保険システムよもやまばなし(第20回)
代理店経営とITガバナンス(2)
今年は冷夏なのかと思っていましたが、急に熱波が押し寄せてきた感じで自然のエネルギーを改めて認識する日々です。
さて、この「保険システムよもやまばなし」、前回から「代理店経営とITガバナンス」のテーマでお伝えしていますが、第一回メルマガ原稿を書き終えて以来、代理店経営に求められるITガバナンスとはいったい何だろうかと考え続けています。
ITガバナンスを言葉として、一方的に説明・お伝えすることも吝かではないのですが、そこに意味があるのだろうか、代理店経営に求められるITガバナンスとはいったい何だろうと考えている次第です。
ガバナンスと言う観点で考えると、2016年5月29日に施行された改正保険業法を拠り所にするのが基本になるのかもしれません。この法律によって代理店に、意向把握・情報提供・体制整備義務が課せられ、さらに、その後2017年5月の個人情報保護法の改正による個人情報の定義拡大、企業としての情報管理義務の追加。また、金融庁指針、フィデューシャリー・デューティーに基づき、保険代理店へも顧客本位の業務運営に関する方針の策定が求められる等、この間、一貫して代理店業務運営に「自立と自律」、成熟度向上が求められ続けています。
この流れの中で、ITガバナンスは、改正保険業法の体制整備義務に係る事項及び、個人情報保護法の情報管理義務に係る事項として認識すべきと考えられます。改正保険業法では、各代理店の経営管理の一環として、自ら業務遂行状況を確認し、問題があれば改善を図るサイクルの構築が求められており、そのために、次の業務運営体制に対して、ルールの明確化・順守状況の確認・改善を意識しておく必要があると想定されています。(対象項目は、代理店の規模や業務特性により異なります。)
① 経営管理体制
② 法令順守等管理体制
③ 保険募集管理体制
④ 顧客保護管理体制
⑤ 募集人教育管理指導体制
⑥ ITオペレーショナル・リスク管理体制
また、個人情報保護法の情報管理義務においては、次の安全管理措置体制を整備・構築しておくことが求められています。
① 組織的安全管理措置
② 人的安全管理措置
③ 技術的安全管理措置
上記の中で、ITガバナンスに係る項目は「ITオペレーショナル・リスク管理体制」及び「技術的安全管理措置」となります。この対象項目について、業務運営の適正性を担保していくことがITガバナンスを機能させていることになります。それでは、これらの項目で、具体的にどのような内容を意識、確認すべきなのか、もう少し突き詰めていきたいと思います。
個人情報保護法の技術的安全管理措置においては、概ね以下のような観点の確認をしておくことが求められます。
・ パソコンのID、パスワードの適切な管理
・ 退社時、机上ノートパソコンの管理
・ 個人データを含むファイルのパソコン保存時の管理
・ 災害を想定したデータバックアップ体制 等
「ITオペレーショナル・リスク管理体制」については、金融庁の保険会社向け「保険検査マニュアル」に記載されている以下の内容が参考になります。
【想定されるリスク】
システムリスクとは、以下のような問題が原因となって、会社が直接、間接を問わず、損失を被るか被る怖れのあるリスクを言う。
(1)情報システムの停止または誤作動
(2)情報システムの不正使用
(3)重要情報の漏えい
【ITサービスの正確・安全・継続的提供に向けた管理態勢】
1.ITサービスの正確性(品質)に係わる態勢
・障害管理体制等
2.ITサービスの継続性に係わる態勢
・コンティンジェンシープラン等
3.ITサービスの安全性に係わる態勢
・情報セキュリティ管理体制等
当該マニュアルは、今年度から廃止されましたが、従来のシステムリスク管理で対象としていたシステムの安定稼働に向けたITマネジメントとして今後もモニタリング対象とするとしていますので、この中から代理店の規模や業務特性等考慮しながら、自社の適切な業務運営を実現していくために必要と想定されるリスク認識や評価、モニタリングを行えるPDCAサイクルの構築・体制整備を行っていくことが求められます。
個々の管理態勢については、次回以降さらに詳細をお伝えしていきたいと思います。
K System Planning
島田洋之
