2019年末に中国武漢市で発見された新型コロナウイルスは瞬く間に全世界に広まり猛威を振るい続けている。世界保健機関(WHO)は2020年3月11日、新型コロナウイルス感染症(COVID-19)がパンデミック(感染症の世界的大流行)相当であるとの認識を示し、事実上のパンデミック宣言となった。今回のパンデミックを、情報セキュリティにおける危機管理/リスクマネジメントと照らし合わせて考えてみたい。
初期対応に普段の10倍の力を投入
リスクマネジメント(リスク管理)は意味がない、正確な損害額が出ないと考える企業や自治体もあるようだが、リスク管理を実施しないかぎり予想損害額を実損に近づけることはできない。今回のパンデミックにおいても、多くの場面でリスク管理の重要性が叫ばれている。リスク想定規模が大きい場合、実環境ではできないとも言われるが、机上訓練も可能であり、想定可能か考えることも現実のリスク対応では重要となる。
リスク対応は初期対応が最も重要で、普段の10倍程度の力を投入すべきだ。WHOの設立(1948年)以来、今回の新型コロナウイルスは2回目のパンデミック宣言となる。初のパンデミック宣言は、2009年新型インフルエンザ(A型H1N1亜型インフルエンザ、豚インフルエンザ)だった。
2つのパンデミックを対比してみると、2009年新型インフルエンザのときは、最初に感染が確認された2009年4月12日から60日後の6月11日にパンデミック宣言されているのに対し、新型コロナウイルスはWHOに発生が報告された2019年12月31日から70日後の2020年3月11日に「パンデミック相当」との認識が示された。その差は10日となっている(表1)。
WHOの国際保健規則(IHR)が定める「国際的に懸念される公衆衛生上の緊急事態(PHEIC)」が宣言されるまでには、2009年新型インフルエンザが14日後(4月25日)、新型コロナウイルスが31日後(1月31日)と16日の差があった。1月24日から中国の春節が始まっており、もし2009年のときのような初期対応が取られていれば、その後の状況は変わったかもしれない。
2009年新型インフルエンザ | 2019年新型コロナウイルス |
2009年4月に北米(メキシコ、米国)で発生 | 2019年12月に中国湖北省武漢市で見つかる |
4月12日、メキシコ2カ所、米国2カ所で局地的な発生が確認 | 12月31日、WHOに最初の報告 |
4月25日、WHO事務局長が世界的流行(パンデミック)になる可能性を示唆 | 2020年1月23日、WHOは「国際的に懸念される公衆衛生上の緊急事態(PHEIC)」の判断は時期尚早とコメント |
1月24日~30日、中国春節、2月2日まで延長 | |
4月25日、WHOはPHEICに該当する史上初の状況と決定 | 1月31日、WHOはPHEICを宣言 |
6月11日、WHOはパンデミックを宣言 | 3月11日、WHOがパンデミック相当との認識を示す |
初期対応に全力を挙げることが大切で、多くの場合小出しは失敗に終わる。新型コロナウイルスにおいては、WHOも欧米の多くの国においても初期対応に成功したとは言い難く、これが感染拡大につながっている。情報セキュリティにおいても、初期対応を誤れば被害の拡大につながることになる。
加えて、対応のスピードも必要だ。もう少し様子を見よう、重要顧客の顔を立てよう等の決断の遅延が、リスク/災害を大きくする。 可能な限り、十分な対応を行ったことが問題になることは少ない。迅速に判断を行った結果、全力を挙げて初期消火に努めボヤ程度で終わらせることができれば、それに越したことはない。
十分な情報がないからといって、十分な情報を収集できるのを待って対応したのでは、リスクを防ぐことにはつながらない。情報を10%しか得られなくても、専門家の意見も聴取し、決断しなければならないこともある。
過ちを恐れることが被害を拡大させる
迅速対応とも関連するが、過ちを恐れることが結果的に決断を遅らせ問題を大きくする。常に適切な実行ができるとは限らない。実行した内容を見直し、適切な対応でなければ修正し、次の対応で同じ過ちをしないようにすればよい。
経済の世界において、売り手と買い手の間で持っている知識に大きな差があることを「情報の非対称性」という。 パンデミックにおいて情報の非対称性は被害の拡大につながる。行政側は可能な限り、関係者(ステークホルダー)に、正しい情報を流すことも大切だ。
緊急事態宣言以前の話になるが、筆者が通っているスポーツクラブで、「○○区内で新型コロナウイルスの感染者が見つかったらしい。××病院らしい」という噂がヒソヒソと広がっていた。その時点で区からの公表はなかった。そのため警戒レベルが上がり、スポーツクラブではあちらこちらで、スタッフによるアルコール消毒が行われていた。
実際には区内にあるタクシー会社の運転手(区外在住)が感染していたのだが、発表は数日経ってからだった。区は、大勢が集まる場所には、内々に通達していたと思われるが、一般の区民については噂が先に立ち、公表が遅れた形になった。
この場合、ステークホルダーは区民であろう。区は、大勢が集まる場所にさえ伝えていれば問題がないと思ったようだが、区民はそう考えない。噂は不安を招く。大きな問題にならなかったが、区民等が不安を抱かない方法で情報を伝えるべきだった。
●Next:サイバーセキュリティの「専門家」に対する誤解とは?
会員登録(無料)が必要です
- 1
- 2
- 次へ >
- 緊迫した現場で強いストレス─サイバーセキュリティとメンタルヘルスの関係:第8回(2020/06/12)
- 三菱電機の事案から、サイバー攻撃被害企業が行う「情報公開」の意義、あり方を考える:第6回(2020/02/04)
- 神奈川県庁のHDD流出事件からの教訓─リース契約時の注意点と事業者の責任対策:第5回(2019/12/13)
- 「見えない情報」をどう守る?─重要インフラの事件・事故から考える:第4回(2019/11/19)
- 敵を知り、己を知る─ハッカーのさまざまな情報収集手段:第3回(2019/10/23)