________________

 ISO31000でのリスクの定義      06.20.2010
     



 ISOは国際標準化機構(International Organization for Standardization)である。何か国連関連の機関のような感触を持っている人もいるがようだが、実は、民間団体である。ただし、各国から1機関だけが参加できる。

 日本からは、日本工業標準調査会(JISC)が参加している。これは経産省に設置される審議会であり、国が参加しているということになる。

 2009年11月15日、ISO31000というものが発行された。題名は、「リスクマネジメント−原則及び指針」である。

 リスクをいかに制御するか、これが環境対策の基本的な姿勢である、と考えている。具体的には、複数のリスクをいかにトータルに制御するか、という複雑な連立方程式を解くことが、環境問題の解決である、と考えている。

 先日、さる講師からの講演を聞くチャンスがあったが、どうやらリスクという言葉の定義が、このISO31000ではかなり拡大されているとのこと。

 これは大変だ。ということで、英文のISO31000を読んでみた。正式にはそのうちJIS化されると思うが、日本語にどう訳されているかは、日本語の文書がでたら、また。



ISO31000の背景

C先生:このISO3100だが、リスクマネジメントというものが対象だ。しかし、ここでのリスクマネジメントというものは、ある組織のリスクをいかに管理するか、ということを目的としており、化学物質のリスクをいかに管理するか、といったモノを対象にするものではない。

A君:それは、モノを対象にすると、他にも似たような検討している専門委員会があるからだ、ということなのでしょう。

B君:ISO14000は環境マネジメントシステムで、企業としてどのような基本的な考え方をもつべきか、管理組織としてどのようなものを整備すべきか、さらに、継続的に改善していくためにいわゆるPDCAサイクルを如何に回すか、といった規格であった。本ISO31000は、その延長線上にあると考えるべきことだろうか。

C先生:最近、ISOは、ISO9000の成功以来といっても良いのかもしれないが、ISO14000も同様だが、マネジメント規格が多い。しかし、今回のISO31000は、9000あるいは14000と全く違うところがある。それは、9000も、14000も、企業が認証を取ることが前提だったのに対して、「31000は、認証を取る対象ではない」、と明示されていることだ。

A君:ISO26000の社会的責任規格も、第三者による認証を目的とした規格ではない。

B君:欧州が主導権を握ると、認証で商売をしようという思いが前面に出るが、米国などが主導権を握ると、それが後ろに隠れる。今回の31000は、米国主導だったということなのだろうか。

A君:田邉康雄氏は、そう述べていますね。http://www.news2u.net/releases/69324?ref=rss

B君:なるほど。この文章は、なかなか面白い。ISO31000は任意規格なのだから、自己宣言で良い。JAB認定の審査機関に金を払うなと書いてある。

A君:認証商売の手段としてISO31000を使うなとも読めますね。

C先生:いずれにしても、組織にはリスクマネジメントというものがないと、危なくて仕方ない社会になったという共通理解があって、そのようなニーズを満たすために、任意規格の形で書き込んだ。というのが実態なのだろう。

A君:組織のリスクが時代とともに大きくなっているのは、それは、変化が早い世界になり、相互連関が強い世界となり、組織が世界から隔離された状況では生きられない事態になったからでしょうね。

B君:メキシコ湾の原油事故が、世界恐慌を招かないとも限らない。そんな複雑な社会になった。以前なら、あれは、BPという会社と米国という国に限定された事件だったのだが。


組織のリスクマネジメント

C先生:さて、今回のHPの目的は以下のようなものだ。このISO31000は、組織のリスクマネジメントを記述している。しかしその記述、特に、リスクの定義が、これまでと多少違うようだ。それなら、この新しいリスクの定義などの記述が、例えば、化学物質のリスクの記述に拡大できるのか、あるいは、個々のリスク管理については、適用不可能なのか。これを議論をすることによって判断することだ。

A君:それは、やはりリスクの定義などから取り上げるのでしょうか。

B君:全体の記述から受ける感触の方が重要なのではないか。

A君:では、最初に目次、そして、付属文書にある語句の定義という順番でみますか。
 ISO31000の本文は、たった21ページしかない。しかも、一行おきに書かれていて、かなり短い文書です。

目次(日本語訳は適当)
序文
1. 適用範囲 Scope
2. 用語及び定義 Terms and Definition
3. 原則 Principles
4. 枠組み Framework
 4.1 一般 General
 4.2 使命とその遂行 Mandate and Commitment
 4.3 枠組みの設計 Design of framework for managing risk
 4.4 リスクマネジメントの施行 Implementing risk management
 4.5 枠組みのモニタリングとレビュー Monitoring and review of the framework
 4.6 枠組みの継続的改善 Continual improvement of the framework
5. プロセス Process
 5.1 一般 General
 5.2 コミュニケーションと相談 Communication and consultation
 5.3 内外の状況の確定 Establishing the context
 5.4 リスクアセスメント Risk assessment
 5.5 リスク処理 Risk Treatment
 5.6 モニタリングとレビュー Monitoring and Review
 5.7 リスクマネジメントプロセスの記録 Recording the risk management process


B君:ざっと見ても、よく考えられて作られた文書であることはよくわかる。

A君:5.からが具体的な行動を規定しているのですが、まずは、内外のステークホルダーとのコミュニケーションと相談からスタートせよ。それは、その組織のコンテクスト(内外の状況と環境の記述)を明確にするためである。

B君:基本の基本なんだけど、それをキチンと書くところが、欧米文化。日本文化だと、そんなことはわかっているから、として省略してしまうのだが。

A君:やはり日本的だと、ボトムアップが基本。全員で問題を発見し、なんとなく解決に向かうのが良い。しかし、西欧流だと、原理原則をまず議論し、それをツールとして問題点を発掘する。

B君:5.の内容の中で、もっとも重要なことは、次のことか。
 リスクアセスメントは、リスクの特定(identification)、リスクの分析(analysis)、リスクの評価(evaluation)、そして、リスクの処理(treatment)からなるので、それを常に意識してやることが重要。

A君:実質上の重点は、確かに、このことかもしれないですが、このISO31000の本来の狙いは、その前の部分にあるのでは。
 それは、4.の枠組みづくり。日本流のボトムアップ優先型では、枠組みはどちらかといえば軽視されて、細部にわたる実質的な活動を重んじるようなところがある。しかし、それでは重大なリスクを見落とす可能性がある。
 より俯瞰的な視点をマネジメント側に求めているところなのでは、と思います。

B君:西欧流の論理的主張の強さというものが、ここにあるのかもしれない。そもそも考え方の違う構成員が作っている組織なのだから、枠組みをしっかりと作らないと、「なあなあの合意形成」だけでは動かないぞ、か。

C先生:日本という国も、昔だと躾といものを共有していたので、なんとかなったのだが、それが喪失してしまった現在、西欧流の枠組みを強化することが、リスク対策として必要のようには思う。

A君:躾という言葉は、古語になった。

B君:先日、さる大学の学部長職の先生に聞いた話だが、親から電話が掛かってきて、「あの教授の講義は難しくて分からないと息子が言っているので、対策を取れ」。

A君:大学では、講義ですべてが分かるということはあり得ない。自分が何を学ばなければならないか、その範囲を知ることが講義の本来の目的。要するに、講義に出席する目的は、自分の無知を確認することなんだけど。

B君:その後、自分で努力をしない限り、理解が進むはずはない。なぜならば、ものごとの理解の仕方には、個人差というものがある。言い換えれば、すべての個々人は自分用の言語というものを使って、物事を理解している。だから、教授という他人の理解のしかたを、そのまま自分の中に再現しようとしてもダメなのだ。

C先生:話を戻す。ISOの文書の良いところは、分かっている人には分かる、という言葉で書かれていて、極めてコンパクトなことだ。しかも、重要なポイントをすべてカバーしている。多くの人々が議論を尽くしている状況であることがよく理解できる。

A君:まあ、その通りですね。リスク管理というと、いきなり何がその組織にとって危険なことか、ということを社員に聞く。そこからスタートといったやり方をとってしまうこともありそう。しかし、それではダメ。

B君:当然だ。枠組みをどのように作るか、その最初の節である4.3.1に書かれているのだが、組織とその内外の状況の理解 Understanding of the organization and its context が必須。まずは、自分達の組織が、どのような外的な環境にさらされているのか、社会の流れはどのような方向に向かっているのか。そして、内部的には、どのような環境というか風土というか、どのような状況になっているのか。もっとも基本的なことだが、その組織の目的とは何か。これすら共有されていないという状況がありうるのだ。

C先生:組織にとってもっとも重要なことは、人によって重み付けが違うだろうが、そのほとんどすべてが、このリスクマネジメントの規格の中に出てくるように思える。

A君:その組織におけるリスクというものをどう理解するか、それを考えることは、その組織自身を考えること、すなわち、そのからスタートするからですね。

B君:個人的には、「組織のresilience」が現時点ではもっとも重要のように思った。

A君:難しい概念だ。どうやって定義されているのだろう。

B君:この規格だと、「resilience= adaptive capacity of an organization in a complex and changing environment」が定義。

A君:「複雑で流動的な環境に対して、適応をしていく能力」とでも訳すのでしょうか。

B君:それにしても、これを実現するのは大変なこと。

C先生:「組織におけるCoherence」という言葉はこの文書の中にあるのだろうか。

A君:索引が無いもので、すぐには分からない。

B君:ペラペラめくった感じだと見つからない。

C先生:Resilienceの実現のためには、「組織の構成員のCoherenceが重要に思える」ということだけにしておこう。
 そろそろ、リスクの定義と、物質や製品などの危険性という意味でのリスクとの関係の検討に行きたい。


リスクの定義

A君:そもそも、リスクというものが次のように定義されています。

risk=effect of uncertainty on objectives
「リスクとは、(その組織の)目的に対して、不確実性が引き起こす影響である」。

 目的には、財務的、健康面、安全面、環境面などのゴールを含む。

 リスクは、「events=事件」、と、その「consequences=結果的に起きる帰結」によっても、記述が可能。

 リスクは、「events=事件」に付随する「likelifood of occurrences=ものごとの起こりやすさ」とのコンビで記述されることもある。

B君:化学物質などのリスクの定義だと、「risk=hazard × exposure」だ。すなわち、リスクは、「物事の危険性と、その物事にどのぐらい近づくかの程度の掛け算」によって定義されている。

A君:しかし、今回のISO31000では、対象が組織のリスクマネジメントであるだけに、このような考え方では記述できない。

B君:そうかもしれない。この化学物質のようなリスクの定義だったとしたら、「組織として何をやるのか」、と問われれば、「リスクをどのように避けるか」であると答える。そして、「それをどうやって実現するのか」、と問われれば、「危険なことには近づかない」という方法が唯一のように思える。

A君:それでは、リスクの本来の意味からは遠い解釈になってしまう。「riskとdangerは必ずしも同じではない」。これが日本以外の国での理解。すなわち、リスクとは、「あるチャレンジの結果起きるかもしれない不確実性だ」、だという考え方が今回のリスクの定義。

B君:何かモノに、あるいは、モノのリスクに適用するにはどうする。

A君:超高性能で軽量な飛行機を作って、燃費を改善したい。これにチャレンジをすると、これまでの材料であるジュラルミンだけでは作ることができない。そこで、炭素繊維で強化した複合材料が使われる。複合材料の破壊の起き方は、ジュラルミンの破壊とは違うので、なんらかの予測不能なことが起きるかもしれない。それがリスクであり、モノのリスクでもある。

B君:プラスチックというと、容器包装材料だと思っている人が多い。しかし、テレビというものをプラスチックを使わないで作ることを考えたとすると、昔ながらのブラウン管テレビなら、不可能とは言えない。プラズマテレビも、不可能とは言えない。しかし、配線板をどうするか、となると、それでも、ベークライトぐらいは使いたいが。
 しかし、プラスチックなしで、液晶テレビを作るのは無理だ。散乱フィルム、カラーフィルター、偏光フィルムなどなど、プラスチック製の機能部品が必要不可欠。

A君:プラスチックを作ることは、化学としてのチャレンジだった。その影響として、予測不能なことが起きるかもしれない。それがリスク。

C先生:今回のISO31000では、リスクは不確実性として定義されているが、その不確実の方向性は、マイナス方向ばかりではないとしている。不確実性は、場合によると、予測値のプラス側に振れるという場合があるとしている。

A君:そのあたりをモノに適合すると、ある目的に向けたチャレンジで新しいモノを開発した。思いもよらない副作用が出れば、それはマイナス方向のリスクですが、場合によると、思いもよらない応用面がでてきて、それも不確実性の一つだったと言えれば、そのプラス側への振れもリスクのひとつだと定義すべきだ、というのが今回のISO31000の主張のようです。

B君:ニュースで、太陽光で進む宇宙のヨット「イカロス」が話題になった。

A君:その帆に使う素材が、7.5ミクロンの厚みのポリイミドフィルム。ポリイミドは、もともと携帯電話やデジカメなどに使う曲がる配線板(フレキシブルプリント基板=フレキ基板)の素材。帆は、それにアルミ蒸着をしている。

C先生:実装技術と呼ばれるが、電子回路をどうやって立体的にデジカメなどの中に収めるか、という技術がある。この技術は、日本は世界でトップだ。それには、優れた素材が必要不可欠。

A君:携帯電話やパソコンのように、画面とキーの部分を動かす必要があると、そこには、フレキの出番となる。インクジェットプリンターの可動部もフレキの独壇場。

B君:話を戻して、リスクというものをより中立的に捉えるということでは、本来の姿なのだろうけど、やはり、危険性×暴露という昔の定義がどうしても必要になる場合もありそうだ。

C先生:ISOの規格は極めて柔軟にできているから、場合によって、そのような定義をすることが禁止されているというものではない。今回の規格は、組織に関するリスク管理を記述しているものであって、そのために、これまでのリスクの常識から離れざるを得なかったという要素が強いと思う。

A君:危険を単に回避するということがリスクマネジメントではなく、リスクマネジメントの結果として、プラスの効果が生まれるということについては、誰でも合意できると思います。

B君:モノのリスクをどう定義するか。それは、実際、応用分野によって違うのが現実だ。自然災害などの場合だと、これまででも、リスク=危険度×暴露×脆弱性という定義が使われている。社会インフラがしっかりしていれば、自然災害の被害が減ると考えられるので、最後の脆弱性といった言葉を入れる。
A君:ということは、モノについては、それぞれの分野で、適切な定義をすることが必要。しかし、あくまでも、「チャレンジ=ある目的の遂行」には不確実性がつきもの、というのがリスクの根本的な理解であるべきでしょう。


リスクを回避するだけの日本社会

C先生:そんな考え方で良いのではないだろうか。何がなんでも不利益なことを回避しようとするマインドだけだと、今の日本社会のように、停滞した社会になる。
 常に、目的を共有し、チャレンジを行うという考え方に同調できるような組織・社会を作り上げることが必要なのだろう。

A君:日本社会の将来の目的とはなんですかね。

B君:最近だと、そこそこの生活ができること、が目的だという人が増えたように思う。

A君:現時点でそこそこの生活ができるのは事実だが、過去に膨大な経済的な蓄積があって、その継続の上に成り立っている。

B君:学問分野でもそうかもしれない。過去に膨大な蓄積が無い限り、そこそこの発展なども不可能だ。

A君:今後、やはり何かを蓄積として積み上げることが日本全体の意識として共有されないと、そこそこの生活という目的は、実現できないのではないでしょうか。

B君:ボトムアップ的な社会、場合によると大衆民主主義の社会とでも言うべきかもしれないが、それだと、自分自身を大きく変えるということを含む合意にはならないものだろう。

C先生:日本だけではない。世界全体が大きな転換期にあることは間違いがない。転換ができるだけドラスティックに行われることが、将来の発展を生み出すのかもしれない。日本の場合でも、それには、一度、奈落の底まで落ちるというリスクを検討しないとダメなのかもしれない。それがプラスを生み出すかもしれないというのが、ISO31000のリスクの新定義なのだろう。