サイバー、AI、気候変動……経営層は「予期せぬリスク」に、どう対応するか？（2/2 ページ）

[中澤幸介，ITmedia]

DIKIで変化への迅速な対応が可能になる

　ISO／TC31050では具体的な環境の変化として次の6項目を例示している。（1）自然災害（異常気象）、（2）IoT／モノのインターネット（サイバー）、（3）抗菌薬耐性（健康）、（4）人工知能（AI）、（5）自律型機械（サイバー、AI）、（6）気候変動・移行リスク。ほかにも、日本なら人口減少と超高齢化社会なども挙げられるだろう。こうしたダイナミックな状況変化が、自分たちの組織にどのような影響をもたらすのかを考え、変化に応じてリスクマネジメントプロセスを回していくことが求められる。

　具体的な手法として、ISO／TS31050では、検証可能なデータや情報を蓄積しながらリスクを管理していくインテリジェンスサイクル「DIKI」の重要性を強調している。DIKIとは、Data（データ）、Information（情報）、Knowledge（知識）、Intelligence（インテリジェンス）の頭文字をとった言葉である。変化するデータを集め、それらから読み取れることを情報として整理し、知識として蓄積する。最終的には対策に役立つインテリジェンスにするという概念だ。

　さらに、新たなリスクの特定にあたっては、組織内だけでは知識や経験が不足していることから関係者・専門家を巻き込むことや、多角的な視点で分析をすること、さらには、リスクの組織への影響について時間軸を考慮した複数のシナリオで分析してみることなどを推奨している。多角的な視点での分析手法としてはPESTLEが有名だ。Political（政治的）、Economic（経済的）、Sociological（社会的）、Technological（技術的）、Legal（法的）、Environmental（環境的）の頭文字をとったもので、こうした要素で状況の変化を読み解けば、自社へのさまざまなリスクが浮かび上がる。

　リスクには、プラスとマイナスの意味の双方が含まれる。リスクマネジメントの国際規格であるISO31000によれば、リスクは「目的に対する不確かさの影響」とされる。影響とは。期待されていることから乖離することをいう。例えば、いつまでにどこに向かおうという目的があるならば、その目的達成を阻む不確かさをもたらすものがリスクとなる。途中に豪雨があって、大幅に目標時間が遅れるなら、大雨がリスクとなる。しかし、影響はマイナスのものだけとは限らない。例えば、途中で、思いがけずに目的地まで車に乗せてくれる人が現れたら、それもリスクといえる。

　VUCA時代において、予期が難しいさまざまなリスクに対処しながら企業が成長を続けていくことは困難だといえる。しかし、ISO／TS31050のフレームワークを理解してリスクマネジメントに取り組めば、状況の変化をいち早く読み解き、新たに出現するリスクに対処できる。エマージングリスクとされる気候変動にしても、AIにしても、opportunity（機会）としてのリスクがある。まずは企業がどのような姿を望むのか目的を明確にして、その上で、内部・外部の環境の変化に目を配り、専門家の意見も入れながら多角的にリスクを分析・対処していくことで、成長への道が開けるはずである。

著者プロフィール：中澤 幸介（なかざわ・こうすけ）

2007年に危機管理とBCPの専門誌リスク対策.comを創刊。

国内外多数のBCP事例を取材。

内閣府プロジェクト「平成25年度事業継続マネジメントを通じた企業防災力の向上に関する調査・検討業務」アドバイザー、平成26〜28年度　地区防災計画アドバイ ザリーボード、国際危機管理学会TIEMS日本支部理事、地区防災計画学会監事、熊本県「熊本地震への対応に係る検証アドバイザー」他。講演多数。

著書に『被災しても成長できる危機管理攻めの5アプローチ』『LIFE　命を守る教科書』、共著・監修『防災＋手帳』（創日社）がある。