「内部統制×情報セキュリティ」で企業価値を高める〜成長企業が直面するリスク対応〜

こんにちは、合同会社オントロジー代表の稲垣です。当事務所では、業務プロセス改善提案やシステム導入支援や上場準備支援、システム監査といったサービスを主に提供しています。ときにはクライアント企業の中に入って、問題点の洗い出しから改善策の提案、定着までをお任せいただくこともあります。

今回お届けするのは、ブランドを軸に中小企業のデジタルシフトを支援することをミッションとした会社である、ブランディングテクノロジー株式会社の事例です。私がブランディングテクノロジー株式会社さまを支援することになったきっかけや、支援の内容、そして変化について同社の経営管理部長木上氏との対談を実施しました。

上場企業で発生するITに係る内部統制の問題や解決策についてお話しておりますので、ぜひ参考にしてください

この度は対談の機会をいただき、ありがとうございます。まずは改めてブランディングテクノロジー様がどのような会社なのか伺ってもよろしいでしょうか？

弊社ブランディングテクノロジー株式会社は、2001年8月に設立した現在24期目の会社になります。グループとしては子会社が4社、全体で約230名のスタッフが在籍しています。

私たちは共存共栄精神を大切にしており、ブランドを軸に中小企業のデジタルシフトを支援することをミッションとしています。

また、世の中に新たな価値と笑顔を創出するということを企業理念としております。具体的には、インターネット広告やWeb戦略の企画・立案、クリエイティブ制作、広告運用、経営コンサルティングまでワンストップで提供しています。

なるほど、「共存共栄精神」って素敵な考え方ですね。ブランドを通じて企業の成長をサポートするというのは、御社ならではの強みですね。

ありがとうございます。ブランドファーストという弊社のビジョンには「ブランド（らしさ）を大切に、ミッション、ビジョン、バリューをもち活躍できる企業、個人を増やし、彩り溢れる社会を創造することで社会に貢献する」というものがあります。そのようなビジョンを持って活動をすることを常に心がけております。

この度、ブランディングテクノロジー様がセキュリティ監査や内部統制の構築を弊社へご依頼いただいた課題や背景についてお聞かせいただけますか？

上場してから5年が経ち、組織が拡大する中でセキュリティを改めて強化していきたいと考えたのがきっかけです。当社はISMS基本方針を定めているものの、時間の経過とともに組織規模にあった対応を進める必要が出てきたと考えました。そんな中、過去に情報セキュリティに関わるトラブルが発生した際の対応が曖昧になってしまう事象が発生し、これを機にセキュリティインシデントに関する内部統制を見直ししたいと考えました。

その結果、御社に内部統制の見直しをお願いすることにしました。

インシデントが発生すると、危機感が高まりますよね。

仰るとおりですね。当社の場合は、上場して社員が増えたことで現場レベルでのセキュリティ意識が十分に浸透していなかったことが原因で、ヒヤリハットのようなことが起こるようになりました。上場直後は高かった意識も、5年経つと新メンバーも増え、意識のギャップが生じてしまったのだと思います。組織規模に合わせた教育や体制の見直しが必要でした。

なるほど。これまでお話いただいたところでは、社内内部の意識改革が大きな課題のように思いました。

ですが、上場企業であるブランディングテクノロジー株式会社の場合だと、内部統制基準などの規制の変更も影響しているのでしょうか？

仰る通りになります。2024年4月1日から適用されるJSOX（内部統制報告制度）の基準改定により、サイバーセキュリティの強化が明示的に求められるようになりました。これにより、財務報告に係る内部統制のとセキュリティの両方をカバーする必要が出てきたことから、社内変革が求められるようになりました。

基準の改定という大きな変化があったと思いますが、木上さんの意識としては、ブランディングテクノロジーの課題感が先行していたのか、それとも監査法人や他の外部機関から求められるものが先にあったのか、どちらになりますでしょうか？？

基準の改定自体は、元々キャッチアップしていました。ちょうどそのタイミングで、先ほどお伝えしたヒヤリハットな出来事があって、それについて監査法人と協議した結果、基準改定のタイミングということもあり、サイバーセキュリティ体制の見直しが必要だという認識が一致しました。結果として、両者の動きが重なった感じですね。

なるほど、そのような状況だったんですね。こちらは興味でお伺いするのですが、このような基準改定やサイバーセキュリティに関するキャッチアップというのは、会社全体でどのように取り組まれるのでしょうか？みんなで集まって、改定に関する内容を共有し、気をつけようということをするのでしょうか？それとも、木上さん個人の学習などで対応されているのでしょうか？

そうですね、改定があった際には、経営管理本部の内部統制メンバーと情報を共有します。

今回、情報セキュリティに係る内部統制構築プロジェクトの中で、多くの専門家とのやり取りがあったと思いますが、その中で弊社を選んでいただいた決め手はどこでしたか？

そうですね、普段お付き合いしている会計ベンダーがあるのですが、内部統制と情報セキュリティの両面をカバーできるところはあまりなくて、実際に依頼先を絞る段階で、既に選択肢が限られていたというのが大きいですね。

なるほど。会計コンサルの場合だと、情報システムに係る内部統制をしっかり見られる方が少ないのは確かにありそうですね。

今回の場合だと情報セキュリティに係る内部統制に関する課題を解決したいということでしたが、内部統制ということで既存の会計コンサルに対して相談をしたことはありましたか？

そこについては、特に相談はしていないですね。既存のITベンダーと直接やり取りをしてきました。

なるほど。では、ITベンダーの方々が普段担当しているのは、どのような領域なのでしょうか？内部統制や情報セキュリティなどにも関与されているのでしょうか？

普段は、インフラ関連、ネットワークやサーバー関係などを担当しています。会計システムの導入や、PCなどの機器の購入にも関わっています。

ITベンダーでも情報セキュリティを含めたコンサルティングを行っているところはありますが、どうしても財務報告に係る内部統制やIT全般統制まで含めた支援を行う会社はほとんどないですね。こういった内部統制と情報セキュリティの両方を視野に入れた、システム周りに関しても総合的な支援ができるのは、やはり稲垣さんの特徴だと思います。

ありがとうございます。そう言っていただけるのは非常に光栄です。

内部統制とIT支援の双方を実施できるプレイヤーが少ない中で、その点を注目して評価いただけたというのは非常に嬉しいです。

木上さん、ここ最近本当に多くの勉強をされているようですね。振り返ってみると、ここ7、8年は常に何かを学んでいるという気がするとおっしゃっていましたが、そのモチベーションはどこから来ているのでしょうか？

そうですね、私自身が抱えている不安感によるものかもしれません。将来どこにも雇ってもらえなくなるのではないかという不安を持っているので、そのために常に学び続ける必要があると思っています。

いやいや！木上さんならどこでも雇ってもらえそうじゃないですか！笑
逆に言うと、不安感がモチベーションになっているということですね。理由はどうあれ努力を続けられているのは素晴らしいと思います。

それと、余談にはなりますが、木上さんはUSCPAも取得されていますよね？USCPAの資格にもITの科目が出来たようですが、その点について教えていただけると幸いです。

はい、USCPAは取得しており、登録もしています。ITに関する試験科目が最近改定されたと聞いています。以前からITについての科目はありましたが、最近はそれがさらに細かくなり、より深い部分までカバーされるようになってきたと思います。
正直、私が受けた時は、ITについては表面的な知識を得る程度で、そこまで深い内容ではなかったです。ITの試験は、基本的に使える程度の知識を身につけるというレベルでしたね。

なるほど、あくまで基礎的なレベルだったんですね。それに関連して、最近日本の会計試験もUSCPAを見習った方が良いのではないかという議論もあるようですが、その点についてはどう思われますか？

確かに、USCPAの試験制度は一つの参考になるかもしれませんが、日本の会計試験制度を完全に同じようにするのは難しい部分もあると思います。日本の試験には独自の特性があるので、そのまま取り入れるのは簡単ではないかと思います。

そうですね、試験制度はそれぞれの国での背景があるので一概に比較はできない部分がありますよね。

資格試験から実務の知識に変わってしまうのですが、管理系の仕事において、システム的な知識が求められる場面が多いですよね。社内の皆様はどのように実務における知識をキャッチアップしているのでしょうか？

当社では、個人が自分で研修を見つけて申し込んで学ぶという形が強いです。全社員向けに最低限のセキュリティ訓練はありますが、実際の業務に必要なスキルについては、個人に委ねられている部分が大きいですね。私自身も公認システム監査人の試験を受けたりして、USCPAに加えてITに関する知識も少しずつ身につけてきました。

なるほど、個人で積極的に学び続ける姿勢が大切ですね。木上さんは、試験や資格を通じて専門的な知識を得てきたわけですね。それで、現在は専門家の方々ともお話できるレベルに達していると。

はい、その通りです。今では、ある程度専門家とも会話できるレベルにはなったと思います。これまで、上場企業やベンチャー企業での経験を通じて、必要なスキルを持っていないと不安だという気持ちが強くありました。会社に依存せず、自分でスキルを持つことが大切だと感じています。

そのような意識を持っているからこそ、木上さんは常に成長し続けているんですね！
私も見習わないとな・・・。

今回の弊社の提案や取り組みの内容についてお聞きできればと思います。規程類の見直しや作成、それから実運用に関するサポート、特にセキュリティに対するアクションを見ていく部分や内部監査のサポートなど、いくつかの取り組みがあるかと思いますが、この中で特に、木上さんやメンバーの方々が助かったと感じた部分はありましたか？

実際、規程を作る部分やマニュアルを作成する部分で、かなり手を動かしていただいた部分は、私を含めてメンバー全員にとって非常に助かりました。規程を作るだけでなく、実運用のサポートに関しても、具体的にどこまで進めるべきかという部分でしっかりと助言をいただけたので、かなり心強かったですね。

ありがとうございます。実運用の部分についても、こちらで作成した枠組みを渡し、それに基づいて進める形があったかと思いますが、そのあたりについてはいかがでしたか？現場や担当者とのギャップがなければよかったのですが。

その点については、実運用に入る前から担当者レベルでのヒアリングや調査を入念に行っていただいたので、事前準備が非常にしっかりしていて、資料を作成する際も無理なく進められました。正直、特に違和感を感じることはありませんでしたし、むしろ良かったと思っています。

ありがとうございます。適切なケアができたということで、ご満足いただけてとてもありがたいです。

木上さんはかなり多くの業務を抱えていて、非常に忙しそうだな というところを正直思っていたので、少しでも負担を減らしていけたなら良かったです。

実際にこのプロジェクトで特に大変だった点や、印象に残った部分はありますか？

はい、確かに業務としては、ISMSの責任範囲だけでもかなり広い部分がありますし、それ以外にも普段の管理業務や監査関連の業務、原価計算なども抱えているので、非常に多忙でした。しかし、その中でも今回のプロジェクトでは全体を統括しながらも手を動かしていただける方々がいて、支えていただけたことが非常に助かりました。私一人で進めるのは難しかった部分がありましたので、その点が印象に残っています。

そういった状況の中でも、サポートをしっかりとできていたということで、少しでもお力になれたことは嬉しく思います。最後に、今後の運用に関して、木上さんが期待されることや改善点があれば教えていただけますか？

今後も引き続き、実運用のサポートや定期的な見直しをお願いできればと思います。特に、セキュリティ関連の部分は日々進化していくものなので、常に最新の状況を反映した形でサポートをいただけると助かります。これからも一緒に進めていければと思っています。

ありがとうございます。今後も引き続きサポートさせていただきますので、よろしくお願いいたします。

木上さん、次のステップとして内部監査について期待されているとおっしゃっていましたが、そのあたりはどういった感じで進めていきたいと考えておりますか？

そうですね、まだ実際に始まっていない部分もあるんですが、今後進めていく中で一番気にしているのは「どこを押さえれば問題ないか」という点を重視していきたいですね。現場にもどう働きかけるかをしっかり見ていきたいと思っています。

なるほど、実際に進めていく中で現場の反応ってどんなものを想定しておりますでしょうか？

そうですね。現場が内部統制に対して抵抗を持たないことが大事だと思ってます。
サイバーセキュリティの教育に関する部分では、やはりまずしっかりとした基盤を作るのが重要だと思っています。その基盤が内部監査でその部分を評価する形になるので、しっかりと進めていけるようになれば良いと思っています。その点、今回の取り組みはしっかりと評価される部分ではないかなと思っています。

今回は多くの部署の方が集まっているプロジェクトでありましたが、上手くいったならよかったです。

今後は部署ごとのニーズとか含めてケアができると良いと思ってます。

今後、取り組みの効果が出てきたり外部へいろいろ展開していくフェーズになっていくと思うのですが、実際に進めていく中で、どんな効果を期待されているのでしょうか？

一番大事なのは、やっぱり企業価値に影響が出ないようにすることですね。インシデントが発生した時に、社内としてどう対応し、その影響をどれだけ最小限に抑えられるかが、今後大きなポイントになると思っています。IR（投資家向け情報）などの対外的な発信も含めて、全社一丸となって動けるようになるといいなと思っています。

どうも他人事と思いがちなセキュリティインシデントを、「自分ごと化」できるといいかもしれないですね

「自分ごと化」って言葉がすごくいいですね！今後使っていきたいです（笑）

ありがとうございます。。実際にメール訓練などを実施した後、再テストを受けてもらうことで、社員一人ひとりが自分の責任を感じてくれるんじゃないかと思っています。このようにオペレーションの効果が実際に成果が見える形になってくると、よりメンバーの意識が強まっていくと思いますね。

ありがとうございます。

最後に、将来的な会社の成長や展望についてお話しいただけると嬉しいです。

そうですね、うちの会社はこれから成長していく企業で、社員数も増えていくと思っています。その中で、ある程度自由というか、裁量を持った上で、社員が自由にやりたいことをやる環境を作りたいと思っています。ただ、しっかりと抑えるべきポイントもありますよね。そのためには、内部統制をしっかり作っていきたいと思ってます！

その要点を外さないために、例えばどのような内部統制だったりとかが求められていくと思いますか？

はい。特に情報の管理が重要だと思いますね。当社はお客様の数が多いので、情報資産である顧客情報や内部データをしっかり守るためには、しっかりした統制が必要だと思います。

セキュリティの面で言いますと、昨今、本当にランサムウェアとかフィッシングサイトなどの様々な問題が出てきてはいるんですが、そういった問題が出てきた際に、しっかり事前準備として対応を早く考えておいて、いかに適切に、迅速に対応できるかという、そういった面を強化したいと思います。

逆に決算業務は数年で大きく改善して属人性を排除しました。情報セキュリティにおいてもこのような対応可能な体制にしたいと思っています。

ありがとうございます。今後も私がサポートさせていただける場合、どういうふうに一緒に進めていきたいと考えていますか？

そうですね。やはり専門知識を持った人と一緒に体制を作ることが重要だと思っています。

社内に専門知識を持った人材が常にいるわけではないので、専門知識を持った方に要所要所で情報をいただいたりコンサルティングを受けて進めていくことが大事だと思っています。昨今の事業環境だと、社内の人材だけで全てカバーするのは割と難しいと思っているため、外部の専門家と連携していくことはとても価値のあることだと考えています。

貴重なお話をありがとうございました！今後ともよろしくお願いいたします。