全1471文字
PR

 企業にとってガバナンス、つまり経営による統制が重要なのは論を待たない。IT領域でも経営が統制を効かせてこそ、経営や現場のビジネスに役立つシステムを適切なコストで構築し、安全で安定した運用が可能になる。

 それほど重要なはずなのに、改めて「ガバナンスとは何か」と問われると、明確に答えるのはなかなか難しい。経営としての活動の総体だからだ。あえて分かりやすく表現するならば、「株主や顧客などのステークホルダーに対する説明責任を果たせるようにすること」となるだろうか。

 説明責任がまさに問われる場面があった。セブン&アイ・ホールディングス傘下のセブン・ペイが2019年7月4日に開いた記者会見だ。スマホ決済サービス「7pay」の一部アカウントが第三者による不正アクセスを受け、7月4日現在で利用者約900人が合計5500万円の被害を受けた可能性があると発表した。会見ではセブン・ペイの小林強社長ら同社の幹部が報道陣の質問に答えた。結果は惨憺(さんたん)たるものだった。

 例えば「7payでなぜ二段階認証を採用しなかったのか」と問われた際、即座に答えられなかった。そのやり取りを映した動画などがソーシャルメディアに投稿され、「二段階認証も知らずに決済サービスを始めたのか」など非難の声が涌き上がった。いわゆる「大炎上」状態になったのだ。

 7payのような少額決済サービスは、顧客の利便性とセキュリティーのバランスが問われる。両者はトレードオフの関係のため、セキュリティーレベルをどの程度に設定するかは、極めて重要な判断だ。二段階認証を導入するかどうかについても、経営陣がその重要性を十分に認識したうえで承認を与えなければならない。それこそがガバナンスである。

 だから「なぜ二段階認証を採用しなかったのか」と問われた際に、その判断の理由を説明できないと、ガバナンス上の疑義が生じる。経営陣はサービスやシステムの開発にあたって統制を効かせず、開発現場やITベンダーに丸投げしていたのではないかと疑われても仕方がない。