【提言】危機管理に有効な物理的防御策について

クマヒラ・営業本部営業企画部課長代理
      黒岩 達也

黒岩達也氏はじめに
 社会で活動するそのほとんどの企業は自社の持っている技術やサービスを提供しその対価を報酬としていただく。その活動や魅力に期待し、資金や技術、時には人的支援をおこない企業はなりたっています。それらのことから“会社”は自分たちのものだけではなく「ステークフォルダー」のために活動するといっても過言ではありません。
それらの活動を不祥事などの原因から訴追されたり、自然災害などで事業の継続が不能になるなど、ノンストップで事業継続を行う上で、様々な要因から守るために火災・地震・テロ・浸水の対策(以下、物理的防御策という)が必要となります。
企業が入退室管理システムをはじめとする物理的防御策を検討する際に重要となるのは“何のために導入するのか?”すなわち「導入の定義」が重要になります。
個人情報保護や情報漏えい対策について行政指導が厳しくなっているなか、法令や規則を遵守し、企業内でその体制を構築し運用することを求められています。企業活動の中で意思決定を行う場合、その活動が法適整合性(内部統制)や企業に及ぼすリスクの有無を検討する必要があります。
 企業におけるリスクとは企業内に点在する「価値」。その守るべき「価値」を損なうのが「脅威」となります。したがって「脅威」とは損なう力、すなわち「脅威」=「リスク」となります。
 近年、コンプライアンス経営とかCSRなど企業が社会とどのように関わって事業を営むかが問題となっている状況では企業の社会的役割を充分に検討し、いかに不祥事を起こさない社内体制と従業員のリスクに対する考え方や姿勢が重要になります。

価値に対するリスク対策について
 リスク対策とは守りたいもの(以下価値という)を損なう力(以下脅威という)から「どのように」「どれくらい」守るかを検討することをいいます。また、守るべき「価値」の性質や、置かれている場所、「価値」を損なう「脅威」の種類によって効果的な対策は違ってきます。
元々セキュリティとは「守りたいもの=価値」を脅威から守るために考えられてきました。しかし現代の「価値」は現金や物だけではなく、「情報」や「企業」そのものへと変わり金庫などに「しまう価値」だけではなく、データや技術といった「使う価値」になったことが大きく関係しています。

企業における危機管理について
   企業の社会的な関係が一層多面的になり、企業に対する社会の期待と評価は、より厳しくなり社会の期待に背く行為をとった場合、その企業に対する信頼感がなくなり短期間に崩壊することがあります。そうしたことから、企業はあらゆるリスクに対して様々な検討を行い実施しています。リスク(危険)と同じような意味合いで使用されるクライシス(危機)という言葉がありますが、リスク(危険因子)が少ないほどクライシス(危機の局面)を最小限に抑えることにつながります。
危機管理は大きく分けて二つの考え方があります。「リスクマネジメント」は、日常で起こりうるリスクを洗い出し、有効な予防策を立てることであり、一方、「クライシスマネジメント」は、万が一起こってしまった最悪の事態に備えて、被害を最小限に抑えるための対策をとることをいいます。

「価値」の変遷とリスクマネジメントについて
その企業が不祥事や事業の継続が困難になった際に、社会に与えるインパクトの大きさにより、その真剣度は変わってきます。たとえば、企業はビジネスを行う上で「法令遵守」を念頭に活動しています。また本年からは「内部統制」の施行により、企業活動の「透明性の確保」と「業務の効率化」といった活動状況の証明を「内部統制報告書」として報告する義務があります。そのため企業は自分たちの活動を第三者に監査してもらい、ルールを守って活動した言う証明をしなくてはならない。そこでもし、活動の透明性を確保出来ずにミスを指摘されることで、メディアからバッシングの対象となり、企業価値の喪失と言う形で大きな打撃を与えてしまいます。
元々セキュリティとは「守りたいもの=価値」を脅威から守るために考えられてきました。「大切に守り通してきた価値」から「誰でも利用できる価値」になると、その「価値」にたいする「脅威」の検討が非常に難しくなります。利用する価値の守り方はその種類や特性にもよりますが、様々な角度からの検討と、業務フローに沿った運用方法を検討する必要があります。

リスクマネジメントと物理的防御策の導入について
 価値の変遷とともに大きく変わったものが、「雇用体系の変化」です。従来、我が国の雇用体系は終身雇用制度が整備されていることもあり一度正社員として入社すると定年まで勤め上げるというのが一般的でした。しかし、昨今のオフィス環境は様変わりし、正社員・派遣・パート・アルバイトに加え、外国人や専門職を外部委託するなど、雇用体系の複雑さと、職種によってはフルタイム勤務とフレックスタイム勤務など勤務体系も複雑化され、通り一遍等の運営管理では困難な状態になってきています。企業全体のリスクマネジメントを包括的に管理し、均一的な運営するには様々な問題がありました。例えば本社の管理と同じ環境で支店も入退室管理システムを導入したが、使用方法の把握や、監視の目が行き届かないことから、不正通行や鍵の施錠などがおろそかになり、情報の持ち出しや盗難といった問題が発生したケースがあります。そんな状況下で入退室管理システムの導入一つ考えても、「人の管理」・「時間の管理」・「場所の管理」などを社内で決めたセキュリティポリシーに従い、末端の社員まで危機管理意識を徹底させ運用していくには単純なことではありません。

リスクマネジメントにおける物理的防御策の有効性について
 企業を取り巻くリスクとしては自然災害や火災や爆発等の原因による「財産の損失リスク」企業イメージの損失や営業や生産の中断による「収入の減額」などが考えられます。ある程度の情報収集で台風が接近しているとか、近いうちに大型の地震が発生するかもなどの情報収集をすることで、土嚢袋の準備を行えば回避できたリスクも情報収集の不備で損害を出してしまうことも考えられます。それと同じ考え方でセキュリティも検討するポイントがあります。たとえば遠隔地の支店や営業所の入退室履歴や鍵の使用履歴をモニタリングすると、一人の従業員が出勤しているのに入室履歴がない状況や、キャビネットを毎日利用しているのに鍵管理装置の履歴がないなど、履歴をモニタリング(情報収集)するだけで状況把握が可能となります。このように、入退室管理や物理的防御策の活用は企業内の不正行動の温床となりうる、情報収集に効果を発揮し、その情報を基に有効な対策を検討したり、従業員の指導・教育していくことで企業全体の啓蒙活動につながり、その地道な活動自体がリスクマネジメントにつながると考えられます。  

(セキュリティ産業新聞2008年9月25日号より)

戻る