hero

スタッフブログ

DXとはいうものの

Posted by GRCS | 2021/09/21 10:46:12

~DXがもたらす変容を考える~

セキュリティ・エグゼクティブ・ディレクター 中島浩光

 

世間では「DX」が流行中です。Digital Transformation なのに、なぜDXとなっているのかは、よく分からないのですが・・・。
今回は、そのDXに関して少し思うことを書いてみます。 

 

<そもそもDXとは?>

DX自体は2004年にスウェーデン・ウメオ大学教授エリック・ストルターマン(Erik Stolterman)氏が「ITの浸透が、人々の生活をあらゆる面で良い方向に変化させる」と定義したのが最初となっています。

2004年だとiPhoneの発売前で、いわゆるガラケーでのインターネット接続はされていた時代でした。時代的にはPCでのインターネットが主役のころです。
サービスとしては、国内ではmixi、GREE、海外ではFacebookが2004年にサービスが開始されており、その後のSNSが全盛になっていく最初の年でした。

すでに一般への携帯電話は普及していた時期であり、ブログなども多く開設されていた時期であり、企業レベルでITを使った経営改革・企業変革は始まっていた時代になります。

その意味では、概念としての Digital Transformation が提唱されるのも納得がいく時期であるといえます。

そして、それ以降一般消費者の生活においても、また、企業ビジネスにおいても、ITの日常への浸透は進んでいる状況にあり、「DX」自体の定義が非常に広い意味でとらえることが可能なので、どこもかしこも「DX」と言っている状況になっています。

 

<DXと情報セキュリティ>

ITを使わなくても、Transformation(変化)しなくても、情報を扱う限り情報セキュリティは必要になり、特にDXではITを使用するので絶対にかかわるのですが、DXではITの位置づけというか、ITの適用の仕方によっては気を付けなくてはいけないところが出てきます。

ITの適用の仕方ですが、会計システムの導入みたいなものの場合は、DXというより通常のIT導入になるので、実績も多いですしセキュリティ上の気を付けるポイントもわかっています。というのも、会計システムのように特定の業務領域のシステムの場合、ITによる自動化・効率化であり、組織内における業務の位置づけ、業務実行時の役割、責任範囲といった部分に対しての変更はないため、情報セキュリティ面でも通常のITセキュリティの範囲の考え方を適用するだけで対応できる場合がほとんどになるのです。
(人によっては、こういうITの適用の仕方はDXではないという人もいたりします)


そのため、気を付けなくてはいけないITの適用は、これまでに実績のない新しい適用の仕方を行う場合や、今まで行われていなかった部分へのITの導入といった適用の仕方をした場合に、情報セキュリティとして気を付ける必要が出てくるのです。



<何に気を付けるのか?>

では、気を付けなくてはいけないITの導入の仕方とは、どういうものなのか?ということですが、特に注意すべきなのは「全く行われていなかった」ことをITの導入により変化させる場合が多いです。

例としては、「遠隔診療」があります。

医者が患者を診察する場合は対面で行います。
しかし、ITの進歩により遠隔での診療ができるようになれば、ネットワークを介して患者とスマホを利用してビデオ通話等で診察を行うことができれば、便利になるだろう、というものです。
しかし、インターネットが発達し、スマホが普及している現在でも、遠隔診療の普及は一部のみですし、ある程度限定された使い方に限られているのが現状です。

遠隔医療に関しては、患者個人の健康状態という機微な個人情報をインターネット上で取り扱うことになるため情報セキュリティの課題が発生しますが、これは実は想定内の気を付けなくてはいけないことです。

本当に気を付けなくてはいけないのは、医者の診察という「行為」自体と、それについての「責任とリスク」を考えなくてはいけないのです。


<行われていないのには「理由」がある>

まず、「行為」に関してですが、医師が診察を行うにあたっては、口頭でのやり取り(医療面接)以外に、患者を観察する(視診)、聴診器などで音を聴く(聴診)、腹を触るなど幹部に触る(触診)、体をたたいて時にでる音で調べる(打診)という行為があります。
この中で医療面接、視診は遠隔でもできそうです。聴診ももしかしたら遠隔でできるかもしれません。しかし、触診、打診といったものは現状技術的には不可能でしょう。

そして「責任とリスク」ですが、医師としての責任には「正しい診断」があり、リスクとしては「誤診」があたります。
そして、「正しい診断」のためには「正しく十分な診察」を行うことが必要となります。
ただし、それでも誤診の可能性をなくすことは難しいのですが、医師としては「誤診」は患者の生死に直結する恐れも高いので、「正しく十分な診察」ができない可能性のある「遠隔診療」は、導入が難しいのです。

また、このような「責任」と「リスク」の観点から、医師や医療行為については法令で様々なことが決められており、遠隔医療でそれらの法律への遵守をどう考えるか(コンプライアンスリスク)?も議論の対象となります。

そして、これらのリスクは情報セキュリティ上のリスクよりも、致命的なリスクなのです。


<DXでは、何を変容させるのか?>

しかし、遠隔診療が全く進んでいないわけではありません。

前述のような状況もありますが、DXとして導入していくのであれば、法令や社会体制等含めていろいろ変更していかないといけないのですよね。
その意味では、ITの利用や導入によって変化するのではなく、ITを利用する、導入する前に必要な環境の変化も含め、継続的に変容を促していくものであり、ITの利用・導入はそういった変容の一部なのだろうと思うのです。

 

 

 


 

top_bg

リスクマネジメントのDXについてはこちら

https://www.grcs.co.jp/dx

 

 

 

 

 

 

 

Topics: コラム

Written by GRCS