management」、規制対応時のリスクを軽減する「Compliance Manager」の概要を紹介しつつ、DLP(データ喪失防止)技術を情報保護の基軸としていると説明した。AI(人工知能)や自動化機能を活用し、「われわれの製品やサービスに加えてサードパーティーでも保護を実行する。BoxやDropboxなど他社のクラウドアプリケーションへ保護を拡張可能とした」(Rayani氏)という。また、日本語環境でMicrosoft 365 Complianceを利用する際に、検出対象となるドキュメントの全角および半角文字と組み合わせた検出キーワードの検出精度を向上させている。
DLPの設定をMicrosoft 365 Complianceから実行した様子。OneDriveやMicrosoft Teamsに加えて、Windows 10やMicrosoft Cloud App Securityの項目が確認できる
同社のコンプライアンスソリューションを実際に活用している事例として、大原記念倉敷中央医療機構 倉敷中央病院 情報システム部長の藤川敏行氏が登壇した。倉敷中央病院は1999年にMicrosoft Exchangeを導入して以降、2001年にはActive Directory、2002年にはSharePointの活用を開始した。2017年にOffice 365 E3に切り替え、直近では3250人の一般職員向けにMicrosoft E3/E5 Compliance、960人の現場職員向けにMicrosoft 365 F3/E5 information Protection and Governanceを利用している。
大原記念倉敷中央医療機構 倉敷中央病院 情報システム部長の藤川敏行氏
藤川氏は、「医師は各病院を転職しながら経験を積むため、安全な形で匿名化したデータを渡すことが重要。(病院では)E5 Complianceのデータ分類機能を活用している」と活用例を示した。
最後に、「Microsoft Digital Trust RegTech Alliance」に参画するEYストラテジー・アンド・コンサルティング、PwCコンサルティング、KPMGコンサルティングによるパネルディスカッションが行われた。
「コロナ禍において企業が取り組むべきコンプライアンスとは?」とのテーマでは、EYストラテジー・アンド・コンサルティング パートナー 公認会計士の嶋守浩之氏は、「感染防止のため現場に行けずに不正の機会も増大し、内部統制の手続きも弱体化した。DXで事前防止および実行中の分析による早期発見など抜本的な見直しと、大量のデータ分析・モニタリング強化が鍵となる」と述べた。
KPMGコンサルティング パートナーの澤田智輝氏は、「過去を振り返ると『情報漏えい』『贈収賄』『品質不正』『米中分断に伴う関連規制』の4点に注意が必要。早期に発見・対処できる体制を築くには、経営層や関連部署を巻き込んで進めていくことが重要」と指摘する。
PwCコンサルティング パートナーの齋藤篤史氏も、コロナ禍で高まるリスクを指摘しつつ、「データアナリティクスによるリスクの兆候分析で、内部不正リスクの可視化が必要。利用者数が増加したMicrosoft TeamsやSNSのデータもガバナンスに活用すべきだ」と提起した。
日本マイクロソフト 業務執行役員 政策渉外・法務本部 副本部長 弁護士の舟山聡氏、EYストラテジー・アンド・コンサルティング パートナー 公認会計士の嶋守浩之氏、KPMGコンサルティング パートナーの澤田智輝氏、PwCコンサルティング パートナーの齋藤篤史氏(左から)