2015年5月、日本年金機構から大量の個人情報が漏れるという事件が発覚した。報道によれば、情報漏洩が発覚してから17日間、幹部には知らせず、担当係長までで対応していたといい、リスク・マネジメントの甘さが浮き彫りとなった。
そもそもリスク・マネジメントとは、リスクを管理する活動であり、リスクの把握やコントロール、リスクの回避や分散、リスクによる損害の予防や最小化を目指す。よく似た言葉に危機管理(クライシス・マネジメント)があるが、これはトラブルが起こった後にいかに損害を少なくそれを終息させるかという活動を指す。リスク・マネジメントがトラブルの防止や再発防止まで含め、事前・事後にわたって長い時間軸で考えるのに対し、危機管理は短い時間軸での対応を意味する。その意味で、危機管理はリスク・マネジメントの一部と言える。
リスク・マネジメントでまず重要なのはリスクの把握だ。想定すべき範囲は広く、自然災害や事故のような外部要因もあれば、社内組織や従業員個人の違法行為や逸脱行為といった内部要因もある。
リスクを洗い出したら、その発生確率や影響度などを評価して、優先順位を決め、費用対効果を勘案しながら対策を決定する。難しいのは、比較的起こりやすい事象(リスクを統計的な問題として考えやすい事象)ではなく、めったに起こらないが影響の大きい事象に対する評価・対応である。たとえば、セクハラ問題に関するリスクへの対応は比較的実施しやすいが、首都直下型地震の評価や対応をどうするかの決定は難しい。
今回の年金機構の問題に関して言えば、そもそものリスクの把握やそれへの備えも甘かったという意味でリスク・マネジメントに不備があったし、トラブルが発生してからの対応にも問題あったということで短期的な危機管理もできていなかったと言える。
だが、我々は他組織の不備をあげつらうのではなく、これを他山の石とすべきである。自社においてリスク・マネジメントや危機管理の仕組みがしっかり構築されているか、ぜひ確認いただきたい。