OpenAIによってChatGPTが世にお披露目されたのが、2022年11月。その1ヶ月後、Googleのサンダー・ピチャイCEOが社内で「コードレッド（緊急事態宣言）」を出しました。Googleは何年も前からAI研究を進めてきたにも関わらず、その彼らの成果を大きく超える技術が発表されたこと、そしてGoogleのコアコンピタンスである「検索」を強烈に脅かす存在であったことがその理由です。その宣言から2ヶ月後の2月6日、独自の対話型AIであるBardを発表しました。

この一連の動きは、いわゆるエマージングリスク（新興リスク）の特徴を表すものです。なぜ、今回いきなりエマージングリスクの話をし出したのかと言いますと、実は、2023年10月にエマージングリスクマネジメントの国際規格ISO/TS31050（リスクマネジメント - レジリエンスを強化するためのエマージングリスクマネジメントのガイドライン）※が発行されたからです。今回は良い機会なので、このトピックに触れてエマージングリスクを解説します。
※正式名称：ISO/TS31050 Risk management — Guidelines for managing an emerging risk to enhance resilience

エマージングリスクとは、同国際規格によれば、組織の目的に大きな脅威や機会をもたらす可能性を持ちながらも、その新規性や、意思決定に必要なデータや検証可能な情報が不足しているリスクのことです。経済安全保障や地政学リスクが大きな課題になる今日、VUCA※という言葉が再脚光を浴びつつありますが、これらも、エマージングリスクを構成する要素の1つであると述べています。
※VUCA：Volatility（変動性）、Uncertainty（不確実性）、Complexity（複雑性）、Ambiguity（曖昧性）

その定義に鑑みれば、エマージングリスクにうまく対応できなかったがために淘汰の憂き目に遭った会社はたくさんあります。例えば、フィルムで有名なコダック社は、デジタル化の波に勝てず経営破綻しました。また、今でこそCPUで有名なインテルは創業当初、得意だったパソコン用のメモリ生産において、日本企業の台頭で風前の灯となった事例もまさにエマージングリスクです。さらに、ビデオレンタルのブロックバスターは、Netflixのようなオンラインストリーミングサービスの登場で淘汰されました。Docomoのi-modeも、AppleのiPhoneに追いやられたという意味ではエマージングリスクの犠牲者と言えるかもしれません。

逆にエマージングリスクにうまく対応できた事例ももちろんあります。例えば、富士フイルムホールディングスは、デジタルイメージング技術の波に溺れていく同業他社のコダック社を横目に、多角化を進め、自社のノウハウを創薬技術へ転用するなどしてビジネスモデルを変革させ、生き残ることに成功しました。新型コロナウイルス（Covid-19）もマクロ環境のあり方を恒久的に変えてしまったという意味ではエマージングリスクに相当しますが、そうした環境下で観光客が激減する逆風が吹く中でも、独自のモバイルアプリを発行し、顧客との接点を増やし、潜在顧客を増やすことに成功したのはアパホテルです。

と、まぁ同じリスクの中でも、エマージングリスクは、組織の生き死にに関わる影響力が大きい厄介なリスクです。そして、こうしたリスクにどう対応すべきかについて、数多くの有識者が言語化を試みてきました。私の中で最も印象深いのは、インテルの元CEO、アンドリュー・S・グローブ氏です。彼の著書「パラノイアだけが生き残る」には、インテルはエマージングリスクに気付くのがどれほど遅かったのか、どうしていれば気付けたのかなど、生々しい事例に基づく学びが書かれています。彼の出した答えの1つは、気になる技術が登場してきたら「10倍思考をしろ」です。「登場しつつある技術が10倍良くなったらどれくらい自分たちの脅威になるか」で物事を考えるべきだと唱えます。

そんなエマージングリスクマネジメントの対応の勘どころについて言語化・標準化に成功した（？）のが、先に紹介したISO/TS31050と言えるかもしれません。この規格は、リスクマネジメントの国際規格であるISO31000ファミリーの1つであり、エマージングリスクに対応できるようにするために、一般的なリスクアセスメントやリスク対応の考え方を、どう拡張させ組織に適用すべきかについて述べているものです。

では、どう適用させるべきだと述べているのか。詳細については近日、分かりやすい解説記事や動画（当社が提供する研修サービス「ニュートン・アカデミー・プラス」のeラーニング講座など）を提供する予定ですが、ここでも簡単に触れておきます。対応の要諦は大きく2つです。1つ目は、弱い兆候や初期の警告に関するデータをタイムリーに取得する仕組みを確立すること。そして2つ目はそうしたエマージングリスクが顕在化しそう、またはしてしまった際の対応力・回復力をどう評価し身につけるか。シンプルに言えば、「予兆検知」と「レジリエンス」です。これを実現する仕組みを、同規格はリスクインテリジェンスサイクルと呼んでいます。

カタカナ用語ばかりで分かりづらいと思われるかもしれませんが、冒頭のChatGPTとGoogleの話に当てはめて考えれば、理解しやすいのではないでしょうか。 Googleが生成AIというエマージングリスクへの対応に成功したかどうかは現段階ではまだ結論を出せませんが、少なくとも同社の対応はISO/TS31050が示すエマージングリスク対応のそれです。11月のChatGPTの発表を受け、その脅威を検知し、そこから一気に3ヶ月以内にリカバリに向けて動き、Bardを発表。2024年に次世代AIモデルGeminiを市場に投入すると発表し、「守り」から「攻め」に転じようとそのレジリエンス力を大いに発揮しています。

不確実性が高いエマージングリスクへの対応力は、まさに一寸先が見えないこれからの時代に必要不可欠な武器といえるでしょう。従来型のゆったりとしたリスクマネジメント、すなわち、年1回だけ、祭りのようにリスクアセスメントをやってリスク対応計画を策定し実行するやり方では、対応しきれないものです。したがってこの記事を読まれている皆様が所属される組織全てに導入を検討すべき考え方だと言っても過言ではありません。

私の勝手な想像ですが、多分、これから5年以内に、リスクインテリジェンス（組織が潜在的なリスクを早期に識別し、適切に評価、監視し、そしてその情報に基づいて戦略的な意思決定を行うための洞察と情報を集約するプロセス）という考え方が組織に浸透していくような気がします。というわけで、もしISO/TS31050に興味がある方は英語でよろしければここから入手することができます。英語だと厳しい、分かりやすく解説してほしい、という方には、近々、私の方できちんとしたコンテンツを用意しようと思いますので、ぜひお楽しみに！

※【2024年2月14日追記 】研修サービス「ニュートン・アカデミー・プラス（NCA＋）」においてe-learning講座「エマージングリスク編」を1月30日付でリリースしました。本講座はISO/TS31050に完全対応しており、規格の解釈の仕方や活用方法などを、事例を踏まえて解説します。