ITリスクマネージャー（IT Risk Manager）という職種のご紹介

●ITリスクマネージャーを知っているか？
ITリスクマネージャーという職種を紹介する。
いきなり何なのだと思われる方も多いかもしれないが、そう思うのも無理もない。この職種、もしくは呼び名は、日本ではほとんど使われないのだ。

おそらく、インターネット検索で、ITリスクマネージャーと検索しても、お目当ての情報は高確率で手に入らない。もっとも、この記事には行き着くだろうが。

IT Risk Manager と英語表記にすると、おそらくそれなりにヒットするのではないだろうか。もしくは、it risk manager job description と。そう、job descriptionという言葉から察すれば、ITリスクマネージャーは海外では普通にあるのだ。

どのような仕事をするかはこの後記載するが、いくつかの生成AIに以下のような質問を投げかけてみた。

★質問
日本ではあまり有名ではないですが、アメリカには、CISOをキャリアのトップにした場合、その1つ下にITリスクマネージャーという、ITやシステムに特化したリスク管理、リスクをハンドリングする職種があると思いますが、その認識はあっていますか？

★生成AIその1-回答
はい、あなたの認識は概ね正しいです。アメリカの多くの企業では、CISO（Chief Information Security Officer）が情報セキュリティに関する全般的な責任を持つ一方で、その下にITリスクマネージャーという職種が存在することが一般的です。

★生成AIその2-回答
その認識は正確です。アメリカをはじめとした多くの国では、情報セキュリティやサイバーセキュリティの重要性が理解されており、特化した職種が設けられています。
最上位にはCISO（Chief Information Security Officer）がおり、組織全体の情報セキュリティ戦略を統括します。その下には様々な役職があり、その一部がITリスクマネージャーです。彼らはITやシステムに関連したリスクを特に管理します。

★生成AIその3-回答
はい、おっしゃる通りです。アメリカ企業において、CISO（Chief Information Security Officer）の下にITリスクマネージャーを置くという組織構造は、非常に一般的なものです。
ITリスクマネージャーは、ITシステムやデータに関連するリスクを特定、評価、軽減するための専門家です。

生成AIというのは海外の事情を知るにも非常に良い。

●ITリスクマネージャーは何をする？
少し上で触れたので、なんとなく分かるかもしれないが、ITリスクマネージャーとは以下のような業務を担当する。

・ITシステムやインフラ、データに関連するリスクの評価と管理
・リスクアセスメントを実施し、リスク軽減策等リスク対策計画の立案と実行
・ITを含めたリスクに関するポリシーや手順の策定、法規制や業界標準への準拠対応
・継続的なリスクモニタリング
・セキュリティインシデントが発生時の迅速な対応と、影響の最小化
・リスク状況やリスク対策状況をCISO等経営層に報告し、意思決定の支援

いわゆる、情報システム部に所属するような人だと「普段からやっとるわ」と思うかもしれないが、ITリスクマネジメントに特化した職種がITリスクマネージャーなのである。それをいったら、普通の情シスが上のように見えるかもしれないが、ここが日本とアメリカの確実な差でもある。

アメリカは職務定義がハッキリしている。つまり、システムを構築することや運用することと、そのセキュリティやリスクについて管理することはかなり異なる職種である、ということ。多くの募集要項でITスキルを必要としていることがあるので、全く違うとは言わないが、別出しするぐらい異なる、というのがアメリカの考えた方だ。

何故、自分がこのITリスクマネージャーという職種を考える、知るようになったかというと、自分の職務経歴がまさにこれだからだ。現状の業務内容を一般的な情シスに照らし合わせた時に、人に伝えようとすると、相当違和感がある。基幹システムに全くタッチしていないこともあり、それで情シスと言えるのかと。他に何か用語はないのかと、生成AIがメジャーになっていない頃、インターネットを彷徨っていた時に、出会った言葉である。ピッタリだと思った。

●ITリスクマネージャーがレアな理由
ITリスクマネージャーが普及しない理由は大きく2つある。1つはこの職種は大企業でなければ、IPO（新規株式公開）する手前のような企業にしか必要とされないからである。IPOをするような企業は、まずはビジネスを進める、売上をあげることが最優先の為、それに応じた組織作りを真っ先にする。その組織作りの最後になるのが、情報セキュリティをどうするか、になることがほとんど。（最近では組織の立ち上げフェーズからやるとこもあるが、2024年の段階でも相当レアであると言っていい）

売上の為に利用するシステムは内製でシステム開発部あたりが構築するが、そこが情報セキュリティも担当すれば、そういう話にはならないが、苦手な分野かもしれないことや、端末管理や規程の整備みたいなことにもなるので、通常はやらない。

よって、情報セキュリティをメインで業務をする人が高確率で必要となってくるのである。中には全部ひっくるめてやっているところもあるが、採用等を考慮した場合、あまり現実的ではないので、通常は切り離すことが多い。

もう1つの理由は、分かる人はすでにピンと来ているかもしれないが、ヒントを出すとしたら、生成AIの回答、

”アメリカ企業において、CISO（Chief Information Security Officer）の下にITリスクマネージャーを置くという組織構造は、非常に一般的なものです。”

である。

某調査によると、アメリカでのCISO設置率は95%を超えていて、専任率も3割を超えている。同調査では日本は専任率でいうと、わずか数%という数字である。CISO自体が日本では珍しい職種と言える。つまり、CISOがいることを前提としているのがITリスクマネージャーなので、CISOがそもそもいなければ、ITリスクマネージャーが同じく存在しないということである。

この2つの理由を総合すると、ITリスクマネージャーが職種としてレアなのは、情報セキュリティやサイバーセキュリティを含めたセキュリティ全般に関して、日本企業は全体として関心が高くない、ということにつながる。どれだけ他社がランサムウェアにやられてデータが盗まれ、暗号化され、経営が数ヶ月止まり、売上も利益も出なくなっても・・・だ。

何故、そこまで多くの日本企業で理解がないのかを考察すると、凄まじい文字数になるので、ここでは割愛する。生成AIに聞いてみてもアメリカと日本ではここまで差があるのか、と思うような回答をするので、興味がある人は試してみてほしい。ただ、そうなると、日本ではおそらくセキュリティ事案は今後も起こるであろうし、それは前に見た光景であるということを、事案が起こるたびに思うことであろう。

せめて自分の会社はそうはならないように、もし、起こったとしても、職責を果たし、最低限の影響に留めるよう、ITリスクマネージャーとして日々奮闘している。