Security Risk Management SRM(安全管理)のプロセス
① 脅威と脆弱性
プログラム評価
脅威評価
脆弱性評価
② リスクとは?対策は?
リスク
インパクト
起こる可能性
③ リスク管理の実践
リスクを管理
④ プログラムの緊要性
プログラムの緊要性
リスクの程度
リスクは許容可能か?
プログラムの緊急性/重要性について考える
- その事業はどのくらい緊急に実施する必要があるか。
- その事業を中止した場合に、裨益者にどのような結果をもたらすことになるか。
これを、プログラム(事業)の「緊要性」、“program criticality”と呼びます。 プログラムの緊要性と併せて団体が直面しているリスクの程度をはかることで、最終的に事業を継続するにあたって、そのリスクは許容可能なのかを判断することができます。
QMDを例に考えてみましょう。
- QMDがザイナスの難民キャンプで実施している保健医療と衛生プログラム事業は、どのくらい緊急に実施する必要があるでしょうか?
- その事業を一時的に中止した場合に、難民はどのような不利益を被るでしょうか。中断の期間が3カ月、6カ月、あるいはそれ以上の場合はどうでしょうか?
★考えてみよう★
プログラムの緊要性を考えるために必要なポイントはなんでしょうか?
- 高いリスクがある環境でも、現在の事業を継続し、活動し続けるべきか?
- そこに居て、活動し続けることで、不可欠な人道ニーズに対応することになるか?
- もし留まることが必要かつ適切である場合、安全上のリスクは財政的にも能力的にも許容できるか?
- もしリソースが不足しているなら、早急に補完・準備することができるか?
- それらのリソースを準備したとして、十分なスタッフや時間を安全管理に割くことができるか?
「プログラムの緊要性」を考えるとき、こうした問いに対してひとつでもNOがあれば、あらためて、事業を継続するのか否か、継続するのであればそのための対策について、検討するべきです。その検討のためには、事業実施団体のミッションとして何を掲げているか?自団体以外にはどの団体が活動しているのか?自団体だけが担っている分野や活動があるのか?追加的な資金が見込めるか?スタッフ増加は現実的なのか?・・・などを考慮して、判断することが必要です。
実際にあなたの団体で、リスクの高い環境で活動している場合、プログラムの緊要性について、上記のような問いかけを行い、事業を継続すべきかどうかを、ぜひ考えてみてください。
許容できるリスクに関する国連の考え方
- 必要のないリスクは取らない(組織のミッションや目的を達することに資さないのであれば、リスクを取る意味はない)
- メリットがコスト(失うもの)を上回る場合にはリスクを許容する(すべてのリスクを消し去ることはできないし、そうしてしまうと組織はあまりに硬直し、予算もかかる)
- リスク管理に関する決定は、適切なレベルで行う(リスクに関する決定は、その権限を持つレベルで行い、決定権限のないリスクを引き受けてはならない)
- リスク低減のために実現可能なものはすべて、対策を取っておく
国連では、安全リスク評価(Security Risk Assessment)の結果は、プログラムの重要性の評価と比較され、図に示すように、「プログラムの重要性のレベルごとに許容されるセキュリティ・リスクの最大レベル」が4段階で設定されます。レベルはPC1が最重要で、大規模な救命(lifesaving)活動などがこれにあたります。国連によるプログラムの緊要性(Program Criticality)の考え方については、こちらで詳しく学ぶことができます。
まとめ
事業の緊要性を考えることで、
これですべてのセッションは終わりです!
最後に、理解を確かめるための復習テストをしてください。
最終テスト
① 善管注意義務はNGOなど市民団体にとっては努力義務であるため、法的拘束力は発生しない
② 「脅威」は、意図的に誰かによって引き起こされるものと、意図的に引き起こされたわけではない偶発的なものがある。
③ 交通事故や自然災害は「ハザード」であり、攻撃者の意図を含まないため、脅威とは分別される。
④ 各団体の「脆弱性」の判断では、スタッフの対人スキルや、周囲がスタッフや団体、事業に対して抱くイメージも、重要な要素の一つである。
⑤ ある地域において複数の団体が活動していて、同一の脅威環境に直面する可能性がある場合、すべての団体の脆弱性は同じである。
⑥ 「脅威」と「リスク」は異なり、リスクとは「脅威が現実に起こった際のネガティブな影響」である。
⑦ ある脅威のインパクトが危機的(最も深刻)であるとき、それが起こる可能性が極めてあり得ないとしても、リスクは常に、非常に高い/許容できないと判断すべきである。
⑧ リスク管理の手法であるACAT(許容する、コントロールする、避ける、移転する) は、団体に最も合ったものを一つ選んで実践することが推奨される。
⑨ リスク・マトリックスを使ってリスクを分析する際には、可能な限りグループで取り組み、グループのコンセンサスを得ることが推奨される。
⑩ リスクを管理する(下げる)手段には主に二つあり、起こる可能性の低減(予防措置)、及びインパクトの低減(軽減措置)がある。
⑪ 通常、 プログラム(事業)の緊要性が高いほど、より高いリスクを許容する(つまり、そのための体制を整える)場合が多くなる。
① 善管注意義務はNGOなど市民団体にとっては努力義務であるため、法的拘束力は発生しない
NO
(解説:日本では民法で定められています。)
② 「脅威」は、意図的に誰かによって引き起こされるものと、意図的に引き起こされたわけではない偶発的なものがある。
NO
(解説:脅威の定義は、「置かれた環境において、意図的に誰かによって引き起こされ、潜在的に危害の原因 となるもの」です。)
③ 交通事故や自然災害は「ハザード」であり、攻撃者の意図を含まないため、脅威とは分別される。
YES
(解説:人の意図が関わらないとはいえ、脅威と併せてハザードへの対策を講じ、それに備えておくことは同様に重要です。)
④ 各団体の「脆弱性」の判断では、スタッフの対人スキルや、周囲がスタッフや団体、事業に対して抱くイメージも、重要な要素の一つである。
YES
(解説:そのほかにもスタッフや資産の所在地、スタッフ及び財産が危険にさらされる程度、財産の価値、適切な安全対策の採用、安全対策の遵守などの要因があります。)
⑤ ある地域において複数の団体が活動していて、同一の脅威環境に直面する可能性がある場合、すべての団体の脆弱性は同じである。
NO
(解説:脆弱性とは、団体が危険にさらされている際に、安全管理上のリスクを助長する要因です。その要素は団体ごとに異なるため、それぞれの脆弱性も異なります。)
⑥ 「脅威」と「リスク」は異なり、リスクとは「脅威が現実に起こった際のネガティブな影響」である。
YES
(解説:リスクを評価・分析するにあたって、「インパクト」と「起こる可能性」について考える必要があります。)
⑦ ある脅威のインパクトが危機的(最も深刻)であるとき、それが起こる可能性が極めてあり得ないとしても、リスクは常に、非常に高い/許容できないと判断すべきである。
NO
(解説:起こる可能性が極めてあり得ない場合は、多くの場合リスクは低いと判断することができます。)
⑧ リスク管理の手法であるACAT(許容する、コントロールする、避ける、移転する) は、団体に最も合ったものを一つ選んで実践することが推奨される。
NO
(解説:リスクはゼロにはできず、どのような手法も全てのリスクをカバーすることはできません。単独ではなく、組み合わせてアプローチすることが推奨されます。)
⑨ リスク・マトリックスを使ってリスクを分析する際には、可能な限りグループで取り組み、グループのコンセンサスを得ることが推奨される。
YES
(解説:リスク・マトリックスは主観的なツールなので、少しでも高い客観性を確保するため、多くのスタッフが関わって共通理解を探ることが大切です。)
⑩ リスクを管理する(下げる)手段には主に二つあり、起こる可能性の低減(予防措置)、及びインパクトの低減(軽減措置)がある。
YES
(解説:例えばファーストエイドはすでに起こってしまったことに対処してインパクトを下げるために行うので、軽減措置にあたります。)
⑪ 通常、 プログラム(事業)の緊要性が高いほど、より高いリスクを許容する(つまり、そのための体制を整える)場合が多くなる。
YES
(解説:プログラムの緊要性とは、「その事業はどのくらい緊急に実施する必要があるか」「その事業を中止した場合に、裨益者にどのような結果をもたらすことになるか」を検討することであり、団体の現状のリソースを鑑みて、どれだけのリスクを許容できるかを探ることでもあります。)