企業を襲うリスクインシデントとして急増しているのがサイバー攻撃である。総務省「令和5年版 情報通信白書」によれば、サイバー攻撃関連通信数は2022年までの7年間で8.3倍となった。

また、コロナを起因とした現象として顕著なのがコンプライアンス違反の事案である。こちらは年ごとに倍増といったイメージ。リモートワークの推進・定着に企業ガバナンスの整備が追い付かなかったため、様々な局面で監査が甘くなった。以前は部下から上司に対面・書面で報告を行っていたものが、リモートワーク環境下において声掛けが減り、目が届かなくなった。コロナ禍の真っ最中に水面下で行われていた不正が、今になって発覚したというケースが多い。

コンプライアンス違反の別パターンとしては、コロナ禍の間に法令が変わったことを見過ごして対応が遅れたというケースもある。例えば個人情報保護法は3年ごとに制度を見直すと規定していて、2022年4月に改正法が施行されている。

特徴は、企業の経営陣やリスク対応部門が想定・準備していなかった事態が突然降って湧いてくるため、現場は半ばパニック状態に陥るという点である。リスクを顕在化させないように事前の準備を万端にしておく「リスクマネジメント」の手法では対応できず、顕在化してしまったリスクの影響を最小化する「クライシスマネジメント」の発想が必要になってくる。

クライシスマネジメントまで手が回っていない

リスクマネジメントは、東日本大震災などを契機に企業の意識が高まり、対応が進んだ。BCP（Business Continuity Planning、事業継続計画）を策定している企業も多い。だが、クライシスマネジメントまで手が回っている企業はまだ少ない。両者は似て非なるものであり、全く別のアプローチが必要である（図1）。

リスクマネジメントで全てのリスクに備えられるわけではない。予期せぬリスクが起きてしまった時にダメージを最小化するためのクライシスマネジメントと合わせて対応することが求められている。

クライシスマネジメントに取り組むうえで、特に重要なポイントが3つある。

第一に、「速い初動」である。リスクインシデントが発生した時点で企業に対するレピュテーションは大きく落ち込む。クライシスマネジメントの焦点は、地に落ちたレピュテーションを早期に改善・回復させることだ。初動が遅れることは事態の収拾につながらないどころか悪化させる恐れさえある。適切な初動は、早期の信頼回復のための必須条件である。

第二に、「体制づくり」である。例えば自然災害とサイバー攻撃への対応では、それぞれ管理権限者や指揮命令系統、関連する部署・部門、専門知識を持った社員などが全く異なる。そのため、インシデントごとに適切な体制を素早く組み立てなければならない。これは言うは易し行うは難しで、体制づくりだけで数週間もかかってしまうということは大いにあり得る。それでは速い初動は望むべくもない。せめて、「非常時の体制づくり」のための要素と手順くらいは検討のうえ、明文化しておきたい。社長のリーダーシップ任せは危険である。

第三に、「説明責任」をすべての基軸として徹底すること。クライシスマネジメントのアウトプットは、プレスリリース、記者会見、調査報告書、再発防止策、株主への手紙、等々、必ず社外に向けたものになる。それらを通して社会は、会社に対して真摯な説明責任を求める。これを意識し、徹底することが、早期の信頼回復への必要条件である。

危機管理センターを発足、24時間以内の専門コンサルにコミット

なお、デロイト トーマツ ファイナンシャルアドバイザリー合同会社「フォレンジック＆クライシスマネジメント」チームでは、こうした状況を踏まえ、2023年6月1日に「危機管理センター」を発足、インシデント発生時の相談窓口を開設した。受付から24時間以内に専門家のコンサルテーションを実施することにコミットしている。クライシスマネジメントの体制づくりなどについてもご支援させていただく。

ぜひ、ご活用をいただきたい。

     

（構成＝水野 博泰・DTFAインスティテュート 主席研究員/編集長）