担当者の退職で審査が崩れた 属人化リスクチェックが招くガバナンス危機約7割の企業で判断が属人化

SecureNaviは、リスクチェック担当者400人を対象とした調査結果を発表した。全対象を審査できている企業は47.8%にとどまった一方、担当者個人の努力ではどうにもならない課題が浮かび上がった。

2026年07月17日 05時00分 公開
[TechTargetジャパン]

 委託先やクラウドサービス、社内システムのセキュリティリスクを確認する「リスクチェック」。サプライチェーン攻撃への警戒が高まる中、その重要性は増している。一方、審査対象の増加や例外対応に追われ、全ての対象を確認できない企業も少なくない。

 SecureNaviがリスクチェックを担当する400人に実施した調査では、約7割の企業で、審査の判断が担当者の経験や解釈に左右される状態にあることが分かった。審査体制を整えるだけでは解決しにくい、リスクチェック業務の課題を紹介する。

担当者の努力では解決できない本当の課題とは

 SecureNaviは2026年7月3日、「日本企業のリスクチェック実態調査 2026」を公開した。調査対象は、情報セキュリティ部門または情報システム部門で、委託先などの外部リスク審査や社内システムのセキュリティレビューを担当する400人。調査期間は同年6月9〜10日である。

 委託先、クラウドサービス、グループ会社、社内システム等への定期的なリスクチェックやセキュリティ審査を「全ての対象に実施できている」と回答した割合は47.8%だった。「一部の対象にのみ実施している」は39.8%に上り、約4割の企業が全対象を確認できていないことが分かった。

 上記した対象へのリスクチェックやセキュリティ審査の実施率は企業規模によって差がある。従業員数299人以下の中小企業では29.8%だったのに対し、1万人以上の企業では74.1%だった。

 この結果からは、企業規模が大きくなるほど、専任担当者の配置や審査体制の整備が進みやすいことが考えられる。ただし、体制を整えた企業でも、委託先やクラウドサービス、グループ会社、社内システムが増えれば、審査対象の増加に追い付けなくなる可能性がある。

約7割の企業で判断基準が属人化

 質問票への回答や提出された証跡を確認し、対象となる委託先やシステムを利用してよいかどうかを判断するのがリスクチェックだ。その判断基準が曖昧であれば、同じ内容でも担当者によって審査結果が変わる恐れがある。

 調査では、判断基準が「明確で、誰でも判断できる」ようになっているか尋ねた。その結果、「できている」と回答した割合は22.5%にとどまった。

 最も多かったのは「ある程度明確だが、解釈の揺れがある」の44.8%だった。「担当者の経験や知識に依存している」「ほとんど明確化されておらず、その都度判断している」との回答も合わせると、約7割の企業で判断が担当者や状況に左右されていることが分かった。

 判断基準が担当者の頭の中にしかなければ、異動や退職によって審査の品質を維持できなくなる恐れがある。過去の判断理由を説明できず、同様の案件について異なる結論を出すこともあり得る。

 属人化が、審査結果の一貫性や説明可能性を損ない、企業のセキュリティガバナンスそのものを不安定にするリスクがあるということだ。

危機感が最も強いのは「準大手〜大手」

 「このままではリスクチェックやセキュリティ審査業務が回らなくなる」と感じているかどうか尋ねた質問では、「回らなくなる」と答えた割合は全体の60.5%だった。これは、「強く感じている」と「少し感じている」を合計した数値だ。

 企業規模別では、従業員数1000〜9999人の企業では68.3%に達し、最も高かった。一方、従業員数1万人以上の企業では53.4%に低下した。

 リスクチェックへの危機感は、企業規模に比例して高まるわけではない。従業員数1000〜9999人の企業では、事業の拡大に伴って委託先やシステムの数が増える一方、超大手企業ほどの専任体制や業務基盤を整えられていない可能性がある。

 SecureNaviは、こうした企業を、審査対象や件数が急増する一方で専任体制を組み切る手前にある「成長の過渡期」と分析する。ただし、多くの企業にとって、この規模は一時的な通過点ではなく、長期間続く定常状態にもなり得る。

 そのため、担当者の増員だけで解決しようとしても、審査対象の増加に追い付けなくなる可能性がある。業務の流れや判断方法を見直さなければ、担当者の負担は継続する。

企業規模によって異なる「審査が回らない理由」

 リスクチェックの主要な課題も、企業規模によって異なっていた。従業員数299人以下の中小企業では、「判断基準の属人化」が37.5%で最も多く、「人員不足」が36.5%で続いた。少人数で審査を担当するため、特定の担当者の知識や経験に頼りやすい状況がうかがえる。

 従業員数1000〜9999人の準大手・大手企業では、「リスク受容などの例外対応が多く、管理しきれない」が37.3%で最大の課題だった。

 リスクチェックでは、基準を満たさない対象を全て利用禁止にできるとは限らない。事業上の必要性から、対策の実施を条件に利用を認めたり、一定期間に限ってリスクを受け入れたりすることがある。

 こうした例外案件が増えると、誰がどのリスクを承認したのか、どのような条件を設定したのか、改善期限を迎えたかどうかを継続的に管理する必要がある。審査時点で判断して終わりではないため、管理対象は蓄積していく。

 従業員数1万人以上の企業では、「審査件数が多く、処理が追いつかない」が39.7%で最大だった。体制や基準を整えていても、処理すべき件数そのものが多ければ、担当者の負荷を軽減できない。

「人を増やす」だけでは属人化を解消できない

 SecureNaviは、調査から浮かび上がった課題を「属人化」「物量」「例外対応」の3つに整理する。

 同社の事業責任者、佐藤晃一氏は、リスクチェック業務が回らない原因を、担当者個人の努力ではなく、業務設計の問題だと指摘する。

 審査作業に追われれば、判断基準を整理したり、業務を標準化したりする時間を確保できなくなる。基準を整備できなければ、案件ごとの確認事項や判断が増え、さらに作業量が増加する。こうした悪循環を断ち切らない限り、担当者を増やしても負担の増加に追いつかないという。

 改善に向けては、審査項目や判断基準を明文化し、誰が担当しても一定の水準で判断できる仕組みを整える必要がある。回答や証跡、過去の判断理由を一元的に管理し、似た案件で判断がぶれないようにすることも重要だ。

 例外対応についても、承認した時点で完了とせず、リスクを受け入れた理由や条件、責任者、改善期限を記録し、その後の対応状況を追跡する仕組みが求められる。

 情報セキュリティ部門や情報システム部門の役割は、届いた審査依頼を順番に処理することだけではない。組織全体で判断をそろえるための統制を設計し、どのリスクを受け入れ、どのリスクに対策を講じるかを継続的に判断することにある。

 リスクチェックを「担当者がこなす作業」のままにすれば、対象が増えるほど負担も増え続ける。属人化を解消し、判断基準と例外対応を組織の仕組みとして管理できるかどうかが、今後のサプライチェーンセキュリティを左右しそうだ。

Copyright © ITmedia, Inc. All Rights Reserved.

アイティメディアからのお知らせ

From Informa TechTarget

瞬時にM365が乗っ取られる――全社員に周知すべき“新フィッシング”の教訓

瞬時にM365が乗っ取られる――全社員に周知すべき“新フィッシング”の教訓
MFA(多要素認証)を入れたから安心という常識が崩れ去っている。フィッシング集団「Tycoon2FA」が摘発されたが、脅威が完全になくなったというわけではない。

ITmedia マーケティング新着記事

news017.png

「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。

news027.png

「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。

news023.png

「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...