─ 2009年2月に内閣官房情報セキュリティセンターから、第二次情報セキュリティ基本計画が公開されました。その中に「事故前提社会への対応力強化」とありますが、なぜ今「事故前提」なのでしょうか？

西本●「事故前提への対応力強化」ということは、今はまだ事故前提社会ではないし、事故が発生したときの対応力があまりないということを言っているわけですね。

まず「事件・事故がゼロの社会」というのを想像してみましょう。病気のない社会、医療ミスのない社会、汚職のない政治、癒着のない行政、判断ミスのない運用、自動車・飛行機事故事故のない社会、産地偽装・食に関わる不祥事のない社会。いずれも残念ながら事故ゼロにする予防策はなさそうです。

例えば、医療ミスが100パーセント絶対に許されないとなったら、医者は手術をしなくなるかもしれません。もちろんミスを少なくしていく方策は重要です。しかし、完全ゼロを目指した瞬間に、実際に機能しないルールが作られたりして、社会はあっという間に硬直してしまうでしょう。産地偽装などの悪いことを考える人は、最近突然現れたわけではなく、昔からきっといたのだと思うのです。

事故が発生してしまった場合には、原因分析を含め粛々と対応にあたり、あらゆるケースの再発防止策を求めない。無理な再発防止策が硬直させる原因になることも多く、そうならないよう柔軟に対応できる社会を目指そうというのが、第二次セキュリティ基本計画の真髄だと考えます。

─ 「事故前提」を意識したセキュリティ対策とは、どういう対策になりますか？

西本●ちょっとした想定ですが、例えば予防策（事前対策）で60点を取ることは簡単そうでしょう？ テストだって、ちょっと努力したら60点ぐらいは取ることはできますから。

ところが、セキュリティ予防策で80点を取ろうとするとそれなりに大変ですし、80点から先のプラス10点を積み重ねるのはとんでもなく大変で、対策コストも爆発的に急増し、費用対効果も下がります。さらに事故の不安を払拭するために、予防策で100点満点を取ろうとするのは莫大なコストもかかるし、現実的ではないでしょう。予防策で高得点を取ろうとすればするほど、つぶしておくべきリスクが細分化されて、コスト負担が大きくなる傾向があるのはお分かりかと思います。

（クリックで拡大）

一概には言えませんが、ある程度のセキュリティ対策を取り組んできた企業であれば、60点を超えるような対応になると、予防策よりも「事後対策」の方が圧倒的にコストが低いという傾向があります。実際、事故ゼロを目指した予防策の積み上げは非効率です。

金融系企業なら、予防策だけで80点を取る必要があるかもしれませんが、一般企業であれば予防策は目安として60点程度に留めておき、あとは事件・事故が発生した際に、迅速に発見・対応する方に力を注ぐほうが現実的だろうと思います。いずれにせよ、事件・事故のあとの事後策は、100点満点を取る覚悟は必要です。