情シス・法務から組織を加速させる、ITツール導入審査の心構え
第1回 IT導入の審査・検討時における法務担当者の役割に関するアンケート 審査フローに法務部門が関わる企業は5割弱、そのうち3割ではシャドーITが存在
IT・情報セキュリティ
目次
新型コロナウイルス流行の影響によりテレワークをはじめとした多様な働き方が普及し、WEB会議や電子契約をはじめ、業務をオンラインで遂行するためのITツールの導入が各社で進んでいます。
一方、ITツールの利用に関する問題として、従来から指摘されているのが「シャドーIT」です。企業内で十分な審査が行われないまま、社員の判断によって利用されるITツールやその状況等を指すシャドーITは、情報漏えいをはじめセキュリティ、コンプライアンス等におけるリスクをはらみます。こうしたリスクを念頭に、各企業ではITツールの導入・開発時にどのような審査を行っているのでしょうか。
BUSINESS LAWYERSは2020年5月、企業・団体の法務パーソンを対象に、IT導入・開発時の審査フローや、法務担当者の役割等に関するアンケートを実施しました。本稿では、当該フローへの法務部門の関わり方や、法務担当者が感じている課題、シャドーITの利用実態等に関する回答結果をレポートします。
実施期間:2020年5月18日〜5月29日
調査手法:インターネット
調査内容:社内で利用するITサービスの導入・開発時の法務担当者の役割等
対象:法務担当者
有効回答者数:211人
4割の企業でITツールの審査フローが未整備、審査フローに法務部門が関わる企業は5割弱
ITサービスを新たに導入する企業が増加し、その活用状況が事業の遂行や業績に直結するケースも見られるなか、企業はITサービスの導入・開発を行ううえでどのような検討・審査フローを整備しているのでしょうか。
アンケートによれば、社内で利用するITサービスを新たに導入・開発する際の審査フローが決められていると回答した担当者は61%でした。一方、39%の企業ではそうしたフローが決められていないことがわかりました。
また審査フローが決められている企業のうち、法務部門が含まれるとした回答は46%と、半数弱に留まりました。
この点、2020年3月に掲載した、TMIプライバシー&セキュリティコンサルティングの担当者への取材記事によれば、デジタルマーケティングやセキュリティの領域において、法務が案件に絡めなくなってきているといい、事業部等の担当者から法務部に案件の相談がなされるよう、法務担当者も自社が使うツールやサービスの中身についてより情報を得ることが推奨されています。
ITサービスの検討・審査時についても、法務部門が能動的に関わることによって、審査フローに法務が含まれる組織の割合が増えていくことは望ましいと考えられるでしょう。
そのほか審査フローに関わる部門としては、情報システム部門(86%)や経営層(62%)をあげる回答が多く寄せられています。
コミュニケーションツールやオンラインストレージなどがシャドーITとして横行
ITサービスの利用に関して、従来から企業が留意すべき問題のひとつが「シャドーIT」の横行です。シャドーITとは「企業などにおいて、従業員が会社の許可を得ずに私物の端末を利用したりネット上のサービスを利用したりして業務を遂行するIT活用実態のこと 1」を指し、機密情報の漏えいをはじめとしたセキュリティ面等での企業リスクにつながりかねません。
こうしたシャドーITが社内に存在すると思われるか、1でITサービスの検討・審査フローが決められていると回答した担当者に聞いたところ、3割近くが「はい」と回答。フローが定められていながら、現場の独断でITが利用されている企業が少なくない実態が浮き彫りとなりました。
具体的にシャドーITとして利用されていると考えられるサービスについては、SNSやチャット、WEB会議などコミュニケーション関連のツールが多くあげられ、「お客様から求められてやむなくダウンロードしているSNS」など、現場担当者が業務上やむを得ず利用しているツールがあることもわかりました。
またオンラインストレージサービスが社内で利用されていると推察する回答も多く寄せられています。この点、2019年に「宅ふぁいる便」による情報漏えい事案 2 があったことからも、現場の安易な判断によるITサービスの利用は危険をはらみ、注意が必要といえます。
加えて、今般のコロナ禍によりテレワークを緊急で実施したことから審査フローを経なかったITサービスがある、とする意見も見られました。また無料・廉価であるなど入手が容易なITサービスが現場部門の判断で利用される傾向にあるようです。
- お客様から求められてやむなくダウンロードしているSNS等
- (オンラインストレージサービス名)などの外部とのデータ共有
- 緊急性の高いテレワーク環境導入の際は、審査フローを経なかったと思われる。
- PCにインストールする必要のない,クラウドサービス
- オンラインで完結するような比較的簡易なサービス
- Webからダウンロード可能な無料ソフト
- 金額が極めて低いもの
法務部門の審査は「利用規約の内容」「個人情報の取扱方法」が中心
ITサービスを新たに導入・開発する際の審査フローに関わる法務部門は、現状、どのような役割を果たしているのでしょうか。
当該フローに法務部門が関わると決められているタイミングを聞いた設問では、サービスやベンダーとの契約時とする回答が72%で最多となりましたが、契約時のみしか検討・審査に関わらないという回答も4割を超えました。
また、契約前の検討段階と比べて、契約後のテスト運用や納品等の際に関わる法務部門は少ないこともうかがえました。
法務部門で決められている検討・審査の基準や観点については、多くの担当者が、利用規約の内容(74%)や、個人情報の取扱方法(73%)を回答。次いで、委託・派遣等に関する内容の確認に回答が集まっています。
一方、「法務が検討/審査を行ううえでの基準等は明確に定められていない」という声も20%強にのぼりました。
IT用語の理解や部門間での文脈の違いが審査時の課題に
審査フローに関与する法務担当者はどのような課題を感じているのでしょうか。回答には、IT特有の用語等の理解不足をあげる声が多くみられました。
また導入がほぼ内定した段階で事業部から相談がきてしまうことや、相手方との契約が定型的になっていることなどにより、法務でできる範囲が限られるとする意見も複数寄せられています。
- ITサービスに関するリテラシーの低さ
- 仕様については専門的過ぎて法務で問題ないか確認しにくい。
- 導入がほぼ内定した段階で話がくるため契約内容で覆すことができない。
- 相手方との契約が「利用約款」「利用規約」などと定型的になっている点
検討・審査を行ううえでの他部⾨との連携⾯の課題としては、部門間での説明不足を指摘する回答が多く、各部門が自部門の言葉・文脈だけで説明している、など情報の伝達不足を課題にあげる回答も寄せられました。
こうした他部門間でのコミュニケーションについては、経営層・事業部等と連携してセキュリティ事故へ対応した経験を持つセキュリティリサーチャーの辻 伸弘氏が、過去の取材記事において、「『伝える』のではなく、『伝わる』ように、わからない人の立場で」話をすることの重要性を提言しています。
辻氏は、自部門特有の言葉や用語を使うのではなく、相手に理解してもらえる言葉を用いて気長に説明することが重要だと解説しており、これはITの審査・検討時における部門間の連携時にも同じことがいえるでしょう。
- 契約条件の部分については、法務まかせになっており、事業部やシステム部門において、実務運用上の観点からの検討が十分になされていない
- どの様なものにするか?現状の問題点、課題、どのようなものにしたいか、なにが必要でどのように活用したいか?等が事業部からシステム部門に明確に明文化されてない。
- システム部門の事業部門の業務内容の理解が不足している。
- 説明を尽くすこと。自部門(システム部門)の言葉、文脈だけで説明する人は良くない。他部門が理解できる、イメージできるように懇切、丁寧に、頻度を意識して話すことが必要である。こんなの説明しなくてもいいと判断していることでさえ、説明を省くべきではない。
- 特にシステム部門が保守的でノーリスクを好むため、事業部・法務部がそれを説得するような形になることが多く、説得しても…(中略)…なかなか納得してもらえない。(ノーリスクはありえないことがわかってもらえにくい)
IT案件に苦手意識をもつ法務担当者は4割弱
3では法務部門が検討・審査を行ううえでの課題のひとつとして「ITサービスに関するリテラシーの低さ」があげられましたが、実際に法務担当者はITが絡む案件についてどのような意識を抱いているのでしょうか。
IT・開発に関する案件を扱うことの苦手意識について聞いた設問では、60%強の担当者が苦手意識はないと回答しました。
また苦手意識はないと回答した担当者がITに関する知識をどのように身に付けたかについては、WEBでの情報収集とする回答がもっとも多く、次いで実務やOJTによるとする声があがりました。また自ら開発に関与した経験がある方や、ITパスポート試験などの資格の取得過程で学んだとする回答も複数みられました。
一方、IT・開発案件への苦手意識があると回答した担当者に、苦手意識の強いIT分野を聞いたところ、「システムインフラ・クラウド関連」が最多(66%)で、次いで「ネットワーク関連」(61%)、「セキュリティ関連」(50%)があげられました。
法務はITの適切な審査やリスク判断を通し、安心して導入・開発できる体制の構築を
コロナ禍により働き方の多様化が進むなか、多くの企業においてはITの利活用が円滑な事業運営や成果に直結することが改めて浮き彫りになりました。
本アンケートでは「会議・コミュニケーション関連」(76%)や「経理・財務関連」(64%)「人事関連」(63%)を中心に、引き続きITの利用が進んでいくだろうとする回答が寄せられています。
一方で、ITを新たに導入・開発する際には、セキュリティ面をはじめとした適切な検討・審査を行う必要があります。法務部門には、法的観点による検証やリスク判断を行うことにより、ITの導入・開発を安心して推進できる体制の構築へ寄与する働きが、今後一層求められるでしょう。
本連載では今回のアンケート結果を念頭に、IT利活用への法務の関わり方や、シャドーITにまつわる問題への対策法について、専門家へのインタビュー等を通して考察していきます。
法務担当者やシステム担当者の方ヘ向け、システム開発の進行や契約時に役立つ解説記事をまとめて掲載しています。
システム開発やDXの推進にあたり事前に知るべき法的観点や、システム開発契約時に留意すべき点などについて説明していますので、あわせてご参考ください。
-
株式会社オージス総研「「宅ふぁいる便」サービスにおける不正アクセスについて ~お客さま情報の漏洩について(お詫びとご報告)~」(2019年3月14日、2020年7月16日最終閲覧)、
関連記事:BUSINESS LAWYERS「Webサービス運営者がパスワードを扱う上での基本知識」(2019年8月6日) ↩︎