「リスクをなくす」。筆者も含め,こんな表現を使ったり,目にしたりすることがよくある。
しかし,リスク・マネジメントの専門家にお聞きすると,この表現はどうも適切ではないらしい。「リスク」というのは「(通常は良くない)影響を及ぼす事象が発生する可能性」のことであり,通常,完全になくす(ゼロにする)ことはできない。リスクへの対応策を実施するにしても,その目的はリスクの可能性や影響を許容範囲内に収めるように「コントロール」することなのだという。
確かに思い当たるフシはある。筆者は日経コンピュータで記者をしているが,媒体の性格から,主として情報システムを中心に,災害対策や事業継続計画(BCP)策定の取り組みを取材している。取材先の企業のなかには,アプリケーション・サーバーやネットワークなどを完全に2重化していたにもかかわらず,非常事態が起こったときにバックアップ系に切り替わらず,社業や社会に大きな影響を及ぼしてしまったケースがある。
システム障害というリスクへの対応策を実施したのに,その対応策に内在していたリスクが顕在化した,と言える。結果論だが,リスクはなくなっていなかったし,回避もできなかった。本来は,バックアップがあってもリスクがあることをきちんと認識し,的確にコントロールしなくてはならなかったのだろう。
コントロールの手段には様々なものがある。例えばシステム障害の場合,発生のタイミングが年度末/月末かどうか,あるいは,午前か午後かによって,対処の方法や人員の振り方が異なる。
代替手段も様々だ。事前の準備が必要だが,緊急時に同業他社のシステムを利用させてもらうことで業務を継続する手もある。何もITがすべてではない。サービスの復旧見込みの情報を顧客や利用部門に周知することで,リスクを減らすことも可能だろう。
局所的な対処では,やはりモグラ叩きになってしまう。全社,特に経営層や利用部門を巻き込んだ情報共有が必要不可欠だ。繰り返しになるが,ITがすべてではないし情報システム部門が孤軍奮闘しても限度がある。
これは日本の社会全体にも言えることだ。日本銀行が音頭をとって,メガバンクなど9金融機関とBCPの先進事例について情報交換することになり,先日,その内容が公開された。「システム装置産業」と言われるだけあって,個々の大手金融機関の取り組みは先進的である。地震対策も進んでいる。
しかし,欧米と比べると,社会全体を巻き込んだリスクのコントロールは見劣りする。欧米では複数の金融機関や公共機関など,広く社会全体で行う「ストリートワイド」の訓練を実施している。2004年から毎年実施している米国では,昨年,金融機関や公益事業者の企業・団体が合計2775も参加。社会全体が機能不全に陥る新型インフ ルエンザへの対応をテーマに,3週間に及ぶ演習を実施した。
企業は自社だけでリスクをコントロールしきれるのか。真剣に議論する時に来ているのは間違いない。
※本記事はITproメール SS&ERMスペシャル(2008年7月22日)のコラムを再録したものです
