[内田勝也の日々是セキュリティ]

2020年5月12日(火)内田 勝也（情報セキュリティ大学院大学 名誉教授）

リスト

初期対応に普段の10倍の力を投入

　リスクマネジメント（リスク管理）は意味がない、正確な損害額が出ないと考える企業や自治体もあるようだが、リスク管理を実施しないかぎり予想損害額を実損に近づけることはできない。今回のパンデミックにおいても、多くの場面でリスク管理の重要性が叫ばれている。リスク想定規模が大きい場合、実環境ではできないとも言われるが、机上訓練も可能であり、想定可能か考えることも現実のリスク対応では重要となる。

　リスク対応は初期対応が最も重要で、普段の10倍程度の力を投入すべきだ。WHOの設立（1948年）以来、今回の新型コロナウイルスは2回目のパンデミック宣言となる。初のパンデミック宣言は、2009年新型インフルエンザ（A型H1N1亜型インフルエンザ、豚インフルエンザ）だった。

　2つのパンデミックを対比してみると、2009年新型インフルエンザのときは、最初に感染が確認された2009年4月12日から60日後の6月11日にパンデミック宣言されているのに対し、新型コロナウイルスはWHOに発生が報告された2019年12月31日から70日後の2020年3月11日に「パンデミック相当」との認識が示された。その差は10日となっている（表1）。

　WHOの国際保健規則（IHR）が定める「国際的に懸念される公衆衛生上の緊急事態（PHEIC）」が宣言されるまでには、2009年新型インフルエンザが14日後（4月25日）、新型コロナウイルスが31日後（1月31日）と16日の差があった。1月24日から中国の春節が始まっており、もし2009年のときのような初期対応が取られていれば、その後の状況は変わったかもしれない。

　初期対応に全力を挙げることが大切で、多くの場合小出しは失敗に終わる。新型コロナウイルスにおいては、WHOも欧米の多くの国においても初期対応に成功したとは言い難く、これが感染拡大につながっている。情報セキュリティにおいても、初期対応を誤れば被害の拡大につながることになる。

　加えて、対応のスピードも必要だ。もう少し様子を見よう、重要顧客の顔を立てよう等の決断の遅延が、リスク／災害を大きくする。 可能な限り、十分な対応を行ったことが問題になることは少ない。迅速に判断を行った結果、全力を挙げて初期消火に努めボヤ程度で終わらせることができれば、それに越したことはない。

　十分な情報がないからといって、十分な情報を収集できるのを待って対応したのでは、リスクを防ぐことにはつながらない。情報を10%しか得られなくても、専門家の意見も聴取し、決断しなければならないこともある。

過ちを恐れることが被害を拡大させる

　迅速対応とも関連するが、過ちを恐れることが結果的に決断を遅らせ問題を大きくする。常に適切な実行ができるとは限らない。実行した内容を見直し、適切な対応でなければ修正し、次の対応で同じ過ちをしないようにすればよい。

　経済の世界において、売り手と買い手の間で持っている知識に大きな差があることを「情報の非対称性」という。 パンデミックにおいて情報の非対称性は被害の拡大につながる。行政側は可能な限り、関係者（ステークホルダー）に、正しい情報を流すことも大切だ。

　緊急事態宣言以前の話になるが、筆者が通っているスポーツクラブで、「○○区内で新型コロナウイルスの感染者が見つかったらしい。××病院らしい」という噂がヒソヒソと広がっていた。その時点で区からの公表はなかった。そのため警戒レベルが上がり、スポーツクラブではあちらこちらで、スタッフによるアルコール消毒が行われていた。

　実際には区内にあるタクシー会社の運転手（区外在住）が感染していたのだが、発表は数日経ってからだった。区は、大勢が集まる場所には、内々に通達していたと思われるが、一般の区民については噂が先に立ち、公表が遅れた形になった。

　この場合、ステークホルダーは区民であろう。区は、大勢が集まる場所にさえ伝えていれば問題がないと思ったようだが、区民はそう考えない。噂は不安を招く。大きな問題にならなかったが、区民等が不安を抱かない方法で情報を伝えるべきだった。

●Next：サイバーセキュリティの「専門家」に対する誤解とは？