受身のリスク管理が問題

日経ビジネスの5月21日号の特集は「すくみ経営　組織蝕むリスク過敏症候群」で、内部統制、CSRなど最近話題のリスク管理に対する企業の反応や対応の現状に関して様々な記事が載っています。

個人情報保護法の施行後の状況も同じですが、リスクとその対応に関する規則が定められるたびに、企業側の過剰な反応が始まります。ここには２つの大きな問題があると思います。

①企業側にリスク管理を行いつつ経営をするという土俵がない

多くの企業がそうであると思います。以前から企業内でリスク管理を適切に行い、マネージメント層を含めて”常識的”な判断が可能な組織作りを行っている企業はかなり少なく、問題が発生して世の中で明るみになるようなケースでは、どうしてそのような判断が下ったのか理解が難しい場合も多く見受けられます。企業の中での論理、方針と、社外を含めたリスクの所在、内容、影響を適切に判断できる経営、管理が地につかない場合、逆にリスク対策が必要になった場合に、社内で足を引っ張られないように、出来る限りのことを最大限に行い、その結果過剰な反応につながります。

②規定や規則が明確でない

個人情報保護法もそうですが、規定が明確でない規則が存在します。規定した側ではしっかり定義されていますが、実務上解釈の幅があるものが多いことも事実です。すべてのケース意を明文化することは困難だと思いますので、せめて公的なガイダンスを逐次更新して提供する、またはノーアクションレターへの対応を行うなど、行政側も企業における判断基準を明示的に提供すべきではないかと思います。

過剰な反応は、必要の無い負荷を生みます。例えば下請け企業や、取引先を含め、必ず弱者への過剰な対応要求を強いる結果にもなります。また、その一方で特集記事にもあるように、確認項目、確認文書は多いが形骸化してしまい、最終的に実効性もなくなってしまいます。

リスク管理は本来経営上必須な事項です。しかし、それが受身のために過剰反応→形骸化という道をたどるのは本末転倒ではないかと思います。適切な管理を行うことは、規則が決まったからやることではないということと、規則には完全なものはありえないため日々現実に合わせてチューンアップしていく必要があるということを念頭において、もっと産業と行政で具体的なリスク管理経営の定着に関しての方法やアプローチを再度話しあうべきではないかと思います。