ナレッジ

J-REIT資産運用会社における情報管理態勢構築の課題と対応

情報セキュリティの強化を求める法令等の改正が続いています。それに伴い、適時適切な情報管理態勢の整備がJ-REIT資産運用会社に求められています。情報管理態勢を新規に構築したり、新しい仕組みを導入する際に、特に留意すべき事項について概説します。

関連コンテンツ

1. はじめに

最近、情報セキュリティの強化を求める法令等の改正が続いています。J-REIT(※1)に関連するものとして、金融商品取引法の改正によるJ-REITへのインサイダー規制の導入(※2)、サイバーセキュリティ強化等システムリスクに関する金融庁の検査マニュアル・監督指針の改正等(※3)、マイナンバー制度の導入(※4)等があげられます。いくつもの改正が相次ぎましたが、今後も個人情報保護法も改正が予定されています(※5)。J-REIT資産運用会社は、適時適切な情報管理態勢の整備が求められているのです。このような環境を踏まえ、本稿では、J-REIT資産運用会社が情報管理態勢を新たに構築する、もしくは、新たな仕組みを導入するにあたり、特に留意すべき事項について概説いたします。

※1 J-REITとは、日本で組成された不動産投資法人です。
※2 2014年4月1日施行の改正金融商品取引法等により、上場投資法人等が発行する投資証券等の取引がインサイダー取引の規制対象になっています。
※3 情報セキュリティ管理やシステムリスク管理態勢に関して、2015年4月22日に「金融商品取引業者等向けの総合的な監督指針」及び「金融商品取引業者等検査マニュアル」が改正されています。また、2015年7月2日に「金融分野におけるサイバーセキュリティ強化に向けた取組方針」が公表され、さらに、2015年7月9日に「金融分野における個人情報保護に関するガイドライン」及び「金融分野における個人情報保護に関するガイドラインの安全管理措置等についての実務指針」が改正されています。
※4 2015年10月から住民票を有する方にマイナンバー(個人番号)が通知され、2016年1月から社会保障、税等の行政手続にマイナンバーが必要になります。
※5 本稿作成現在(2015年8月19日)、「個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律案」について国会に提出され、審議されています。

2.J-REIT資産運用会社の特徴と情報管理

一般に、情報の管理は、情報資産の漏えい等を防止しながら、同時にそれらを効率的に活用することを目的に実施されます。しかし、情報の「機密性」と「利便性」はしばしば相反します。つまり、情報の管理水準を上げれば上げるほど機密性は高まりますが、その一方で煩雑な管理手続きが業務効率を悪化させてしまうのです(もちろん両者を同時に達成するようなシステムを導入すれば良いのですが、J-REIT業界では費用対効果の観点から難しいことが多いようです)。情報の「機密性」と「利便性」のバランスを上手にとることが情報管理の成否を左右します。J-REIT資産運用会社には、以下のような特徴があり、適切な配慮がなければ、機密性と利便性のバランスを欠いた情報管理態勢となってしまいがちです。

【J-REIT資産運用会社の特徴】
  • 少人数の組織体制、職員の経歴・専門性の多様性と高い回転率
  • 金融業と不動産業との融合
  • 法令、規制、マーケット等環境の変化と適応
(1) 少人数の組織体制、職員の経歴・専門性の多様性と高い回転率

J-REIT資産運用会社の多くは、30名程度の少人数の職員が一箇所のオフィスで特定の投資法人の運用業務を行っています。したがって、運用資産の主要なテナントの退去情報、公募増資や物件購入等の機密情報は瞬時に会社全体で共有されてしまい、機密情報へのアクセス制限を課すことが実務上困難です。もちろん、それらの詳細に関する情報のアクセス権限をきめ細かく設定することは可能であり重要であると考えられますが、公募増資する情報を特定の職員だけに限定することは現実的ではありません。また、少人数の組織であるため、相互牽制体制構築に支障をきたすこともあります。システムに精通した人員を多く配置することができず、たとえば、特権IDを付与されたシステムの担当職員への牽制が不十分になる等の問題も起こりがちです。
 
各職員の専門性、経歴が多様であることが一般的です。不動産の売買・管理、財務・経理、法務・コンプライアンス等、専門性の高い職員がそれぞれの分野に特化することになり、結果としてサイロ型の組織になりやすいといえます。それぞれに専門性が高く、経歴の異なる少数の担当者が配置された組織では、部署、職員ごとに、情報資産の重要性や管理方法に関する認識や管理方針・規程に関する理解に差異が生じやすくなります。その結果、情報管理水準が組織内で一定になりにくくなります。

比較的短期間でほとんどの人員が入れ替わることが多いのもJ-REIT資産運用会社の特徴です。もともと少人数で専門的に行われていたところに、退職・異動による担当者の交代が生じることで情報管理水準が一時的に大きく下がってしまうリスクがあります。また、退職等でなくても、担当者の突然の休暇等によりリスクが顕在化することもあります。

(2) 金融業と不動産業との融合

J-REIT資産運用会社は金融ビジネスと不動産ビジネスの二つの側面を併せ持ちます。一般投資家から広く資金を調達するビジネスですから金融規制に対応することは重要です。しかし、本来、不動産の取得・運用・売却を主要な業務とするJ-REIT資産運用会社に銀行や保険会社等の大手金融機関の情報管理手法を形式的に導入してしまうことは妥当ではありません。不動産実務や小規模な組織体制かつ細分化された所管業務に適合しない情報管理システムが構築されてしまい、運用段階で実効性を欠いてしまうリスクがあるからです。過度な統制は、業務効率を悪化させたり、情報漏えい等のリスクを低減させるどころか統制自体が形骸化してしまい、ルール違反の横行、常態化を誘発し、かえって無秩序なリスクの高い状況を形成することにもなりかねません。

(3) 法令、規制、マーケット等環境の変化と適応

J-REIT資産運用は、不動産市況や金融規制等の環境変化に大きく左右されます。J-REIT資産運用会社のガバナンス・内部管理態勢もそれに応じて適時に対策を講じる必要があります。

機密性の高い個人情報、インサイダー情報等への法規制の導入に対して、J-REIT資産運用会社では、顧問弁護士のサポート等により適時に堅確な情報管理ルールを設けられているようです。ただ、新しい規制への対応には注意が必要です。新しい規律を概念的に定めるだけでは、実務がついてこないことがあります。たとえば、個人情報の管理です。2005年に個人情報保護法が施行され、すでに10年が経過し個人情報を適切に管理すべきであるという社会的なコンセンサスは確立されていますが、具体的な管理方法については、会社ごと、人ごとに、その「あるべき姿」に差があるように思われます。各職員の判断にゆだねる部分が多くなればなるほど統制レベルのばらつきが大きくなります。所管業務を細分化し特定の職員で業務が完結する状況が多い会社であればさらにリスクは高まります。

マーケットの変化にも注意が必要です。不動産市況の変化により物件売買や資金調達に関する業務量が大幅に変動します。物件売買等の業務がほぼ無くなってしまうと、それらに関する管理業務のノウハウの蓄積、継続が困難になります。また、不況時で業務にゆとりのある時期に保守的に策定した情報管理の仕組みが、好況時に増加した業務量では実践できなくなってしまうというリスクにも注意が必要です。

SNS等のソーシャルメディアの情報を利用する手段の多様化や震災等の災害、昨今の社会問題となっているサイバーテロ等の新たな脅威にも対応が必要です。不動産を投資対象としているJ-REIT資産運用会社では、システムリスクが銀行や証券会社等他の金融機関に比較して相対的に低いという意識から対応が遅れてしまいがちです。もちろん、過剰なリスク管理態勢の構築は不要ですが、自社のリスクの状況を適時に把握して、適切な措置を講じるという意味では銀行等となんら差異がないと認識すべきです。 

3. 課題への対応

J-REIT資産運用会社の組織体制、業務フロー等の特性を十分に勘案したうえで、情報の「機密性」と「利便性」のバランスのとれた情報管理方法、水準を設定することが肝要です。情報の機密性と利便性のバランスを欠いた「管理のための管理」に陥らないようにすることが大切であり、そのためには、情報管理が、リスク管理の重要な要素の一つであるということに着目することが有用です。情報管理態勢の構築に当たっては、まず、情報漏えい等により、リスクが顕在化したときの影響を想定してみることから始めてはいかがでしょうか。

(1) リスク顕在化時の影響を想定し、許容可能な水準を設定する

情報漏えい等によりリスクが顕在化した場合、たとえば、

  • 業務継続への影響(ex.対応、処理に膨大な時間・手間を要するか)
  • 損益への影響(ex.巨額な損害賠償等に繋がるか)
  • レピュテーションへの影響(ex.行政処分等のペナルティにつながるか)

等から、各情報資産のリスクの重要度を分析し、許容可能なリスクの水準を検討します。なお、情報資産の分類の仕方に注意が必要です。分類されたカテゴリーのなかでもっともリスクの高い情報資産に管理水準を合わせなければならなくなることに留意し、効率的効果的な情報管理の観点から情報資産の分類をしておくことが有効だということに気づくべきです。

(2) 適切な管理方法を策定し役職員に周知徹底する

ルールを過度に複雑にしたり、高度なものにすると、職員への周知徹底が難しくなります。適切な情報管理のためには、実効性のあるシンプルなルール策定が求められます。

概念的な方針や規範だけでは、実践が困難です。実務に当てはめて、どのような場合に具体的にどのように行動するのかを明示し周知することが必要です。コンプライアンス・マニュアルや業務手順書への記載や研修資料等により職員にわかるようにする工夫が求められます。
新たに入社した職員には、時間を割いて丁寧に説明する必要があるほか、新しいルールの導入やルールを変更した際には、社内の会議や研修により周知徹底する必要があります。

なお、情報管理のルール策定に際し、以下のポイントに留意する必要があります。

  • 過失を想定した対応にとどまらず、故意によるものも想定して対策を行う
  • 自社内の情報管理にとどまらず、PM会社(※6)等への委託業務についても対策を行う
  • 未然防止のみならず、情報漏えい等発生時の対応を決めておく
  • 担当者、責任者が不在時の対応を決めておく
  • 入手・保管のみならず、社外持出・開示・廃棄についても手続きを定めておく
(3) 情報管理体制

各部署任せや担当者任せにした場合、J-REIT資産運用会社の特徴からわかるように部署間・担当者間の取組みに差異が生じやすく失敗する可能性が高くなります。そこで、たとえば、情報管理責任者等を設置する等、情報管理について組織的に対応する必要があります。情報管理責任者は、情報管理に関する管理体制を整備し、情報管理の推進、維持を図るとともに、全社における情報管理の運用を監督します。 

※6 PM(プロパティ・マネジメント)会社とは、物件のテナントリーシング、テナント管理、修繕工事の管理等を行う会社です。

4.最後に

以上、J-REIT資産運用会社の特徴に配慮した情報管理態勢の構築について概説しました。実際の情報管理態勢構築に当たっては、個別具体的に配慮すべき要素が多々ありますが、分量が多くなりますのでここでは割愛させていただきます。

J-REIT業界は2001年に最初の2社が上場(※7)してから順調に成長し、50を超える投資法人が上場し、時価総額10兆円規模となりました(※8)。J-REITの今後の更なる発展のためには、法令や金融規制、不動産マーケット等社外の変化に即応することが重要です。J-REIT資産運用会社の特徴を踏まえたコンプライアンス、リスク管理などの「守り」を固めること、実効性を兼ね備えた適切な情報管理態勢の構築することは成長のための不可欠な要素の一つだと思います。

なお、当該記事は執筆者の私見であり、デロイト トーマツ グループの公式見解ではありません。

※7 2001年9月10日に日本初のREITとして日本ビルファンド投資法人及びジャパンリアルエステイト投資法人が東京証券取引所に上場しました。
※8 2015年8月14日現在、上場投資法人53社、時価総額10兆3014億円

以上 

お役に立ちましたか?