【①経営課題として対処すべき明確なリスクである】
はじめに、セキュリティという言葉には、「組織が継続的に安定した利益を創出し続けられる」ようになることを目標としている側面があります。
CISSP試験でも「費用対効果」の低い対策はやる意味がなく、「利益がある」対策に投資をしなさいと言っています。そのため、企業は安定した利益を創出し続けていくために、様々な「リスク」というものを識別し、対応をしていく必要があるのです。
尚、少し個人の解釈も入りますが、「利益」とは「金銭」だけを指すわけではありません。確かに多くの組織は営利を目的としているので、利益=金銭というのは正しいと思います。但し、例えば、公的機関・非営利組織にとっての利益って、金銭ではないですよね?そしてそのような組織でもセキュリティは当然、必要な要素です。
但し、ここではあくまでバイトテロの話をしたいので組織を営利企業を主体としてお話をさせて頂きます。
話を戻しがますが、組織は「バイトテロ」というリスクについてもう少し真剣に考える必要があります。業種による部分もあるとは思いますが、具体的には、リスクマネジメントのスコープに「バイトテロ」を明確に入れ、「リスクの発生頻度」「リスクの影響度」などを分析・評価し、適切な対応を行う必要があると思います。
多くの組織では「天災等のリスクに対する事業継続マネジメント(BCM)、事業継続計画(BCP)」については投資をしたり、経営課題として取り組んだりしているのではないでしょうか?
でもその「天災のリスク」って、どのくらいですかね。
リスク分析の際、「発生頻度」という超重要要素があります。仮に、「発生したら即ビジネス終了レベルの天災」のリスクがあったとしても1000年に1回の発生頻度だったらどうでしょうか。少し発生頻度を多くして10年に1回なら真剣に考えるかもしれません。
ここで僕が言いたいのは、
「バイトテロの発生頻度は高い傾向にあり、ビジネスインパクトもそれなりにある、明確なリスク」
であると言いたいのです。
もしかしたら、
昨今の「バイトテロ」の問題は、組織が10年以上前からあるこのリスクへの向き合い方が間違っていたことで、今なお大きな「リスク」として存在しているのかもしれません。
あくまで個人的な考えもありますが、CISSP的な観点から考えても「バイトテロのリスクマネジメント」って重要なのではないでしょうか。
次記事は【②個人ではなく法人若しくは組織の問題である】について書かせて頂きます!