佐藤氏写真 筆者紹介 佐藤徳之(さとう・とくゆき)

マーシュジャパン ディレクター、シニアバイスプレジデント。1989年に入社以来、日本、米国において企業のリスクマネジメント構築に従事。マーシュジャパンは、リスクマネジメントおよび保険関連サービスを提供する世界最大手企業である米Marsh Inc.の日本法人。2004年度情報化推進国民会議専門委員。

 情報システムの共同利用型アウトソーシングの活用は、住民サービスの向上や業務の効率化、さらには複数の自治体のIT基盤共同利用によるシステム投資コストの効率化等、電子自治体化を推進する上での様々なメリットをもたらす。

 一方でシステムや集められたデータの規模が大きくなるため、不正アクセス・不正侵入による情報漏えいやハッカーによる情報資産の破壊といった外部侵入によるリスクや、地震によるIDC内に一括保管されている情報資産の大量損壊リスクのように、従来のIT環境に比較すると集積リスクが増大してしまう一面を内包している。

 リスクとは一般的に発生が不確実で、また金銭的損失の伴う、偶然かつ外来的な事象である。リスクマネジメントとは、それらのリスクを効率的に管理する(リスクの発生確率と事故の際のインパクトを減少させる)経営手法での一つである。リスクマネジメントの構成については、表1図1の通りである。

■表1 リスクマネジメントの構成

1.セーフティ・セキュリティ・マネジメント
リスク発生を未然に防止する事前対応策(物理的・技術的)
2.エマージェンシーマネジメント
リスク発生時の緊急対応策(適切な初動を含む)
3.リカバリーマネジメント
自治体サービスをできるだけ早く復旧させるための災害復旧策
4.リスクファイナンス
リスク発生を未然に防止する事前対応策(物理的・技術的)

■図1 適切なリスクマネジメントの有無で回復に差がつく
適切なリスクマネジメントの有無で回復に差がつく
出典:マーシュジャパン

 また発生した損害の範囲や金額が甚大であり、当初のリスクの想定範囲を超えるような大損害が発生し、事業活動への影響が甚大なものを特に「クライシス」と呼び、クライシスを最小限に抑えるための手法が「クライシスマネジメント」である。その一番初めにくるのが「エマージェンシーマネジメント」である。

 図1にもある通り、電子自治体化リスクについて具体的な事前・事後対応策を策定し実行している場合とそうでない場合では、重大事故が発生した際に通常のサービスレベルに回復するために必要な時間と回復度合いに、大きな差が生じる場合がある。特に、事故が放置された場合や適切に処理されなかった場合は、2次的、3次的なリスクを引き起こし、被害がさらに拡大してしまう可能性がある。