大規模イベントのリスクマネジメント 【第2回】成果指標とコミュニケーション
トレンドマイクロ日本地域CISOが語る「大規模イベントにおけるリスクマネジメント」。第2回は大規模イベントの成果指標とそのコミュニケーションについて語ります。
成功指標の明確化
大規模イベントの成功指標とはどのようなものなのか、過去の様々な大会の関係情報を早速調べてみました。
その中でも最も明確だったものは、現時点でもまだ開催前でありますが、2022年にカタールで開催が予定されているFIFAワールドカップに関連するものでした。公開情報ではないので、ここで詳しく紹介することはできませんが、彼らは、成功指標を3つの分野「Quality」「Safety」「Secure」に分類して定義しています。
しかし成功指標を定義するといっても、闇雲に挙げていっても発散するだけです。
キーワードやプロンプト・リスト(リスク特定を行う上で参加者による議論の呼び水になるようなリスト)を使えば、発散しつつバラバラにならずに集約できます。そこで、仮に自分が大規模スポーツ・イベントの責任者であるとしたら、という仮定の下に自分なりに成功指標を考えてみることにトライしました。
定石通りに様々なイベントに関する情報を調べていく中で、以前マイケルが教えてくれた重要なキーワードを思い出しました。
「もちろん、過去の大会を参考にすることは良いことだ。でもその時と大会開催時では事情も違う。過去大会を参考にし過ぎるのではなく、自分自身で考えてみて、そのリファレンスとして過去大会を参考にする方が良い。」
自分で一から考える。それは気の遠くなるような道のりに思えましたが、とにかくやってみないことには始まりません。そこで、最初に行ったことは「分類」の定義です。
これは後に行うべき「リスク分類」ではなく、あくまでも成功指標を定義する上での分類なので、カタールの例を参考に「Quality」「Safe & Secure」「Athlete First」としました。
Quality : 大会が良い大会であったとなることで、その中には運営に関するもの、予算や費用に関わるもの、レピュテーションに関するものなどが含まれる。
Safe & Secure : テロや事故、災害などによる死傷者を出さないことや、地政学的リスクに巻き込まれてボイコットが起きないこと、
大会運営を支えるサイバー空間が守られることなどが含まれる。
Athlete : 言うまでもなく参加するアスリートたちが“参加して良かった”と感じて貰うことであり、例えば良い結果を出せる競技環境作りなども含まれる。
このように成功指標を定義できれば、リスクマネジメントを実施していく上では大きな一歩となります。成功指標とリスクは表裏一体ですから成功しない可能性やシナリオを特定して、それにどう対応するかの対応計画を立てて実践していきます。
ただし、リスクマネジメントの実践フェーズに入る前にしなければならない重要な課題がありました。
リーダーシップとコミュニケーション
そして組織内連携成功指標を明確化した後にすべきことは、それらの指標を組織内外に浸透させるという作業です。
しかし、ここにはコミュニケーションの難しさという大きな課題がありました。
具体的に示せば示すほど「それは違う」「それじゃダメだ」という批判の声が上がりがちです。ただ、ここで怯んではいけません。確かに成功指標を明確に伝えることは、そうした批判の対象にもなりますし、失敗を指摘されやすいです。しかし逆に明確にしないでおくと、批判者の基準で成功・失敗を定義されてしまい声高に「失敗だ」と非難されてしまいます。
大会の成功に向けて多くの組織・関係者の努力を無駄にしないためにも、
リーダーがリーダー自身の言葉でイベントの成功とは何かを明確に伝えることが重要です。
もちろん、組織内へのコミュニケーションも丁寧に行う必要があります。ワンマン経営の会社でない限り関わる人たちには多種多様な経験やバックグラウンドを持つ人たちがいます。示した成功指標に対して「それはいい!」と諸手を上げて賛同してくれるとは限りまん。
リーダーはそうした中で内外の声に耳を貸し、調整機関をしっかり構築しておくことも重要な役割なのです。
なお、成功指標のコミュニケーション内容については当然、組織内向けと組織外向けで濃淡があっても問題ありません。
例えば不確実要素がまだ大きい段階で、あまり数値化し過ぎるとその指標そのものに対しての評価という、本来のリスクマネジメントの目的とは乖離したところで議論が起きやすくなります。
従って、対外的には「あるべき状態・姿」を伝え、組織内に対しては「それは具体的にはこういうこと」のように、一定レベルの数値目標にして伝達するのが良いでしょう。
ただし、この数値目標は大会準備が進むにつれて当然調整・変化がある前提のコンセンサスを得ておくことが大切です。そのためには早い段階で連携体制を構築しておかなければなりません。
大規模イベントに関わる連携が必要なアイテムは以下の図のように整理することができます。
そうした連携は図の下部に示すように、
「評価と計画」「能力開発」「実施と改善」「保証」「回復力(レジリエンス)」のフェーズごとに
組み立てる必要があります。
このような連携アプローチにより、すべてのファンクショナル・エリア(FA)で、各計画の意義、目的、スケジュールおよび他の計画との関連性に対する知識と共通理解を身につけることができます。
しかし、これだけ複雑なフレームワークを運用するためには、トップに立つリーダーたちのリーダーシップと高いコミュニケーション能力が必要になることは想像するに難くはありません。
最終回となる第3回目は、リスクマネジメント実践の具体を示していきます。
清水 智
トレンドマイクロ株式会社
日本地域CISO
2002年トレンドマイクロ入社、製品開発部門、セキュリティのコアテクノロジー部門での品質マネジメントや事業継続マネジメントの責任者を歴任。2012年より統合型リスクマネジメントの重要性を認識し社内に専門チームを発足。大規模スポーツイベントのセキュリティ、サイバーセキュリティ、リスクマネジメント、人材育成などのマネジメント領域における専門家。2020年10月よりトレンドマイクロ・日本本社のCISOを務める。
政府へのセキュリティ政策提言、INTERPOL向けサイバー犯罪捜査官育成などに携わる。一般社団法人サイバー犯罪捜査・調査ナレッジフォーラム代表理事、一般財団法人日本サイバー犯罪対策センター(JC3)理事、国際刑事警察機構グローバルサイバー犯罪専門家委員会委員なども務める。
更新日:2022年5月9日
Security GO新着記事
エバンジェリスト、ICU高校の生徒と語る ~AIの「悪用」と「活用」~
(2024年10月4日)
プロパガンダとは?意味や事例について解説
(2024年10月3日)
生成AIでランサムウェアを作成した容疑者の摘発事例を考察
(2024年10月2日)