今日書きたいことは、「世の中にはリスク管理の考え方が苦手な人が結構な数いて割と困る」という話です。よろしくお願いします。
「リスクアセスメント」って皆さん聞いたことありますか?
なんかアセスメントっていうと小難しい感じの言葉になりますが、要はある物事についてのリスクの評価をする為の手順っていうかやり方みたいなもんでして、ざっくりと
「どんなリスクがあるかを考える」
「そのリスクの大きさや発生確率について考える」
「そのリスクに対してどう対応するか、あるいはしないかを考える」
というようなプロセスで進めるものなんです。
私が知っている限りだと、情報セキュリティマネジメントの一分野としてまとめられているものが一番分かりやすいです。
IPA(情報処理推進機構)のページで読めます。色々面白いです。
https://www.ipa.go.jp/security/manager/protect/pdca/risk_ass.html
https://www.ipa.go.jp/security/manager/protect/pdca/risk.html
これ、情報システム開発の時だけではなく、本当に色んなケースに応用して考えることが出来るんで、知らない人は是非一度読んでみて頂きたいと思うんです。
上のリンクの、「リスク対応」のページを見てみて頂きたいんですけど、リスクに対する対応方針って、ざっくり分けて4つあります。
「リスク保有」「リスク低減」「リスク回避」「リスク移転」の4つでして、リスクの重大性やリスクの発生可能性、それぞれの対応コストなんかでどれを選択するかを決めます。
それぞれどういうものかをこれもざっくり説明しますと、
「リスク回避」は、根本的にリスクが発生する可能性をなくすこと、リスク自体をゼロにすること。
リスクが現実になる可能性が大きく、その場合の被害があまりに大きい時に選択します。
「リスク移転」は、リスクを他の組織に移すこと。
例えば保険なんかがこれに該当しまして、リスク顕在化時に保険金がおりることで発生した金銭的被害を抑える、というようなことです。
「リスク低減」は、何かしらの対応を行うことで、リスクの顕在化可能性を下げること。
通信機器を冗長化して両方同時に故障するリスクを下げる、みたいな方策はこれです。
「リスク保有」は、リスクの重大性がそれ程大きくない、ないし対応コストが顕在化時の被害に比べて大きすぎる為リスクを許容すること。
リスクの存在は認知するけれど具体的な方策はとらない、といった対応、というか非対応です。
まあ、ざっくりした説明なんで細かいところは勘弁してください。気になる人はIPAのページとか精読するといいと思います。
***
上記四つは、勿論どんなリスクかによっても変わってくるんですが、大まかには上に行く程リスクに対する効果が高く、コストも高くなっていきます。
例えばの話、「山火事」というリスクについて考えてみましょう。
「リスク回避」は、根本的に山火事というリスクをなくす為の方策です。
「山にある山林を全部伐採してしまえば燃えるものが無いから山火事は起きない」とか、「山林を丸ごと手放してしまえば自分のリスクはなくなる」とか、感覚的にはそういうレベルの対応になります。
「リスク低減」は、例えば山への人の立ち入りを制限するとか、監視を強化してスムーズに初期消火出来るようにする、部分伐採して延焼に対する緩衝地帯を設ける、といった対応がそれに該当するでしょう。
大規模な山火事の発生可能性は減りますがゼロにはなりません。まあ穏当なところです。
「リスク移転」は、山火事に対する保険に入って山火事が起きたらお金をもらえるようにするとか、山の管理を別組織に委託してそっちに全部任せる、とかがそれに該当するでしょう。
「リスク保有」は、文字通り、山火事が起きることなんてそうそうないから取りあえずほっとく、発生した場合の被害はしょうがないから許容する、という対応です。
これ、ちょっと考えて頂けばわかると思うんですけど、「リスク回避」ってかかるコストがバカ高くてあんまり現実的でない場合が多いんですよね。
リスクをゼロにする、ってめっちゃ大変なんです。
コストがかかり過ぎて、実際にはそのリスクが顕在化した時の被害額よりもコストの方が大きくなっちゃう、とか全然珍しくない。
だから、リスク回避が選択されるのは、ほぼ「当該リスク顕在化時の被害が本当に致命的過ぎて、絶対にそのリスク発生を許容出来ない」という場合に限られます。
リスク対応は、被害の大きさと発生可能性、コストとの見合いで対応方針を検討する。
それだけ言っちゃえば当たり前のことですよね?
ところが、世の中にはこの「リスクをゼロにするのはめっちゃ大変だから、適切なところで妥協する」という考え方が苦手な人が随分と多くって、そういう人たちは往々にして「リスク回避」以外の対応を認めなかったりすることがあるんですよ。
「リスクゼロ」以外が許容されなくって、ちょっとでもリスクが残っていると
「こういうケースがある!この時はどうするんだ!リスクを放置するのか!!」と言われたりするんです。
つまり、そういう人たちにとっては、リスク保有は勿論、リスク軽減やリスク移転さえ「リスクを放置している」というように見えるらしいんです。
リスクが「ある」ということ自体が許せない。リスク対応時の完璧主義ですよね。
完璧主義というのは、往々にしてコストオーバーに帰結します。
これ、私自身は、システム開発の仕事をしている時に頻繁に遭遇します。
例えばの話、ミドルウェアに由来するバグがあったとして、
社内のシステムだしバグの発生確率は低いしミドルウェアごと変えるのはめっちゃ大変だしパッチは出てないし、
まあ放置してもよかろうという判断をしたとして、「障害が発生したらどうするんだ!リスクを放置するのか!」と言ってくる人が大体いるんですよ。
バグ発生時に必要な対応は業務時間外の再起動であって金銭被害はゼロに近いですけど、その為にミドルウェアまるまる変えるんですか、みたいな話になるんです。
それでも、システム開発なんかはコストを明確に示しやすいし、被害発生時の損害も定量的に示しやすいんでまだ説得しやすいんですが、これが例えば医療問題とか、社会インフラみたいなフィールドになってくると、「リスクゼロ」を求められた時のしんどさってのもエラいことになっていくだろうなあ、と思ったりするんですよ。
例えばの話、「地下鉄の遅延リスクをゼロにしろ」と騒ぐ人がいたとしたら、それに対応する地下鉄側の人は相当しんどいことになりそうですよね?実際には、電車遅延時にそういうこと言ってる人結構観測出来ますけど。
***
話は全然変わるんですが、以前、生活保護の不正受給問題で、そういう「リスクとコスト」について考えたことがあります。
生活保護の不正受給って、いってみればシステム上の瑕疵、エラーリスクみたいなものですけど、「不正受給が存在するというだけで許せない人」って結構な数観測出来るんですよね。
言ってみれば社会制度上のリスクゼロ希求です。
不正受給って2015年度で言うと0.45%くらいで、勿論それが金額として軽いとは決して言えませんが、
「不正受給を丸々なくす為の社会的コスト」と比較してどっちがどれだけ大きいですかね、みたいな話は割と慎重に考えないといけない。
リスクをゼロにする為に制度丸々ひっくり返しますか、みたいな話って、基本的に皆幸せになれないと思うんですが、そういう主張をされる人も割と頻繁に見かけるんですよ。
なんなら、「リスク低減」としての生活保護の水際対策みたいな話だって、本当に生活保護が必要な人が弾かれちゃう、みたいな問題が発生している訳で、「リスクが許せない人」たちの声って結構影響力がバカにならないと感じているんです。
似たような構造の話は色々とありまして、例えば先日の築地市場移転の話では重要とも思われない豊洲の土壌リスクや環境リスクが声高に喧伝されたりしましたし、今年の台風では地方の水害リスクが盛んに議論の対象になりました。
そしてその度に、「リスクの存在が許せない人」たちが当該リスクを「放置していた」人たちに対して盛んに攻撃しました。
勿論のこと、それぞれのリスクにはコストに見合った適切なリスク対応が施されて然るべきですが、外野の人々が盛んに「リスクゼロ」を求めるケースってそこそこ地獄案件が多いと思うんですよ。
割と重要な認識として、「リスクをゼロにする為のコストは基本バカ高いので、あまり現実的ではないことが多い」ということは、一つの常識になってもいいんじゃないかなーと感じています。
勿論、リスクを指摘すること、それ自体は重要なんですけどね。
上手い「リスクとの付き合い方」って大事ですよね、という話でした。
さて、長々と書いて参りました。
最後に私が言いたいことを簡単にまとめると、
「リスク対応はコストとの見合いです」
「リスクと見るや思考停止して「このリスクをどうにかしろ!」「リスクを放置するのか!」と叫ぶ人が結構います」
「勿論ケースバイケースですが、コストを度外視してひたすらリスク回避を求めてもあまり皆幸せになれません」
「リスクについて検討する時は、保有・軽減・移転の選択肢も頭に入れておいた方がいいと思います」
上記のような話になるわけです。よろしくお願いします。
今日書きたいことはそれくらいです。
(文責-ティネクト株式会社 取締役 倉増京平)
ティネクトの地方創生支援-人の移住よりも知の移転-
ティネクトでは創業以来、数多くの地方中小企業様のお手伝いをさせてきました。地方では人材不足が問題と思われがちですが、実際は「人材」の問題よりも先に「知」で解決することが多いと感じています。
特に昨今は生成AIの台頭で、既存の人材とAIの協働の可能性が高まっており、実際それは「可能である」というのが我々ティネクトの結論です。
詳しくは
ティネクの地方創生支援特設サイト
ご覧ください
【プロフィール】
著者名:しんざき
SE、ケーナ奏者、キャベツ太郎ソムリエ。三児の父。
レトロゲームブログ「不倒城」を2004年に開設。以下、レトロゲーム、漫画、駄菓子、育児、ダライアス外伝などについて書き綴る日々を送る。好きな敵ボスはシャコ。
ブログ:不倒城
(Photo:dog97209)