------------------------------------------------------------------------
[コラム]リスクマネジメントのパラドックス
------------------------------------------------------------------------
JCIC代表理事　梶浦敏範
2018年5月7日


企業はよりよい製品やサービスを作り、それを求める法人／個人にご提供して対価をいただくのが主任務です。したがって商品企画、研究開発、製造、販売などの部門は、その目標がはっきりしています。総務、財務などの管理部門も、ある意味ミッションは決まっていてKPI（*1）も建てやすいでしょう。

しかしリスクマネジメント担当部署の場合はKPIの設定や外部への説明が難しいことが多いようです。私は21世紀になってから、内部統制、事業継続、そして今サイバーセキュリティに関与している関係で、企業でリスクマネジメントを担当されている方々の生の声を直接伺うことが多かったのです。

例えば、「あの企業は地震対策をしっかりしている。いざという時のバックアップオフィスも定めている」と聞いてお話を伺うと、「いや、うちなどまだまだです。オフィスは決めましたがそのオフィスでも業務遂行訓練は一部の部署でしかしていません」とか、「首都直下地震の対策は練ったのですが、悪性インフルエンザのパンデミックが来たら対応できません」とおっしゃる。

逆に1ヵ月に一度、データのバックアップを倉庫に保管しているだけの企業さんからは、「地震など十分な対策をしています。それにうちの社長は、自分は運がいいから自分が社長の間は、地震は来ないと豪語しているので大丈夫です」と真顔で言われたりします。

リスクマネジメントとは、やればやるほど新しいリスクや対応の不備が見えてきて、自己評価と外部からの評価に大きなギャップが出るようです。だから簡単にKPIを定めることできないのです。真面目な人ほど不安が大きくなり、努力に努力を重ねるのだけれども、その結果不安は解消されずむしろ大きくなるという矛盾を抱えてしまう傾向にあります。

本来であれば、トップマネジメントが「まずはここまでやったことを評価する。次に新しいリスクへの対応を、こういう条件でいつまでにやるように」と大枠をはめてくれるのが一番いいのですが、そういうケースが多いとは思えません。地震は来ないから大丈夫だという経営層さえいるのが現実です。たいていの場合は、丸投げでしょう。ではどうすればいいのか。次善の策として、同じ様な環境に置かれている人たちが集まって、意見交換をする場を設けるということは意味があります。同業他社には言えないこともあるのですが、地震対策のような共通課題については「非競争領域」だと考えて、率直な意見交換をしておくのがいいと思います。

サイバー攻撃／サイバー犯罪の脅威は日々確実に増しており、決して現状維持や軽減されることはありません。むしろ幾何級数的に増大する可能性すらあります。この新しい脅威に対して、真剣に取り組む皆さんのプレッシャーは非常に大きなものです。しかしたとえば内部統制は金融商品取引法施行の前後、事業継続は東日本大震災の後に一気に世間の注目が集まりました。サイバーの分野でも、ある日重大な何かが発生し、社長に対応策を直接求められる日もそう遠くはないかもしれません。

*1　Key Performance Indicator