Cyber NINJA Archives

2016年からの旧ブログを整理・修正して収納します。

リスクマネジメントのパラドックス

 大手旅行会社にサイバー攻撃があって、800万人近い顧客の情報が流出したかもしれないと報道されている。聞くところによると、昨年の日本年金機構が被害にあったのと似た手口らしい。日本年金機構事案の実態については、内閣サイバーセキュリティ本部が詳しい分析結果や対策案を公表している。

http://www.nisc.go.jp/active/kihon/pdf/incident_report.pdf

 サイバーセキュリティ対策は、企業にとっての新しいリスクマネジメント項目になってきたようだ。企業は多くのリスクにさらされている。不良製品が出回れば信用を失墜するし、特許侵害などで訴えられれば損失をこうむりかねないし、資金運営を間違えれば不渡り手形を出して倒産ということもある。それでも、このように古典的なリスクマネジメントは真面目な日本企業はおおむねできている。
 
 
 今世紀になって、いくつかの新しいリスクが企業にのしかかってきた。ひとつは「内部統制」である。2001年エンロン、2002年ワールドコムという大手企業が倒産したが、いずれも不正・粉飾会計を行っており、株主ほか多くのステークホルダを巻き込んだ事件になった。
 
 その対策として米国で制定されたのがサーベンス・オックスレー(SOX)法で、企業の内部統制強化が求められた。日本でも、金融商品取引法が制定されて、その中に類似の規制が盛り込まれている。

 また9・11テロで貿易センタービルが倒壊したが、このビルで営業していた金融機関がバックアップ施設を使ってその日のうちに事業を再開するというトピックがあった。いわゆる「事業継続」である。日本でも、2007年の中越沖地震である自動車部品メーカが被災、その部品のシェアが高かったことから自動車メーカが操業できなくなる事態を招いた。これを契機にインフラ企業や製品シェアの高い企業に、バックアップ設備や回復訓練を行う機運が生まれている。

 さて、実際に内部統制や事業継続に取組み始めると、パラドックスにさいなまれることになる。つまり、真面目に取組めば取組むだけ、新しいリスクが見えてくるのだ。工場建屋の耐震が完成すると、電力設備はどうか?給水口は?前の道路が通行止めになったら・・・と無限にリスクを思いついてしまうのである。
 

     f:id:nicky-akira:20190413164744j:plain

 普通の仕事は努力すればゴールに近づくのだが、努力するとゴールが遠ざかって見えるというのは、担当する人にとって苦しいことだろう。また、時には理解を示さない幹部に悩まされることもある。リスクマネジメント投資は直接的に利益を生まず、設備投資や開発投資のような回収が期待できない。経費扱いなので経理部長は年々削減を迫る。それでも見えてくるリスクは増えている。

 サイバーセキュリティ対策も、どうやったらいいかというのは年金機構事案などのおかげでぼんやり見えてきた。これからは、継続的に取組む体制をどう作るかというのがテーマになってくるだろう。
 
<初出:2016.6>