【コラム】リスクゼロを試みてはいけない

 リスクをゼロにすることはできない。

 まあ、当たり前の話ではある。リスクがゼロの世の中なんてない。

 平和そうに思えた幼稚園の日常だって、おもらしをするリスクやお弁当を落っことすリスクはあった。

 だから、ゼロにならないのを前提に、なるべく安心して暮らせるようにする活動がセキュリティー対策である。

 セキュリティー対策で、ぼくが最も大事だと考えるのは、「リスクをゼロにしようなんて思わない」ことである。目標に据えてもいけない。

 ゼロにならない現実をのみ込んでなお、努力目標としてならいいのでは?と思われる方もいるかもしれない。でも、努力目標にすらしない方がいい。ゼロに近づくと、ゼロにする努力は無限大に近づき、底なしのブラックホールほどに人や物といったリソースを吸い込むからである。

 ちょっとピンとこないという人は、試験勉強のことを思い出してみてほしい。前回のテストが10点だったなら、それを20点にするための努力はさほどのものではない。でも、前回90点だった人が100点を目指そうとするなら、そこに必要な労力と時間はたいへんな量になる。点数の上げ幅は同じ10点でも、その難易度はまったく異なるのだ。

 リスクゼロとは、セキュリティー対策において100点を目指すことである。まず無理だ。

 だから、リスクの受容水準(どのくらいまで、リスクを引き受けられるか)を決める。一律に決めるわけにはいかない。これは組織によって違うものだからだ。信用が大事な商売だから多大な努力を支払ってもリスクを引き下げたい企業もあるし、速度やダイナミズムが必要な仕事なので、あえて受容する水準を高く設定する企業もある。

 これは企業にとって最重要に近い意思決定なので、受容水準は必ずその組織の最高責任者か、それに準ずる者によって行われる必要がある。セキュリティー対策のチームに経営層が入っていないとダメ、といわれるのはこのためだ。

 受容水準を決めたら自組織のリスクを分析して、水準を超えてしまっているリスクを水準内にとどめる活動を始める。これがリスク対応であり、セキュリティー対策の要である。

 リスク対応には①回避②移転③保有④最適化—四つの類型がある。

 回避はリスクそのものをなかったことにしてしまう。良さそうに見えるが副作用も大きい。会社がつぶれるのがいやだから先に会社を畳んでしまう、といった類いの大胆な施策だからだ。

 移転はリスクを誰かに押し付ける。本当は自分がしでかした不始末を、他人に謝ってもらったりした黒歴史はないだろうか。それはリスク移転である。もっとも、ビジネスの現場で代わりに謝りに行ってくれるような都合のいい人はいないので、これにはお金の流れが伴う。端的な例が保険で、普段、保険料を支払っておけば、いざというときに代わりにお金を払ってくれる。

 リスク保有はリスクを持ち続けることだ。知らないのではなく、分かった上で何も対策しないのである。対策費が高騰して、「損害を出してそれを補填(ほてん)した方が安上がり」な状況や、逆に予想される損害が軽微すぎて、「いちいち対策していたら、かえって手間」といった状況で用いられる。

 リスク最適化はコピーを取るなどして、「こっちがダメになっても、あっちがある」状況をつくっておくことである。データのバックアップなどはリスク最適化の例である。

 あの手この手でリスク対応をして、受容水準内にリスクを収めるのだ。

 ところが、まるでリスクをゼロにできるかのように振る舞うことが、個人でも組織でも増えた。ちょっとでもリスクがあるとクレームをつけ、無策をなじり、責任を取らせようとする。

 受容水準を超えたリスクを放置する企業や自治体を批判するのは当たり前だ。しかし、リスクがゼロでないからといって、そこで一暴れするのは全然当たり前ではない。クレームを恐れてすべての組織がリスクゼロを形の上だけでも目指すようになれば、湯水のようにリソースを浪費してしまう。そして最悪なのは、それだけやってもリスクはゼロになることはないのだ。

 リスクは適切に管理するものであって、ゼロにするものではないということは、もっと知られてもいいのではないかと思う。

【筆者略歴】

 岡嶋裕史(おかじま・ゆうし) 中央大学国際情報学部教授/学部長補佐。富士総合研究所、関東学院大学情報科学センター所長を経て現職。著書多数。近著に「ブロックチェーン」(講談社)、「いまさら聞けないITの常識」(日本経済新聞出版社)など。

あなたにおススメの記事

関連記事

スポーツ

ビジネス

地域

政治・国際

株式会社共同通信社