みなさん、こんにちは。

最近思うんです。人間の予測って大したものだな、と。だって、今の世の中で起きているたいていの事象は、精度やタイミングの差こそあれ、結構、予想されたことばかりが起きているじゃないですか。

例えば、気候リスク。アル・ゴア元米国副大統領が出演した環境問題を取り上げた映画「不都合な真実」が有名になったのは、はるか16年前の2006年です。新型コロナウイルス感染症（COVID-19）についても、パンデミック（新型インフルエンザ）は必ずくると言われていました。SARSが流行したのが2003年ですが、その前から言われていました。2015年のTEDスピーチでは、あのビル・ゲイツ氏が「The next outbreak? We’re not ready（次のアウトブレイク？　私たちはまだ準備ができていない）」という講演をしていました。昨今、世間を騒がしているサイバー攻撃だって、ずっと前から警鐘を鳴らされていました。米石油パイプラインがサイバー攻撃を受け世界に衝撃が走りましたが、制御装置への攻撃はかねてから懸念の声が上がっていたことです。また、現在、ロシアによるウクライナ侵攻が起きていますが、ユーラシアグループによる地政学リスクランキングトップ10 in 2022の5位に「ロシアリスク」が上げられていました。（「2022年の重大リスク」参照）つい先日、福島・宮城で最大震度6強の地震がおきましたが、これも言わずもがなです。2016年の熊本地震もそう。もちろん2011年の東日本大震災だってそうです。企業における品質不正だって、銀行のシステム障害だって、みんなかねてから起こると想定されていたものばかりです。

リスク予測ができているのであれば、備えは十分であったろうと思いたくなりますが、必ずしもそうではないケースも散見されます。新型インフルエンザに対する準備期間は長い時間があったのに、備蓄品が不十分であったりとか、そもそもテレワークするための環境整備が十分でなかったりという声を聞きました。また、サイバー攻撃に対する備えも、完璧な防御は無理だと言われていますが、これだけ世の中で警鐘を鳴らされているにもかかわらず、杜撰なシステム管理をしていたがために、ランサムウェア攻撃でバックアップデータ含めて、重要なデータの全てが暗号化されてしまったというケースもあります。ウクライナ侵攻についても、リスクの上位に来てはいたものの、開戦ギリギリまで「さすがに今の時代、まさか、攻めるなんてことはないだろう」と考えていた人も少なくありませんでした。地震災害も起こるたびに、「訓練をあまりしていなかったので混乱した」という声が聞こえてきます。

こうやって振り返ってみますと、不確実性と言えど予測できているわけですから、改めてリスクマネジメントの大切さを感じずにはいられません。「分かっているリスクへの対応。それも本当に真剣な取り組みを持って」ということが、今後のリスクマネジメントにも求められる重要な解の１つなのかなと思います。その際、あれもこれもとリスクに手を出すと魂が分散してしまいますので、「これだ！」と決めた「本当に起こったら困る」というリスクに対して集中して取り組むことが重要なのではないでしょうか。

もちろん、こうしたリスクの全てを予測し完璧な対策ができると思うことも非現実的ですし、そう考えるのはそもそも傲慢な考え方かなとも思います。どんなに完璧な準備をしても、想定外が起こることもまた歴史が証明しています。東日本大震災の二次災害で、福島第一原子力発電所事故まで予測したプランを立てておくことは（できたかもしれませんが）難しかったと思います。熊本地震は先述の通り、予測はできたかもしれませんが、本震クラスの地震が2回連続して起きるという思わぬ事態に見舞われました。2018年に起きた東証のシステムダウンでは、通常の1,000倍を超える電文送信の発生が原因だと言われています。先日の福島県沖地震にしても、JR東日本は地震を想定して、車輪がレールから大きく外れるのを防ぐ「逸脱防止ガイド」を東北新幹線に装着していましたが、地震の揺れは想定を上回る大きさだったと言われています。COVID-19だって、感染症の１つとして想定はされていましたが、人命や事業継続を脅かすだけでなく、ビジネスモデルの前提条件をも覆すほどの影響力を持つことまではなかなか考えが及びませんでした。

つまり、リスクマネジメントだけをやっていればいいということでもない。それに加えて、普段滅多に起こらない有事にもできるように危機管理とセットの取り組みが必要になるわけです。これって分かりやすいことだと思いませんか？　準備を入念にしつつ、ハプニングが起きても大丈夫なように柔軟な体制を整備しておけって・・・。すごく理にかなっていると思います。ちなみに、こうした学びもあって、世間ではアジャイルERMなどといった言葉が登場しつつあります。これについては、別の私の記事で詳しく解説しておりますのでそちらをご覧いただければと思います。

いろいろと申し上げてきましたが、私が昨今、目にしてきた組織の多くでは、こうした学びが十分に理解されていないのか、活動のバランスが悪いと思わされることが少なくありません。リスク特定にばかり力を入れて、リスク対策の入口で力尽きている組織が多いですし、危機対応訓練に至っては、年1回の訓練すら行っていない組織が数多くあります。どうしてでしょうか。その意味では組織にとっての最大のリスクは、いきなりやってくる災害ではなく、リスクを真剣に捉えようとしない「人間の心の弱さ」なのかなとも思います。それを打ち破るには、やはりリーダーのリーダーシップが必要不可欠ではないでしょうか。

諦めずに「あの時もっとこうしておけば良かった」を失くしていきたいものです。