攻めるための守りシリーズについて
サイバー攻撃や不正利用だけでなく、ビジネス環境の変化や社内プロセスにおけるさまざまなリスクからPayPayを守っている法務・リスク管理部門。
確かに脅威から守る部門ではあるが、PayPayの守る部門は、攻め続ける会社や人のために守りつつ、共に進んで開拓していくスペシャリスト集団。このシリーズでは、PayPayが圧倒的No.1であるため、あらゆるリスクを想定した全方位型の守りについての考えを、それぞれの部門の責任者に詳しく聞く。Vol.3はリスク管理のトップ松田さんに聞いた、いま目指しているリスク管理のあるべき姿と求める人材について。
松田 潤(まつだ じゅん)
法務・リスク管理本部
メガバンクにてリスク管理を15年、内部監査を5年担当したのち、2019年にソフトバンクロボティクス内部監査室 室長に着任。2021年4月より現職(PayPayリスク管理部 部長)。市場リスク管理・信用リスク管理・オペレーショナルリスク管理・業務監査・IT監査等の幅広い経験を活かしてPayPayのリスク管理態勢高度化に奔走する日々を送っている。CIA(公認内部監査人)・CRMA(公認リスク管理監査人)・CCSA(内部統制評価指導士)・CISA(公認情報システム監査人)の資格を保有。趣味はフットサル。
今、攻めるために守るには
ご担当領域の守りの体制を教えてください。
上記で言うと、「リスク管理」「BCP活動」がリスク管理部の担当となります。ただ会社としての全てのリスクが取扱対象となりますので、上記の他領域とも連携が必要で、各1線・2線との情報共有・協力体制構築が不可欠となります。
リスク管理部としては、統合リスク管理・オペレーショナルリスク管理・システムリスク管理の3チームで構成されております。
守る部門でありながらも攻めていることは?
リスク管理部門は守る部門ではありますが、常に受け身で守っている訳ではありません。もちろん顕在化した問題や発生した事故に対する対応はとても重要です。しかしそういった活動とは別に、現時点の環境を認識して、将来に渡るリスクを把握・評価することで、潜在的なリスクに対して先んじて手を打っていくことが可能となります。
PayPayで実施しているリスク評価では、トップダウンとボトムアップの2つのアプローチを用意しています。
トップダウンのアプローチにおいては、外部環境・内部環境を認識し、事業計画を踏まえた上で、経営陣・本部長・部長の意見を集約。PayPayとして直面しうる大きなリスクを洗い出していき、現時点で何ができるかを検討していきます。環境認識のプロセスにおいては、Zホールディングス・ヤフー・ソフトバンク等の各社とも情報連携しています。
一方でボトムアップのアプローチにおいては、PayPayの各部署が、リスクの洗い出し・リスク評価・コントロール評価を実施。残余リスクが許容できない場合は、現場自らがリスク対応計画を策定するプロセスを導入しました。
この2つのアプローチにより、会社としての大きなPDCAと、現場によるリスク管理活動を推進していきます。
今後、より強化したい領域はどこですか?
会社として「リスク文化を成熟させる」ことがとても重要だと認識しています。「リスクのオーナーシップの明確化」「意思決定プロセスにおける健全なディスカッション」等、会社全体でのリスク管理への理解を浸透させることが、あらゆるリスクに対する最大の防御策になるからです。先程の全社的なリスク評価活動や、事故の再発防止策フォローアップ、リスク管理に関わる研修などを通じて、このような考え方を浸透させるべく取り組んでいます。社員一人ひとりがリスク管理を自分事として捉え、リスクを認識、コントロールする。結果として自身の業務スピードを落とさずに進んでいくことに繋がります。これらは一朝一夕に築けるものでは無いので、リスク管理部としての地道な活動が必要だと考えています。
また、多くの金融機関が標榜している「リスクアペタイトフレームワーク(RAF)」についても、今後、取り組む必要があると考えています。会社としてどのようなリスクテイクを行うのか、あるいはどのようなリスクは回避するのか、というコンセプトを明確にして、リスク管理の枠組みに取り入れていく必要があるからです。PayPayのリスク管理の枠組み自体が発展途上にあるため、これも一朝一夕にはいきませんが、資金決済サービスのリーディングカンパニーに相応しいリスク管理態勢を構築していきたいと思います。
部門責任者としてメンバーに意識共有していることはどんなことですか?
このPayPay Inside-Outにおいて、CRO(Chief Risk Officer)である寺田さんが「金融機関としての自覚とITベンチャーとしての冒険心」という話をしていました。私も着任当初から、同様のことを感じています。PayPayの最大の強みは、サービス企画・開発力とそのスピード。その強みを消さずに、リスク管理能力も高めていくことを目指しています。社長の中山さんからも「リスク管理としてストップをかける場合は、どうすれば出来るのかを必ずセットで提案するように」と言われているため、それを心がけています。
なお、PayPayで次々に生み出される新しいサービス、その新サービスへの個別対応をスピーディーに行うことがその案件自体の最短距離となることもあるでしょう。ただ統一されていない、個別対応事例が集積してしまうと、組織として非効率なプロセスとなってしまいます。短期的な観点だけでなく、中長期的な観点・全社的な視点も含めて、管理方法を提案・推進していくことが我々に求められていると考えています。
PayPayの守りと攻め、求める人材
どういう人にPayPayへ来てほしいですか?
現在のPayPayは、高度な金融商品や複雑なリスクを扱う会社ではありません。そのため、高度な金融工学を必要とするような業務は現時点ではありません。
ですが、PayPayの登録ユーザー数は4,500万人、加盟店は344万カ所を突破し、社会的な責務がより大きいものになってきています。また、サービスがスピーディーに拡大する中で、リスクの種類や範囲も変化・拡大しています。そういう環境下において、ユーザーを含めたステークホルダーへの期待に応えられるような、金融機関としてのリスク管理を実現していきたいという気概を持った方に来ていただきたいです。
PayPayの守る体制において求められるスキルは?
リスク管理部の業務取扱範囲は、リスク管理態勢整備・オペレーショナルリスク管理・システムリスク管理・BCP・業務委託管理・新商品審査など幅広いですが、これらのうちいくつか強い分野(知識・経験が豊富な分野)を持っている方を求めています。
また、データを分析するスキルや、問題点を整理して論理的かつシンプルに説明できるスキルは、リスク管理業務において重要だと思います。
応募者へのメッセージをお願いします。
PayPayは、WFA(Work From Anywhere)・WePassport・フレックスタイム等、特色のある働きやすい環境作りに力を入れています。リスク管理部内においても、九州からリモート勤務する人や、近隣のWe Workオフィスからリモート勤務する人もいます。一部署としても、ダイバーシティ等を含め、社員の働きやすさは追求していきたいと思います。
PayPayのリスク管理業務は、まだまだ発展途上にあり、担当者自らが考えて管理体制や管理手法を提案していくシーンが多いです。そのようなPayPayのリスク管理部門で、少数精鋭の専門家集団と一緒に、高度なリスク管理態勢を構築していきませんか。
現在募集中のポジション
執筆:Jun Matsuda / 監修:Yosuke Terada /編集:Keiko (PayPay Inside-Out編集部)
※社員の所属等は、取材当時のものです。
