コストとリスク、なぜ人間は悪い方を選択してしまうのか（2/2 ページ）

[吉田育代，ITmedia]

リスクを「自分ごと」だと思えない人間の本能

　では、なぜ人間はリスクを「自分ごと」だと思うことがこれほど難しいのか。その理由は幾つかあるが、稲葉氏によると、主要な要因の一つは対策に掛かるコストだという。これは金銭の問題だけではなく、人材や個々人の時間といったものも含まれる。これらを使いたくないという心理的な抵抗が、「自分ごと」認識を妨げる壁になっている。

　人間の行動には損失を回避しようという心理が働いている。稲葉氏によると、利益に対して人間が感じる価値はプラスではあるがその伸びがわずかであるのに対して、損失に関して感じるマイナスの価値、つまりネガティブな感情は非常に大きいため、人間は損失を回避する行動を取ろうとするのだという。

　また人間は確率的な損失より確実な損失を嫌う傾向にある。稲葉氏は講演の受講者に対して以下の質問を投げかけた。

　「あなたは『A．100％の確率で1000万円の損失』または『B．10％の確率で1億円の損失』のどちらかを選択しなければなりません。リターンのことは考えず、損失が発生することだけを考えてください。どちらを選びますか」

　読者の皆さんはどちらを選んだだろうか。稲葉氏によると、一般的にはBを選ぶ人が多いという。それはAが確実な損失だからだ。リスク対策にはツールの購入や担当者の雇用、従業員の時間を使うなど、確実な損失が伴う。一方で事故や事象は起こるかどうかが分からない。

　「われわれは確実な損失より、確率的な損失を選ぶ傾向があります。これは目の前のことにとらわれやすいという心理的な特徴によるものです。誰でも長期的な視点を持つことが難しく、対策にコストをかけてもすぐにリターンは得られないことから、近視眼的に考えてしまいがちです。そうして『コストも嫌だが、リスクも嫌だ』という『コストの壁』のジレンマに陥ってしまいますが、『自分には関係ないのでは』と考えることで、このジレンマを脱しようとします。これは中小企業だけでなく大企業でも起こり得る問題です」（稲葉氏）

リスクを「自分ごと」と考えてもらうためにできることとは何か？

　この状況を改善するのは一筋縄ではいかない。損失を嫌う心理やジレンマを辛く思う気持ちは本能であり変えられず、リスクを「自分ごと」と考えさせる“魔法のつえ”は学術的には示されていない。

　しかしセキュリティポリシーなどの違反者に強い罰則を課すことは心理的抵抗を生むため、慎重に考えなければならない。「『自身の裁量を脅かされている』と従業員に思わせることは逆効果で、かえって違反行為を誘発する」と稲葉氏は指摘する。強い罰則を科すことで、従業員がシャドーITに手を出し、把握が難しい脆弱（ぜいじゃく）性を生む“タネ”になるような事態は避けるべきだ。技術的対策を強化すればいいという考え方もあるが、これも完全ではなく必ず“抜け道”が生じるだろう。

　稲葉氏はこれに対し、完璧なアプローチはないとした上で「長期的な視点で物事を考える」ようにし、コストを掛けてリスクを回避する傾向を高めることを推奨する。

　「ここで活用できるのは“従業員は直属の上司を見ている”という習性だ。事業部門の従業員にとって情報システム部門や経営トップは遠い存在だが、上司の心象を損なったら本業の評価にも響くかもしれないと考え、上司から問題視されないように行動することは投資と考え、その投資を自ら選択するはずだ」（稲葉氏）

　ではその上司をどう動かすかというと、その上の上司に期待するしかない。そのように職階を昇っていくと最終的はは経営層に行きつく。稲葉氏は「そのため経営層への働きかけに力を入れる価値はある」と話す。

　経営層にサイバーリスクに対して長期的視点を持ってもらうことも簡単ではない。一番効くのは“外圧”だが、中から働きかけるのであれば、事故や事象対応の経験者を取締役などの待遇で迎えたり、経営層が実現したいビジョンにサイバーマネジメントを徹底的にからめて訴えてはどうかといったアイデアを稲葉氏は提供した。