日本でもDX(デジタルトランスフォーメーション)が企業価値の向上に直結するフェーズに入り、全社的な戦略としてDXを掲げる企業が目立ちます。半面、部署横断での新たな取組みに戸惑いが見られ、期待する効果を発揮できないといった悩みが聞かれるほか、データの利活用を巡り、セキュリティ上の新たなリスクも顕在化してきました。

企業のリスクマネジメントにおける最優先事項の1つと言える「DXガバナンス」についてKPMGコンサルティングのアソシエイトパートナーである藤田直子が解説します。

企業におけるDX化の現状

―日本企業においてDX化はどの程度進んでいますか。

藤田:日本の社会や企業におけるデジタル化の遅れは、かねて指摘されてきました。そこで、国を挙げた取組みを強化しようとしたわけですが、その矢先に襲ってきたのが新型コロナウイルス感染症(COVID-19)です。リモートワークを余儀なくされ、管理部門を発端に、期せずしてDXが一気に進んだという印象です。

当初は、コロナ禍という特殊要因に迫られてという「消極的なDX」だったかもしれませんが、コロナ禍をきっかけに視線が広がった面もあります。つまり、コロナ禍による影響は自社内に限らず、似たような状況に置かれた顧客や取引先も、対面での接点を代替するようにオンラインでの商談やウェブマーケティング、プロモーションといったデジタル施策に乗り出しました。

藤田:「ポストコロナ」と言える今、リアルとヴァーチャルを併用したオムニチャネルの発想で、顧客に選択肢を提供する動きが広がっています。この土台となるのがデータの利活用です。たとえば、利用者IDの統合により、複数の入り口・複数サイトでの振る舞いを1つのIDに関連付けて集積することで、集積データを活用し、利用者に対してより有用な、関心のある情報を届けることができます。また、利用者が自身の振る舞い(たとえば応募状況、研修受講状況、購入状況等)の自己確認・自己分析をサポートする機能を提供することもできます。経営層においても、これまでの経験やそれに裏打ちされた「勘」に加え、データの裏付けをもとに戦略を立てる「データドリブン経営」を推し進めるようになりました。当初、2022度末が期限だったDX投資促進税制(下記参照)が2024年度末まで延長されたことも、日本企業のDX投資を引き続き後押しすると予想しています。

写真_KPMG 藤田

KPMG 藤田

―企業でDXが進むにつれ、顕在化してきた課題は何ですか。

藤田:大きく分けて、2つあります。1つは組織における役割分担の明確化です。DXは非常に多くの部門や部署がかかわる全社的な取組みです。DXを強化するにあたっては、新たにDX推進部といった部署を立ち上げた企業が多いと思います。いわばDXの旗振り役を担っているわけですが、同時に組織横断での統率力が求められます。具体的な施策を進めようとした際、どの部署がどのような役割を果たすべきか、細部がはっきりしないまま話を進めれば、混乱が生じがちになるからです。

たとえば、新たなデータ基盤を用いるプロジェクトをDX推進部が立ち上げたと仮定します。従来、システムを改修する際はIT部門が業務部門の要望に応じて対応を進めてきましたが、新たなプロジェクトでは、システムとデータ基盤を連携させるアーキテクチャは、IT部門が考えるべきか、DX推進部が考えるべきか、で意見が分かれます。仮にIT部門が考えるとすれば、連携すべきデータを巡って業務部門との相談が不可欠ですが、今度は業務部門が、どのようなデータが存在し、どんな使い方をすれば価値を見出せるか理解していないといった事態が想定され、結果的にプロジェクトが停滞するという事態が想定されるというわけです。やはり、体制づくりは非常に重要で、経営陣が明確なイメージを持ち、ガバナンスを効かせ、役割分担を整理することが欠かせないでしょう。

藤田:もう1つはデータを巡るガバナンスです。ビッグデータを含めデータの利活用は急速に進んでいます。特に顧客のデータを使う際、データ利活用とその結果(影響)について明示や同意取得ができているのか、利用範囲が適切であるか等、コンプライアンスやプライバシーの観点を重視する企業は非常に多いと思います。最近では生成AIが普及し、ビジネスでの活用を模索する動きも相まって、内部データをいかに扱うべきか、関心が高まっています。特に、国内での生成AI利活用を海外拠点へ展開したいと考えている企業は、各国・地域における生成AI関連法規制やガイドラインの動向を注視することが求められます。2023年10月に出された『広島AIプロセス』では、生成AIの利活用を念頭に置くとともに、リスクベースの管理方針やユーザーが「AIが生成したコンテンツであると識別できる」メカニズムの導入について言及がありました。2023年12月に暫定合意し、今後適用が予定されている『欧州連合AI規制法』(下記参照)でもAIの分類とリスクレベルが検討されています。企業は、生成AIの活用方法・利用範囲・インプットとなるデータ・生成AIの利用がもたらすリスク等を勘案しながら、利活用を進める・そのためのガバナンス(体制・ルール)を整備することが必要となるでしょう。

―DXガバナンスにおいて、今後、企業が配慮すべき点は何ですか

藤田:DXは国の政策でもあり、企業ではフロントとなる部門を中心に、これからも一段と加速すると思われますが、DX化の動きが円滑に進んでいるかをチェックすることは大切です。担い手がいないため活動が停滞している部分はないか、部署間の意思疎通はとれているか、目標に沿った内容の戦略として進んでいるか。プロジェクトを統括する責任者がこれらを見極める段階にきており、想定通り進んでいない点に関しては軌道修正し、継続的な活動として定着させることが求められます。

写真_KPMG 藤田

KPMG 藤田

藤田:一方、DXは新たなリスクを管理することの重要性を企業に突きつけます。たとえば、デジタル化を推進する際には、今まで付き合いのなかったベンチャー企業やスタートアップと協業する必要性が出てくることも多いでしょう。委託先管理やサードパーティ管理にも目線を向ける必要があります。新たな協業パターンに応じた委託先選定時の評価項目/契約条項の設定や見直し、新規取引先のモニタリング強化、委託先に応じた研修設定などが見られます。データの保守管理を含め、セキュリティ部門やコンプライアンス部門が必要に応じてブレーキを踏める状態にあり、アクセルとのバランスを取りながら適切に踏み分けることが重要です。

―DXの成否を分けるポイントはどこにあると考えていますか。

藤田:三点あると思います。第一に、意思決定にスピーディに対応できる組織体系です。各部門の役割を明確にして、結果に対する評価と改善へのスパイラルをいかに高めていくか、外部環境の変化が早い現状では特に問われます。

第二に、人材の確保と有効活用です。DX人材の争奪戦が激しさを増すなか、どのように確保していくか。新規採用か、社内育成か、あるいは外部の専門家の活用か、など複数のオプションから戦略的に考える必要があります。前提として、求める人材のスキルセットを定義し、適切な評価やモチベーションを高めていける人事制度の整備も必要です。せっかく人材を採用しても、求める仕事が明確ではなかったり、スキルとマッチングできていなかったりすれば、機会損失につながりますし、非常にもったいない話です。

第三に、経営陣の理解やコミットメントです。DXによって強化したいことは企業によって異なり、狙いや目的が不明瞭なままでは、戦略を具体化させるのは困難です。当然、必要とする人材像もぼんやりしてしまいます。「DXを進めよう!」といった掛け声に終始せず、成長戦略に基づいた強化点を定義することで、具体的なDX施策を打つ際にもその意図を組織横断で共有できるのだと思います。

―KPMGコンサルティングでは、どのような支援をしていくのでしょうか。
 
藤田:DXの進展について社内全体の様子を俯瞰的に理解し、評価するのは内部では難しい面もあるでしょう。いち早く課題を認識し適切な方策を打つうえで、コンサルティング会社のような外部の目線を、ぜひ活用してほしいと思います。リスク管理やリスクマネジメントについては、経営面や品質面、セキュリティ面といった項目での洗い出しや整理、管理への仕組みづくりといった支援を従来から実施してきましたが、「DXガバナンス」も、まさにその一環にあるものと位置付けており、現状の調査や把握を基盤とした、“機能する組織づくり”に向けたコンサルティングを提供します。

写真_KPMG 藤田

KPMG 藤田

<参考資料>

【DX投資促進税制とは】

  • DX投資促進税制:産業競争力強化法に基づき、日本企業のDX推進を後押しする税制度
  • 2022年12月23日、「2023年度税制改正大綱」が閣議決定され、2023年3月末に期限を迎える「DX投資促進税制」が2025年3月まで延長されることが決定
制度概要
  • 産業競争力強化法に基づく、事業適応計画の認定スキームの支援措置のうち、日本企業のDX推進を後押しする制度
  • 部門・拠点ごとではない全社レベルのDXの実現に必要なクラウド技術やデジタル関連投資に対して、税額控除または特別償却を措置
制定の経緯
  • 新型コロナウイルス感染症(COVID-19)によるパンデミック等の外生的・突発的に生ずる環境変化に晒される日本企業が「新しい生活様式」への構造変化に取り組むことで、日本産業の持続的発展を図ることを目的に事業適応計画認定スキームが創設
  • DX実現に向けた取組みが産業競争力強化法の中で「情報技術事業適応」として定義されていることを受け、同スキーム内でDXの実現する取組みを行う日本企業が後押しされる運びとなった
対象法人
  • 青色申告書を提出する認定事業適応事業者である法人
期限 【延長前】:2023年3月末
【延長後】:2025年3月末

出典:経済産業省の資料を基にKPMG作成

【AI Act(欧州連合AI規制法)について】

項目 内容
名称 AI Act(欧州連合AI規制法)
機関 欧州連合(EU)欧州議会本会議
制定/更改 2023年12月9日暫定合意
2024年2月2日合意
規制対象 規制対象となるAIシステムは以下の3つに分類される。
  • ディープラーニングを含む教師あり、教師なし、強化学習手法の機械学習アプローチ
  • 知識表現、帰納プログラミング、知識ベース、推論および演繹エンジン、記号推論およびエキスパートシステムを含む論理ベース、知識ベースのアプローチ
  • 統計的アプローチ、ベイズ推定、検索および最適化手法
概要
  • 基本思想として「AIから人間の自立性・自由は守られるべき」という考えが根底にあり、AIシステムに対して法規制により厳格に管理する方針
  • 社内での内向きな利用も規制の対象となり得る。特に、教育や企業の採用活動での利用は高リスクとみなし、リスク管理の仕組みの導入が義務付けられる
  • 適用までの経過措置として、関連企業には規制案に近い自主ルールの遵守が求められる

【AI Act(欧州連合AI規制法):AI分類とリスクレベル】

企業に求められる「DXガバナンス」~アクセルとブレーキの踏み分けがカギ_図表1

出典:AI Act(欧州連合AI規制法)から抜粋し、KPMG作成

リスクマネジメント最前線

関連サービス

本稿に関連したサービスを紹介します。下記以外のサービスについてもお気軽にお問い合わせください。

お問合せ