例会部会
先号  次号

第217回PMAJ例会報告

増澤 一英 [プロフィール] :2月号
【データ】
開催日: 2016年12月16日(金)  19:00~20:30
テーマ: 「サイバーリスクのマネジメント」
 ~コンプライアンスとしての安全安心~
講 師: 浅沼宏和氏 (株式会社TMAコンサルティング代表取締役、浅沼総合会計事務所長、税理士、公認内部監査人、ドラッカー学会会員。ドラッカーマネジメントに関する著書、講演、セミナー多数)

【第217回例会 報告】
~講演概要~
 今月の例会では、ドラッカーマネジメント論の第一人者、浅沼宏和様にご多忙な中をお越しいただき、サイバー空間で急増するリスクに対処するためのリスクマネジメントのお話しを伺いました。

1.コンプライアンスが重要視される社会
コンプライアンスは「法令遵守」ではなく「法令”等”遵守」と理解することが実態に合っている。法令以外では社会のルール、特に多くの人が共有する“社会常識”が大きな意味を持つ。たとえ法律を守っていても、多くの人が“非常識”と感じる企業行動は許されない。非常識な行動は法的制裁以上に社会的制裁のダメージが大きい。
コンプライアンスの考え方としてドラッカーの「野獣の原則」が参考になる。簡単に言うと「知っていることについては責任が生じる」という意味で、コンプライアンスの範囲をできる限り広く捉えることが重要という意味。

2.2011年がサイバー元年
2011年以降、「サイバー○○」の記事が紙面を賑わせるようになり、小企業を踏み台に大企業を乗っ取るなど、いくつもの事件が発生している。サイバーリスクが社会常識になったという点からいえば2011年が「サイバーセキュリティ元年」と言えるかもしれない。
サイバーリスクの定義は少し漠然としている。サイバーリスクとは、個別の情報や社内システムへの影響を超え、脅威が大規模に拡大・波及するリスクである。経営者の「知りうる」リスクとして認識し、会社や組織のコンプライアンスに問題が波及しないようなリスクマネジメントが求められる。

3.サイバー空間での安全運転
情報セキュリティは、CIA(機密性-Confidentiality、完全性-Integrity、可用性-Availability)を確保する事で情報資産の安全を実現するという明確な定義がある。ところがサイバーセキュリティには明確な定義があるわけではなく、情報セキュリティのCIAを、サイバー空間上で実現するためのセキュリティ問題として捉える傾向が強い。
しかし、サイバー空間のリスクは情報セキュリティのCIA基準だけでは収まり切らないものがある。講師は、より広い観点からサイバーリスクを考えるため、あえてサイバーセキュリティではなくサイバーリスクのマネジメントという言い方をされている。
サイバー空間の安全・安心をいう場合、安全とは安全基準をクリアしていること、安心とは安全性への信頼のことである。安全は品質の一種であり、安心は顧客満足の一種と捉えることが可能であり、安全・安心は通常のマネジメント上の問題の一つとして理解できる。したがって、サイバーリスクのマネジメントという視点が成り立つ。
サイバーリスクには多様なものがあり、年々その種類が増加している。しかもサイバーリスクは単なる情報技術上の問題を超え、人間の弱点(知覚能力・判断力)をついた攻撃も多数みられるようになっている。専門家の間では「サイバー攻撃を100%防ぐことはできない」ことは常識化している。
こうした状況下でサイバーリスクを捉える場合に有効になるのが、「サイバー空間での安全運転」という視点である。どれだけ慎重に運転しても不慮の事故に巻き込まれる可能性はある。だからといって無謀な運転をしてよいわけではない。安全運転を心がけることで些細な原因による事故を防ぐことができる。サイバーリスクについても同様な考え方が必要である。つまりサイバー空間での注意深い行動=安全運転が必要なのである。

4.リスクマネジメント
サイバーリスクに対処するためにはリスクマネジメントの基本を押さえなければならない。リスクマネジメントの基本は、リスクの認識、評価、対応の3つのステップを確実に行うことである。
第一に、最近のサイバー攻撃の動向などについて知っておくことが必要である。こうした知識によって、自社を取り巻くサイバーリスクを識別することができる。
認識したリスクを評価する場合、発生可能性と影響度(損害の大きさ)の2軸で評価するのが基本である。こうしてリスクの重要度を評価することで、取り組むべき優先順位を決めることができる。
リスクを評価した後には対応方法を考えなければならない。リスクの対応方法は、回避、移転、低減、受容の4つである。
「回避」は原因となる行動そのものを止めることだが、現代ではサイバー空間の利用は不可欠であり、回避という対応方法は選択できない。
「移転」とは保険や外注化により、リスクを他組織などに転嫁すること。最近では情報漏洩保険なども充実してきており、最低限の移転は行う必要がある。
サイバーリスクのマネジメントの取り組みの中心は「低減」である。さまざまな予防策によってリスクの発生可能性、発生した場合の損害の軽減を図る取り組みである。
「受容」とは、リスクを評価した結果、各種の対応コストと発生した場合の損害、発生確率を良く比較し、対応コストが見合わないと判断した結果、あえて対応しないと決める行動である。受容は「放置」とは全く異なるものであることを認識すべきである。放置とは知っていても手を打たないことであり、それは「コンプライアンス上の問題」となる。表面的には同じように見えるが、「受容」は積極的な行動であり、「放置」は消極的な行動と言える。
サイバーリスクに対しては、脅威を完全に予期する事が難しく、脅威を回避する完璧な軽減策も難しい。防ぐことができないサイバー攻撃に対して、「無傷ではいられないが致命傷を負ってはならない」という基本姿勢が重要である。情報流出や電子機器攻撃によって、自組織やステークホルダーにどのように影響が及ぶかの顛末を、評価、管理する姿勢と言える。
サイバーリスクの脅威に対して、幅広なコンプライアンス対応の意識を持つことが顧客満足につながる。サイバーリスクへの意識の欠如は、「サイバー無策は高くつく」という結果を生む。
サイバーセキュリティではなく「サイバーリスクのマネジメント」と認識することで上記のような具体的視点が得られる。

~まとめ~
 サイバーリスクの本質が理解できた。一方で、攻撃の裏に隠された不正な意図は、なかなか可視化ができない。
 サイバー無策は高くつくという言葉の意味は、経営者がリスクの予知とそれらの軽減策を常に描くこと、である。コンプライアンスに抵触する事態の発生が事業者に致命的なダメージを与える。サイバーリスクの顛末に対する重大性を認識し、手広く、迅速に対応するという安心への心構えこそが大切な手段である。
 自分は立派なサイバー無策ということも認識できた。自分のPCやスマホ、これらにも、サイバーリスクへの対応が必要なのだ。

 講師のテンポのよい、ドラッカーのマネジメント論を盛り込んだ分かり易い説明で、現在の企業が晒されているリスク環境を改めて認識することができました。ご講演いただきました浅沼様に心からお礼申し上げます。

 本年最後の例会に多数お越し頂き、ありがとうございました。2017年もPMAJ例会をよろしくお願いします。

 最後に、我々と共に部会運営メンバーとなるKP(キーパーソン)を募集しています。参加ご希望の方は、日本プロジェクトマネジメント協会までご連絡下さい。

以上
ページトップに戻る