リスクマネジメントにおける「専門家の罠」

企業などの組織運営に支障を及ぼすリスク事象が顕在化すると、経営層はよく「その道の専門家」を集めて対処しようとします。しかし、そこには同時に「専門家の罠」が潜んでいることも忘れてはいけません。リスクマネジメントにおける専門家の罠とは、専門家を起用するにもかかわらず、リスクマネジメントが進まなかったり、リスク状況が逆に悪化したりすることです。経営層としては、問題の分野の専門家なのだからうまく解決してくれるだろうという期待がありますが、実際は「評論家の寄り集まり」の域を超えることができないというケースもあります。そうなる理由は、主に次の2点にあります。

一つ目の理由は、専門家が自分の専門領域に閉じこもる傾向があることです。例えば、ある会社で、情報システムから顧客情報が漏洩する事案が発生したとしましょう。情報セキュリティの専門家は「会社の情報システムの運用プログラムに欠陥があった」して、情報システムのセキュリティ強化を主張するでしょう。そこに欠陥があったからこそ、外部からの操作により情報が漏洩したというのは自然な因果です。しかし、リスクマネジメントの視点からは、「なぜそのような脆弱性が発生したのか」がより重要です。ところが、多くの場合（そして私自身の経験からも）、それ以上問題を掘り下げてその真因を明らかにしようとする専門家は多くありません。その結果、専門家の提言は、表面に現れた問題点の列挙とその対策という「対症療法的」内容に止まってしまうことがあります。
悪意ある社内システム管理者が、あえてセキュリティーポリシーに違反するような行為に及ぶこともありえます。そうなると、そのような行為に及んだ原因を追及する必要がありますが、情報セキュリティの専門家にとってそれは「管轄外」の仕事なのです。昔同じような行為に及ぶ誘惑に駆られたことがあっても、それを明らかにすれば専門家としての信用を失うことにも繋がりかねませんから、そうした経験に基づく助言が得られる確率は極めて低いでしょう。しかし、リスクマネジメントの立場からは、「どのようにすれば、経営情報というもっとも秘匿性の高い情報を取り扱わせる者が、職務に忠実に勤務できるようになるか？」が重要な問いなので、その答えを得るチャンスが失われてしまうのです。

二つ目の理由は、ステークホルダーとのコミュニケーション上の問題です。「ジャーゴン」とは「専門用語」という意味ですが、リスクを巡る関係者とのコミュニケーションにおいて、この「ジャーゴン」を多用する専門家がまだ数多く存在します。その結果、「ジャーゴン」の説明に時間が取られるだけでなく、議論が前に進まなくなるという障害が発生します。先日のアメフト悪質タックル事件でも、「アメフトのルールは難しい」という街頭インタビューが放映されていました。例えば、問題となったタックルは「パーソナルファウル」ですが、これはつまり「深刻な怪我を防ぐために、アメフトの試合でもっともやってはいけない反則」といえば、アメフトを知らない人でもその悪質性や重大性が理解できます。
また、専門家とそれ以外の関係者との間の「リスク感覚」の差も問題になることがあります。最近の例では、東日本大震災における福島原子力発電所事故により放出された放射性物質の影響があるでしょう。よく言われる「安全と安心の違い」です。私の自宅がある関東地方のある街でも、現在では自然放射線量に達することがないですが、それでも「安心」できない人もいるのが現実です。専門家にとっては無視できるに等しいリスク水準であっても、一般人にはリスク要因が存在することそのものが安心できない理由になるのです。専門家の知識をもってすればその安全性を科学的に説明できるでしょうが（統計的仮説検定など）、一般の関係者にそれを理解することは難しく、その上理解できないことは理解しようとしないという心理的機能が働くことにより、専門家とそれ以外の人々との意識の格差はさらに拡大します。

これらの「専門家の罠」の問題を解決するため、専門家とその他の関係者をつなぐ役割を担うのが「コーディネータ」です。臓器移植や骨髄移植などの医療分野では、コーディネータがドナーと患者やその家族、医療関係者の間に立ってコミュニケーション上の橋渡しを行なっています。このような存在がビジネスリスクマネジメントにも必要なのですが、現状ではほぼ皆無といっても過言ではないでしょう。個別のリスク事象に対応できる専門家と経営者をつなぎ、経営戦略を俯瞰しつつリスクマネジメントを経営者とともに考える存在として、中小企業診断士は重要な役割を果たすことができると考えます。