また、日本企業は「安全」に関してもセンシティブだ。ブラック企業を除けば、厳しい労働関連法制を遵守して、従業員の生命や健康を守ろうとしている。製造業にとって製品はお客様に収める最も重要なものだが、それでも従業員が死傷する可能性がある場合には、投げ捨てても構わないとされている。
「Safety」となると、経営者も現場も「それが最優先」と振り切れるのに、「Security」については関心が高まらない。サイバーセキュリティ(CS)について、中小企業の経営者でも(耳学問で)重要だと分かってはいる。しかし、経営者の抱える問題はほかにもあり、財務問題やコンプライアンス問題に比べて、CSが相対的に優位にあるわけではない(*1)。
かつて「人命は地球より重い」と超法規的措置をした政治家がいたが、安全を絶対視する企業の姿勢も、そんな空気から生まれたものかもしれない。そんな「Safety」と「Security」の違いはどこにあるのか?議論の結果、こんな違いがあることが分かった。
・Safety 人が死傷する可能性があることは、絶対に行ってはならない。ゼロリスク
・Security リスクであることは同じでも、ゼロにはなりようがなく最善を尽くすのみ
別の言い方をするなら、Securityには「見切り」がある。ある種のリスクはあきらめて甘受するということ。例えば証券会社の英語名は「○○ Security」だが、金融商品の中でも銀行の定期預金はほぼリスクゼロだが、証券会社の提供する投資信託やファンドラップなどは得もすれば損もするリスク商品だ。リスク低減の手法はあるが、本質的にゼロリスクではない。
CSも同様に、仮にゼロトラストを導入してもゼロリスクではない。経営者は、総合的に(自然災害なども含めて)リスクを評価し、ある種のリスクは見切って、もし起きてしまってもあきらめる。そんなリスクマネジメントが求められるのだが、この点は普通の経営者にとって分かりにくさが残る話だろう。
