ITリスクの本質と対応策
【後編】ITリスクに向き合う 必要なのは問題の可視化とリスクコミュニケーション

企業活動に求められるITリスクへの対応

ーー前回、ITリスクの特徴についてお話をお聞きしました。続いて、企業活動におけるITリスク対策について、お聞かせいただけますでしょうか。

現代は、リスク社会と言われるように、リスクというのは、21世紀最大の課題の一つと言えます。しかも、現在我々が抱える重大なリスクというのは、エネルギー対策としてのバイオ燃料が食糧危機を招いたように、あるいは、セキュリティ対策が新たにプライバシーリスクを発生させているように、リスク対策が生み出したものがほとんどなんですね。そういう意味でも、世紀をかけて解決しなければならない問題ですし、ITに限らず、どの分野でも必要な取り組みだと思います。

なかでも企業活動にとって、ITリスクというのは非常に重要な課題の一つと言えます。例えば、個人情報が漏洩した場合、かかり得る費用を概算してみると、それがどれほど莫大な額にのぼるかがわかります。謝罪広告の掲載、謝罪会見の設定、おわび状の作成・送付、顧客への補償、原因究明と本格的な対策の実施、社会的信用失墜や企業 イメージの低下に伴う経営上の損失、株価の下落、敗訴による損害賠償など、数十億から1,000億円もの費用が発生することになります。そうしたことからいまやITリスクは、企業にとって喫緊の重点課題であるといっても過言ではないでしょう。

特に、CIO（Chief Information Officer：最高情報責任者）やCISO（Chief Information Security Officer：最高情報セキュリティ責任者）の責任は重大でしょう。良い経営者というのは投資にしろ、新規事業にしろ、良い意味でのリスク感覚を持っているものだと思いますが、これからは、経営者やマネージャーが、ITリスクに対するリスク感覚を磨くことが重要になってくるのではないでしょうか。
先の個人情報漏洩なども、まずは、イベントツリー解析※1やフォルトツリー分析※2をやると、ある程度の対応策が見えてきます。関与者による情報の持ち出しの手口としては、USBメモリーのように物理媒体へのコピー、メールなどファイルへのコピーなど、いくつかのルートがあるわけですが、持ち出させないようにするためにどのような対策を打てば良いのか、まずは問題を可視化することが重要になります。そのうえで、リスクを定量化して、優先順位をつけて取り組んでいくことが肝要です。

※1 イベントツリー解析
事故の進展課程を成功、失敗の2通りで分岐させてツリー状に示し、事故の進展状況を知るための分析手法のこと。原子力産業で用いられ、現在では幅広い分野で活用されている。

※2 フォルトツリー解析
故障や事故など、好ましくない結果について、こうした事象が発生するための条件と要因を把握するための手法。

多重リスクコミュニケータ（MRC）とは

ーー次のステップとしてリスクコミュニケーションによる合意形成が必要だというお話を、前回伺いました。ただ、さまざまなステークホルダーによる合意形成というのは、なかなか難しそうですね。

ええ、そのために、我々は「多重リスクコミュニケータ（MRC: Multiple Risk Communicator）」という、ツールを開発しています。これは、多くのリスクやコストを制約条件とする組み合わせを最適化問題として定式化するためのものです。多くのリスクが存在する中で、一つの対策だけでは目的が達成できないとか、関与者間のリスクコミュニケーションが必要な際に役立つ道具と言えます。

例えば、個人情報漏洩対策の制約条件には、コスト（管理者側）、個人情報漏洩確率（ユーザー側）、働きやすさ・利便性負担度（従業員側）といったものを挙げることができます。ユーザー側にとって情報漏洩は許されないことですが、一方で、管理者側としてはかけられるコストは限られているし、従業員としても個人情報対策をすればするほど働きにくくなるようでは困ってしまいます。そうした立場の違う関与者の合意形成のために、制約条件の値を少しずつ変化させることにより、費用対効果などを可視化することができるようになっています。つまり、MRCを使えばお互いにこの辺りで良いか、という落としどころを探ることができるんですね。実証実験の段階ではありますが、すでに世田谷区役所の個人情報漏洩対策問題や内部統制問題などに用い、その有効性を確認しました。

面白いのは、MRCを使ってみると、最初は関与者間の意見が対立していたように見えても、実際に値を入れてみると、意外に結果に大きな違いがないなど、直感とは違う結果が導き出される点です。合意形成のプロセスが可視化できることから関与者の満足度が高い、というのも大きな特長と言えるでしょう。
現状のMRCは、関与者は数人程度を対象としているのですが、次の課題として、現在我々は、社会的合意形成に活用できるような、数千人を超える人を対象としたソーシャルMRCの開発にも取り組んでいます。この場合、最初から何千人というすべての人を対象にすることは難しいので、2階層構造を採用しています。
具体的には、まず数人のオピニンオンリーダーにさまざまな意見を言っていただき、その様子を動画共有サービス上で流すとともに、MRCの解析結果を表示します。そのうえで、オピニオンリーダー以外の一般の関与者には、Twitterを改良したシステムで意見を投稿してもらったり、投票をしてもらったりします。また、投稿された意見の中から代表的な意見を、マシンラーニング技術を使って自動的に抽出することも可能です。

図 Social-MRCの出力画面の一例

すでに100人程度の規模で実証実験を行っていて、子どもに対する情報フィルタリングについて議論を交わしました。具体的には、そもそも情報フィルタリングをすべきかどうか、プロバイダに対策を求めるか、あるいは罰則をもうけるか、父兄に対する教育を実施するか、子どもに対する教育が必要か、など、いくつもの解の組み合わせの中から、最適解を見つけていくわけです。 実際にやってみると意見の集約自体は難しいものの、議論を深めるツールとしては大いに役立つと確信しました。今後、ITリスク以外でも、住民参加型のまちづくりや視聴者参加型のテレビ番組など、さまざまな分野でも活用できるのではないかと思います。

統合・融合型アプローチによる「ITリスク学」の確立へ

ーーさらに佐々木先生は現在、ITリスク学の確立と体系化に取り組んでいらっしゃいます。これはどういう学問なのでしょうか？

2008年5月に、日本セキュリティマネジメント学会の中にITリスク学研究会を立ち上げ、多くの研究者の協力の下に問題の早期解決、効率化を図りたいと、取り組んできたものです。その定義は、次の通りです。

「不正によるものだけでなく、天災や故障ならびにヒューマンエラーによって生ずるITシステムのリスクおよびITシステムが扱う情報やサービスに関連して発生するリスクを、リスク対策の不確実性や、リスク対リスクの対立、関与者間の対立などを考慮しつつ学際的に対処していくための手段に関する学問」

従来のようなセキュリティだけでなく、ITシステムのサービスに関するリスクも対象としたもので、プライバシーユーザビリティなども含んだ広い学問体系となっています。また、脳科学がそうであるように、この学問は分離独立型ではなく、さまざまな学問分野が融合した統合・融合型のアプローチを取るものであり、日本発の学問でもあります。
具体的な構成としては、基礎となる学問として、情報セキュリティ、信頼性・安全性工学、情報工学・ソフトウェア工学、さらには心理学・社会学・経済学などで構成されています。また、リスク学や安全学のアプローチも取り入れています。

図 ITリスク学の構成（Version3）

なかでも我々が取り組んでいるのが、この学問の核となるITリスクマネジメントです。これは狭義のITリスクマネジメントとITリスクアセスメント、ITリスクコミュニケーションを対象とするもので、リスク対リスクや、関与者の対立を考慮しつつ実施し、社会や組織にとって安全なITシステムの構築と運用を可能にしたいと考えています。具体的に、ITリスクコミュニケーションの対象を分類すると、以下のようになります。

図 ITリスクコミュニケーション対象の分類

「個人的選択」とは、個人個人がリスク情報を吟味し、どのように行動するかを決定するためのもの。「組織内合意形成」とは、企業などの組織がとるべき対策を決めるためのもの。そして「社会的合意形成」とは、どのような行動をとるかを、社会全体として決定するためのものを表しています。こうやって分類してみることで、それぞれにどのような対策が必要で、どのような支援システムを構築すれば良いかが見えてくる、というわけです。

ITリスクに携わる人材に求められること

ーー多重リスクコミュニケータ（MRC）といったツールの開発も進み、またITリスク学という学問が確立されつつあることで、ITリスクへの対策が整いつつあるようにも思いますが、人材という点ではいかがでしょうか？

経済産業省は、情報セキュリティを担う人材が2万2千人不足していると推計しているように、ITリスクに関する高いスキルをもった人材はまだまだ不足しています。また、MRCを動かしていくための調整役、すなわちファシリテーターのような存在も必要です。そういう意味では、日立のような企業ができることは、まだまだあるのではないでしょうか。単にセキュリティのための商品を売るだけでなく、トータルでどういう解の組み合わせが良いかということをコーディネイトして提案していくには、専門性だけでなく、幅広い知識と経験、総合力といったものが不可欠です。まさに、トータルエンジニアリングを手掛ける日立に求められる仕事と言えるでしょう。

また、CIOやCISOなどの意思決定者のITリスクリテラシーを向上させることも、重要な課題でしょう。日本の企業風土のなかでは、専門性を携えたCIOやCISOが育ちにくいのですが、今後はそうした現状を変えていく必要があるのではないでしょうか。

たとえば、アメリカなどでは、いったん社会に出た人材が、ふたたび大学院に戻って先端の仕組みを学び、また社会に出ていく、ということが普通に行われています。そうしたサーキュレーションができるようになると、現場に専門性を携えた人材をより多く輩出することができるようになるでしょう。実は東京電機大学でも、2013年にサイバー・セキュリティ研究所を設立し、「サイバーテロ」対策のサイバー・セキュリティ技術を総合的に開発・普及をめざす活動に取り組み始めたところです。こうした研究機関と産業界の連携というのも、今後の課題と言えます。
現状では、まだまだリスクの定量化を嫌がる企業が多いのが実情です。とはいえ、社会的要請の大きい問題であり、説明責任を果たすうえでも、企業にとって、今後、リスクの定量化は避けて通ることはできません。またそうした取り組みをきちんとしている企業であればあるほど、競争力を増すことになるはず。そうした活動に、日立の総合力が生かされていくことに期待しています。

（取材・文＝田井中麻都佳／写真＝秋山由樹）

取材後記）
「ゼロリスク」は存在しない――今回の佐々木先生の取材で、もっともハッと気づかされた言葉です。起こるか起こらないかわからない事柄に対して、単に恐怖心や勘で動くのではなく、定量的な評価のもと、バランスの取れた行動を取ることの大切さを学ぶことができました。また、対策が困難な問題だからこそ、関与者同士のコミュニケーションでしか解決し得ない、という知見は、ほかの社会課題解決にも通じる話だと思います。ITリスク学のさらなる発展に期待しています。

このシリーズの連載企画一覧

「オープン・イノベーション」と日立の協創>
IoT×経営>
「オープン・イノベーション>」成功の条件
リーン・スタートアップ×経営>
社会を変えるM2Mビジネス>
ビッグデータ活用の鍵>