昨年末、日本プロジェクトマネジメント協会第217回例会で行った講演内容の概要を記しておきます。サイバーセキュリティと言わず、あえてサイバーリスクのマネジメントと表現している理由は、通常のマネジメントとの関係性がよりわかりやすくなると考えてのことです。また、サイバーセキュリティという場合、サイバー空間での情報セキュリティという狭い定義になるのを避けるという意味合いもありました。サイバーリスクのマネジメントということで、通常のリスクマネジメントの方法論がそのまま利用できることになります。 

「　サイバーリスクのマネジメント　―コンプライアンスとしての安全・安心―　」

1. コンプライアンスとは法令遵守ではなく法令「等」遵守と理解するべき。社会常識を逸脱した企業行動には法的制裁以上に厳しい社会的制裁が待っている。

2. コンプライアンスの対象範囲は広い。「知っていることには責任が生じる」というドラッカーの「野獣の原則」の視点が有効。

3. サイバー攻撃が頻繁にニュースで伝えられ出したのは2011年。つまりそれ以後、サイバーリスクは社会常識化し、コンプライアンスの対象とすべきテーマとなった。

4. サイバーセキュリティはサイバー空間での情報セキュリティと捉えられがち。情報セキュリティとは「情報資産の安全管理」のことであるが、サイバーリスクは更に広い。だからサイバーセキュリティよりサイバーリスクのマネジメントという方が経営管理制度となじみやすいかもしれない。

5. サイバーリスクのマネジメントは「サイバー空間での安全・安心」を目的とするもの。安全は品質の一種、安心は顧客満足の一種なので品質管理の延長上の問題として捉えられる。

6. サイバーリスクを完全になくすことはできない。そこで「サイバー空間での安全運転」という視点が有効。交通事故は防ぎきれないが安全運転が必要であることはサイバーリスクについても言える。

7. リスクマネジメントとは、リスクを識別、評価、対応するという３つのステップで行う。

8. リスクを識別するにはリスクについての知識が必要。サイバー関連記事が基本となる。

9. リスク評価は発生確率と影響度（ダメージ）の２軸で評価する。

10. 評価したリスクは回避、移転、低減、受容の４つの内から対応策を必ず選ぶ。サイバー空間の利用は止められないので回避は不可能。

11. 移転とは保険・外注化等で組織外にリスクを移すこと。現代では情報漏洩保険が整備されてきているので最低限の移転は必要。

12. リスク低減こそリスクマネジメントの本丸。いかに「より安全な運転ができるか」を考え実行する。

13. 受容はリスクとコストのバランスを考えてあえて行動しないこと。単なる「放置」とは全く違う。

14. サイバーリスクを放置するサイバー無策は高くつく。経営リスクの一つとしてマネジメントすることが必要だ。