危機管理とは何か
―危機管理ガイド―
【要旨】
- 危機管理(Crisis Management)とは、混乱を引き起こす可能性はあるものの、即時の戦略的対応を必要としない「インシデント」とは異なり、リスクが高く緊急性の高い状況において、組織を主導・統制するための協調的な行動を指します。
- ISO 22361によれば、危機管理において明確なガバナンス、体系的な役割分担、強力なコミュニケーション、効果的な意思決定、そして危機への備えと継続的な改善を支える文化の重要性を強調する7つの基本原則が定められています。
- 危機管理プロセスは、脅威の予測、リスクの評価、影響の防止または軽減、対応準備、危機の管理、および業務の復旧、そして得られた教訓に基づく継続的な改善を含む、体系化されたサイクルに従います。
はじめに
サイバー攻撃や自然災害、また風評被害など、組織が直面する脅威はますます予測不能なものとなっており、危機管理を強力に推進することの重要性が高まっています。現代の危機は、より急速に、かつより深い不確実性の中で展開するため、組織のリーダーたちは限られた情報のもとで、重大な影響をおよぼし得る意思決定を迫られています。この分野における専門家たちは、人や資産、そして組織の評判を守るために、体系的な危機管理戦略が不可欠であると強調しています。
危機管理とは?
ISO 22361の定義によれば危機管理(Crisis Management)とは、組織を危機発生時に主導、指揮、および統制するための組織的活動です。危機とは、差し迫った急激かつ重大な変化を伴う不安定な状態であり、生命、財産、資源、または環境を保護するために、組織による緊急の注意と行動を必要とするものと定義されます。
危機とインシデントの違い
「危機」(Crisis)という用語は、単なるインシデント(Incident)に過ぎない事象を指すために誤用されることがよくあります。多くの組織では、これら2つの用語を依然として混同しており、それが計画策定や対応戦略の適切な活用に影響を及ぼす可能性があります。ISO 22361で定義されるインシデントとは、混乱、損失、緊急事態、または危機を引き起こす可能性のある、あるいはそれらにつながる可能性のある事象です。この定義は通常、深刻な脅威、高い不確実性、および時間的制約のある意思決定を伴う真の危機の特徴とは著しく対照的です。
組織がレジリエンスの枠組みを洗練させるにつれ、インシデントと危機を区別することがますます重要になっています。以下の表にまとめた比較から、両者の主な相違点、ならびに効果的な対応および復旧計画のために正確な分類が不可欠である理由が分かります。
表 インシデントと危機の比較
インシデント(Incident) | 危機(Crisis) |
予測可能な事象であることが多い。 | 多くの場合、予期せぬインシデントであるか、インシデント管理における重大な失敗の結果として発生する。 |
インシデントの影響のほとんどは、すでに研究され、予測されている。 | 危機の影響は複雑で予測が難しく、対応を誤ると組織の評価や評判に甚大な影響を及ぼす可能性がある。 |
対応策は通常、運用チームに重点が置かれ、短期的なものとなることが多い。 | 対応には戦略チームの関与が必要となることが多く、影響の解消には長い時間を要する場合がある。 |
事前の計画によって解決される。 | 柔軟性と創造性、および計画書に記載されていない手順が必要となることがある。 |
危機の発生要因
組織が急速に変化するリスクに直面する中、多くの組織が重要な問いを投げかけています。それは、「危機の真の原因は何なのか?」ということです。
危機はひとたび発生すると深刻な結果を伴い、経営陣による即時の対応を必要とする予期せぬ混乱から始まる場合があります。些細な問題への不適切な対応、および事業全般の不安定さも、小さな問題を重大な危機へと発展させる要因となり得ます。また、長年にわたり無視されている、または見過ごされている内部の問題が再浮上し、企業の評判や全体的な安定性に直接的な脅威をもたらすケースもあります。
事前の計画と強力な事業継続対策がなければ、些細なインシデントでさえも瞬く間に組織全体を巻き込む危機へとエスカレートする可能性があります。
危機管理の原則
効果的な危機管理としてISO 22361が推奨する方法は、以下の7つの主要な原則に基づき、組織の危機への備えと対応のための強固な基盤を確立するものです。
- ガバナンス
組織が適切に構築された対応体制を有し、従業員が危機発生時の役割と責任を明確に理解できるようにすることが重要です。
- 戦略
危機管理には、目標の設定、およびリソースの配分が求められます。また、対応戦略が危機の性質や組織の優先活動と整合していることを確保することも必要です。これらには、経営陣によるコミットメントとリーダーシップが求められます。
- リスク管理
効果的な危機管理は、リスク管理の強固な基盤の上に築かれます。これには、リスクやインシデントの継続的な監視と評価が含まれます。また、それらが本格的な危機にエスカレートする前に適時に対応することも重要です。
- 意思決定
効果的な意思決定には、適切な情報管理、状況の明確な把握、およびステークホルダーのニーズへの配慮が必要です。
- コミュニケーション
危機管理には、社内外のステークホルダーとの明確かつタイムリーなコミュニケーションが不可欠です。
- 倫理
組織の価値観と倫理原則は、ステークホルダーの信頼を築きます。ブランドの評判を守るための危機対応活動の基本となります。
- 学習
トレーニング、演習、および継続的な学習は、組織の危機管理能力を強化するのに役立ちます。
7つのステップによる危機管理
ISO 22361は、危機管理プロセスを以下の7つのステップに定義しています。
- 予見
このステップの目的は、組織が内部および外部のリスクを監視し、定期的なリスク評価を実施し、ニュースの更新や緊急警報システムを通じて情報を把握することで、潜在的な脅威を早期に発見できるようにすることです。これらすべてが、タイムリーな認識と迅速な対応を支えます。
- 評価
潜在的な脅威や事業リスクを特定した後、次のステップは、各脅威の発生確率と影響の深刻度を評価することです。これにより、組織は状況をより深く理解し、また全体的なリスクレベルを評価し、最も緊急の対応を要するリスクの優先順位付けを行うことができます。
- 予防と軽減
このステップでは、組織統制およびリスク低減策の実施、危機予防のための明確な方針と手順の確立、効果的なコミュニケーション、ならびに積極的なステークホルダー管理が行われます。これらを通じて潜在的な影響を最小限に抑えることが図られます。脅威がエスカレートする前に予防することに重点が置かれます。
- 準備
このステップでは、明確な危機対応計画を策定し、準備状況を検証するための定期的な演習やシミュレーションが実施されます。体系的な意思決定システムに支えられた専任のタスクフォースを設立することで、危機発生時に組織が効果的に対応できる態勢を整えます。
- 対応
実際の危機発生時には、策定済みの緊急計画に従い、すべてのステークホルダーと明確にコミュニケーションを取ることが組織に求められます。状況を効果的に管理するために、迅速かつ十分な情報に基づいた意思決定を行う必要があります。
- 復旧
危機が収束した際には、組織は通常の業務を復旧させ、影響を受けた人々に対して適切な支援を提供する必要があります。被害状況を評価し、効果的な復旧プロセスを計画しなければなりません。
- 継続的改善
将来の備えを強化するため、組織は過去の危機から学び、既存の計画やプロセスを改善し、チームのスキルを向上させ、将来の課題に直面した際に即座に対応でき、回復力のある文化を育むべきです。
危機管理の事例研究:CrowdStrikeインシデント
昨年のこの時期、サイバーセキュリティ企業であるCrowdStrikeがFalcon Sensorソフトウェアに不具合のあるアップデートを配信した結果、世界中の多くの組織が史上最大級のITシステム障害に見舞われました。このアップデートにより、数百万台のWindowsシステムがクラッシュして「ブルースクリーン(BSOD)」が表示されたり、再起動のループに陥ったりしました。この混乱は銀行、病院、航空会社、放送局、および政府機関などの重要セクターに波及し、複数の国で業務が麻痺しました。
Parametrixの推計によると、この障害による直接的な損失総額は54億ドルに上りました。このインシデントは、ソフトウェアへの単一依存点に伴うリスクを浮き彫りにするとともに、サイバーセキュリティのサプライチェーンにおけるレジリエンスと検証について新たな疑問を投げかけました。本件は、広く注目を集めた重要なケーススタディと見なされています。以下に、この事件から得られた3つの重要な教訓をまとめます。
- サービスやソリューションが極めて複雑化している現代において、リスク予測はますます困難になっています。多くの組織は自社のITシステムを強力に管理していると認識していますが、システム内のボトルネックや単一障害点となり得るソフトウェアプロバイダーへの依存に伴うリスクを見落としがちです。
- 危機対応コミュニケーションの観点でも、本事例は示唆に富みます。CrowdStrike社はバグを迅速に修正し、影響を受けた顧客への支援策を速やかに実施できたものの、激しい批判にさらされました。例えば、フォーブス誌は経営陣の危機対応コミュニケーションを批判し、影響を受けた人々への共感の欠如や、アップデート前のソフトウェアの適切な検証不足を指摘しました。その結果、同社の株価は11%以上下落しました。
- この事案を契機に、民間セクターの多くの分野でレジリエンスの見直しの機運が高まり、重要な業務がサプライヤーに依存している度合いを再評価する動きが広まりました。また、回復能力の強化を目的とした新たな危機対応計画の改善や策定が進み、予測不能なリスクの単なる防止から、迅速かつ効果的な復旧への焦点がシフトしました
まとめ
危機管理とは、危機発生時に組織が対応を主導、指揮、および統制するために実施する、組織化された一連の活動を指します。危機とは、人、財産、資源、または環境を保護するために緊急の行動を必要とする、不安定でリスクの高い状況を指します。本記事では、危機の概念と定義、および危機とインシデントの違いについて解説しました。
また、危機が一般的にどのような要因から生じるかについても紹介しました。一般的な引き金としては、1)深刻な結果を伴う予期せぬ混乱、2)小さな問題をエスカレートさせてしまう不適切な管理、3)長年潜んでいた内部問題が突然表面化すること―などが挙げられます。事前の計画と強力な事業継続対策がなければ、些細なインシデントでさえ瞬く間に組織にとっての重大な危機へと発展する可能性があります。
本記事の主な焦点は、ISO 22361に基づく危機管理の7つの基本原則です。これらの原則は、準備と対応のための強固な基盤を構築するのに役立ちます。これらは、ガバナンス、準備態勢、コミュニケーション、調整、意思決定、学習、および継続的改善を重視し、緊急時に組織が迅速かつ効果的に行動できるようにすることを目的としています。
参考
https://www.interriskthai.co.th/blog/what-is-crisis-management/
https://www.informationweek.com/cyber-resilience/crowdstrike-outage-drained-5-4-billion-from-fortune-500-report
https://www.forbes.com/sites/goldiechan/2024/07/23/crowdstrike-crisis-big-brand-lessons-for-what-went-right-and-wrong/
ISO 22361:2022 Security and resilience — Crisis management — Guidelines
MS&ADインターリスク総研株式会社は、MS&ADインシュアランスグループのリスク関連サービス事業会社として、リスクマネジメントに関するコンサルティングおよび広範な分野での調査研究を行っています。
InterRisk Asia (Thailand) Co., Ltd.(インターリスクアジア・タイランド)は、タイ・バンコクに拠点を構えるリスクマネジメント事業会社であり、タイのみならず東南アジア各国の工場・倉庫・商業施設等における火災リスク評価や自然災害リスク評価、ならびに交通リスク、BCP策定支援、サイバーリスク等に関する各種リスクコンサルティングサービスを提供しております。
弊社サービス、ならびにタイ進出企業さま向けのコンサルティング・セミナー等についてのお問い合わせ・お申込み等は、下記のお問い合わせ先、または、お近くの三井住友海上、あいおいニッセイ同和損保の各社営業担当までお気軽にお寄せ下さい。
MS&ADインターリスク総研(株) リスクコンサルティング本部 国際業務室 TEL.03-5296-8920 http://www.irric.co.jp
InterRisk Asia (Thailand) Co., Ltd. 175 Sathorn City Tower, South Sathorn Road, Thungmahamek, Sathorn, Bangkok, 10120, Thailand TEL: +66-(0)-2679-5276 FAX: +66-(0)-2679-5278 Home |
本誌は、マスコミ報道など公開されている情報に基づいて作成しております。 また、本誌は、読者の方々に対して企業のリスクマネジメント活動等に役立てていただくことを 目的としたものであり、事案そのものに対する批評その他を意図しているものではありません。 |
Copyright 2026 MS&AD InterRisk Research&Consulting, Inc.All Rights Reserved
InterRisk AsiaのBCMSサービスは、ISO 22301規格に準拠した事業継続システムの設計、導入、維持においてエンドツーエンドのサポートを提供し、東南アジア全域において、企業のレジリエンス強化、規制要件への対応、長期的な事業安定性の構築を支援します。
