あけましておめでとうございます。
原発に翻弄された昨年でしたが,細野担当大臣が,原発の運転期間を40年に制限することを軸とする原子炉等規制法の改正方針を発表しましたね。
これで電力需要をまかなう技術が更に進歩することを願っています。
原発は,もともと人が統制できない被害を及ぼすものであることは分かっていたわけで,他に容易に選べる方法があれば,軍事や原発輸出などもろもろの課題はあったとしても,選択肢には乗らなかった発電技術なのだと思うからです。

さて,本題。原発の採否を考える際に,リスクマネジメントは役立つか?

リスクマネジメントの本質は,リスクの把握とこれに対する対処の枠組みとしての合理性にあるのでしょう。
だから,もともとリスク,つまり可能性を把握して,それを役立てることが出来る分野には有益だけれど,可能性を知ったところで意味のない分野には,役立たないということになるのでしょう。

例えば,入試の合格可能性はどうなんでしょうか。予備校や受験産業は,模擬試験の結果から,合格可能性を示せば良いわけで,彼らにとっては役立つのでしょうね。可能性の高いところは受けて,低いところは受けないという受験生にとっても意味があるのでしょう。

けれど,ここに入りたいという受験生にとっては,いくら可能性を知ったところで,本番でポカをやれば不合格。一夜漬けが当たれば合格。可能性つまりリスクを知ったところで,採否を決めていいものと決められないものがあるということがあると思うのです。私の司法試験受験もそうでした。受かるしかないのだから,合格可能性なんて意味ありませんでした。

原発は,どうでしょうか。たとえ事故の確率が大隕石が振ってくる確率だとしても,津波は十万年に一回だとしても,私やあなたにとっては意味はない。原発の採否に用いることに意味があるのか疑問です。

情報セキュリティも同じ。
セキュリティって,資産保全,保険,軍事の分野から発展してき概念であることはご案内のとおりです。
つまり継続的に勝ち負けがあってもいい,というか仕方ないと考えられている領域。

じゃ,情報セキュリティってどうなんだろうか。継続的に情報事故があっても存続し続けられる企業にとっては,リスクを低減させることで収益を拡大できるから,意味があるかもしれない。でも,一発事故が起こったら,つぶれてしまう企業にとってはどうなんだろうか。合格可能性を知ったところで無意味な受験生と同じ。こういう会社にとっては,セキュリティマネジメントは役立たない。

これに対して,情報セキュリティ対策は,事故を防げるかどうかという一発勝負。

この発想の違いが,セキュリティ対策は進んでもセキュリティ監査が進まない理由なのかもしれませn。