保険システムよもやまばなし(第20回)
代理店経営とITガバナンス(2)
今年は冷夏なのかと思っていましたが、急に熱波が押し寄せてきた感じで
自然のエネルギーを改めて認識する日々です。
さて、この「保険システムよもやまばなし」、前回から「代理店経営とIT
ガバナンス」のテーマでお伝えしていますが、第一回メルマガ原稿を書き終
えて以来、代理店経営に求められるITガバナンスとはいったい何だろうか
と考え続けています。
ITガバナンスを言葉として、一方的に説明・お伝えすることも吝かでは
ないのですが、そこに意味があるのだろうか、代理店経営に求められるIT
ガバナンスとはいったい何だろうと考えている次第です。
ガバナンスと言う観点で考えると、2016年5月29日に施行された改正保険業
法を拠り所にするのが基本になるのかもしれません。この法律によって代理
店に、意向把握・情報提供・体制整備義務が課せられ、さらに、その後2017
年5月の個人情報保護法の改正による個人情報の定義拡大、企業としての情報
管理義務の追加。また、金融庁指針、フィデューシャリー・デューティーに
基づき、保険代理店へも顧客本位の業務運営に関する方針の策定が求められ
る等、この間、一貫して代理店業務運営に「自立と自律」、成熟度向上が求
められ続けています。
この流れの中で、ITガバナンスは、改正保険業法の体制整備義務に係る
事項及び、個人情報保護法の情報管理義務に係る事項として認識すべきと考
えられます。改正保険業法では、各代理店の経営管理の一環として、自ら業
務遂行状況を確認し、問題があれば改善を図るサイクルの構築が求められて
おり、そのために、次の業務運営体制に対して、ルールの明確化・順守状況
の確認・改善を意識しておく必要があると想定されています。
(対象項目は、代理店の規模や業務特性により異なります。)
① 経営管理体制
② 法令順守等管理体制
③ 保険募集管理体制
④ 顧客保護管理体制
⑤ 募集人教育管理指導体制
⑥ ITオペレーショナル・リスク管理体制
また、個人情報保護法の情報管理義務においては、次の安全管理措置体制
を整備・構築しておくことが求められています。
① 組織的安全管理措置
② 人的安全管理措置
③ 技術的安全管理措置
上記の中で、ITガバナンスに係る項目は「ITオペレーショナル・リス
ク管理体制」及び「技術的安全管理措置」となります。この対象項目につい
て、業務運営の適正性を担保していくことがITガバナンスを機能させてい
ることになります。それでは、これらの項目で、具体的にどのような内容を
意識、確認すべきなのか、もう少し突き詰めていきたいと思います。
個人情報保護法の技術的安全管理措置においては、概ね以下のような観点
の確認をしておくことが求められます。
・ パソコンのID、パスワードの適切な管理
・ 退社時、机上ノートパソコンの管理
・ 個人データを含むファイルのパソコン保存時の管理
・ 災害を想定したデータバックアップ体制 等
「ITオペレーショナル・リスク管理体制」については、金融庁の保険会
社向け「保険検査マニュアル」に記載されている以下の内容が参考になりま
す。
【想定されるリスク】
システムリスクとは、以下のような問題が原因となって、会社が直接、
間接を問わず、損失を被るか被る怖れのあるリスクを言う。
(1)情報システムの停止または誤作動
(2)情報システムの不正使用
(3)重要情報の漏えい
【ITサービスの正確・安全・継続的提供に向けた管理態勢】
1.ITサービスの正確性(品質)に係わる態勢
・障害管理体制等
2.ITサービスの継続性に係わる態勢
・コンティンジェンシープラン等
3.ITサービスの安全性に係わる態勢
・情報セキュリティ管理体制等
当該マニュアルは、今年度から廃止されましたが、従来のシステムリスク管
理で対象としていたシステムの安定稼働に向けたITマネジメントとして今
後もモニタリング対象とするとしていますので、この中から代理店の規模や
業務特性等考慮しながら、自社の適切な業務運営を実現していくために必要
と想定されるリスク認識や評価、モニタリングを行えるPDCAサイクルの構
築・体制整備を行っていくことが求められます。
個々の管理態勢については、次回以降さらに詳細をお伝えしていきたいと
思います。
K System Planning
島田洋之