リスクマネジメント
ネットで検索すると「リスクを組織的に管理し損失などの回避又は軽減を図るプロセス(ウィキペディア)」、「営業活動に伴うさまざまな危険を最小の費用で食い止める経営管理活動(大辞林:第3版)」等とあります。
いずれも正しくはある一方で曖昧であり、ある分野での具体的な使い方や考察をするには不十分であり、筆者なりに補足してみた内容を以下に述べます。
IT分野においての「リスクマネジメント」は従来、リスク発生の「抑制」にのみ注力し、「発生させない」事を目標にコスト・時間をかけて対応(構築)してきました。しかし各種システムが社会のインフラを中心的に担う状況になってきた現在は、「システムに故障はつきもの」で「人はミスをする」事を前提に考えると、重大な障害が発生した場合を想定して検討・準備する事(危機管理)の重要性はより増しており、リスクマネジメントの定義自体も進化を求められていると考えます。
具体的にはリスクマネジメントの概念を拡大して考え、その中身は平常時における「従来型のリスクマネジメント【①リスクの特定 ②発生の抑制】」だけでなく、非常時における「危機管理【③事態統制 ④被害極小化 ⑤平常への回復】」についても、日頃から十分に検討かつ計画することが必要とされている事を認識しなければなりませんし、他の分野を含めて世の動向もその流れにあると感じています。
セキュリティ分野においても同様で、従来型の規準であるISOにおいては、リスクを「特定」「防御」して侵入を防止する為の対策(従来型のリスクマネジメント)が中心でしたが、NIST SP800シリーズに代表される最近の規準では、それに加えて侵入された場合を想定して「検知」「対応」「復旧」する為の対策(危機管理)が求められています。
また、今回の東証でのトラブルをリスクマネジメント視点で考えると、「ハード故障の原因」や「切替え失敗の原因」をきちんと解明し、再発リスクの低減を図ることは当然として、事態発生後の(危機管理としての)対応が十分であったかをBCPに沿って分析(影響範囲の想定、利用者との事前合意内容、停止判断基準などの評価)する事が、より重要になるのではないかと考えます(今回は「再発防止策検討協議会」で議論される模様ですが、その結果の社会への公表及び共有が期待されます)。
