Googleのホームページに飛ばすアイデアも

 

厳しい残暑が続く8月の末、ヤフー本社が入居する港区の東京ミッドタウンでは、大規模な実働訓練が行われた。首都直下地震により東京全体が大きな被害に見舞われ、ミッドタウンでも震度6強の揺れにより事業の継続が困難な状況に陥ったとの想定で、被災者の救出、被害状況の確認、そして主要事業であるYahoo!Japanトップページの運営を北九州の支社で継続させるというもの。訓練は、代表取締役社長(CEO)、最高執行責任者(COO)をはじめ、全社員のうち9割が参加する規模で行われた。


2011年の東日本大震災では、ヤフー本社が入居する東京ミッドタウンも大きく揺れ、窓ガラスにひびが入ったり、本棚が倒れ、さらにボヤ騒ぎまでが起き、全社員が隣接する檜町公園に一時的に避難することを余儀なくされた。そんな中でも、当時の井上雅博社長のもと、社員はノートパソコンやスマートフォンにより、ヤフーのトップページで震災関連ニュースを流し続けた。 

震災翌日には、震災対策特別室を設置し、ページビューの増加や新しいニーズに24時間対応できる体制を整え、災害基金も立ち上げた。さらに、計画停電における地域情報や、電力の逼迫状況、放射線情報といった東日本大震災以前には想像できなかった新しいニーズが相次いで発生したことから、東京電力の発表を分かりやすくまとめたページや計画停電マップなどを急きょ開発した。震災から3日目の3月14日時点で、同社の閲覧数は、当時、過去最高の23億6500万ページビューを記録している。 

こうした背景もあり、同社では、災害時でも「Yahoo!JAPANトップページはどんなことがあっても落とさない」ということを最重要課題に据えている。 

具体的な対策としては、平時からサーバー、回線を冗長化するとともに、万が一の被災時には、東京が被災したら九州でオペレートを行える計画を整えている。その本気度を示すかのように、社内では「最悪のケースの場合は、Googleのホームページに飛ばしたり、検索サービスを使わせてもらうアイデアも出ている」(リスクマネジメント室八代峰樹室長)ほどだ。東京本社と5分間連絡が取れなければ、自動的に北九州の編集チームがトップページの運用を行うルールも決めている。バナー広告をすべて外すことで、回線負荷が少なくサイトが閲覧できる震災時専用の特別トップページの開発も進めている。それほど、Yahoo!JAPANトップページへのこだわりは強い。しかし、これまでは、東京本社が機能しなくなった場合、果たして本当にトップページを維持できるのか、計画の実効性が十分検証されていなかった。 

今回の訓練では、現地で指揮調整にあたる役員がセスナ機で九州まで実際に移動し、仮想サイトを設けて、実際に切り換えのテストまでを行った(関連記事:これがヤフーの訓練だ)。もっとも、同社では日常的に、東京、大阪、北九州の3拠点で、例えばニュース記事を日中、夜間、深夜など時間を切り分けて編集するなどの連携を行っているが、今回の訓練では、ハード面も含め検証したことが大きな特徴でもある。

ヤフーを脅かした過去のリスク
10倍のスピードを支えるERM

 

ERM(Enterprise Risk Management:全社的リスクマネジメント)の目的は、もちろん地震災害だけに備えることではない。企業が備えるべきリスクは、情報セキュリティ、不祥事、風評被害、反社会勢力の関与など山ほどある。 

例えば、2004年2月27日に起きたYahoo!BBの情報漏えい事件では、約450万人分もの個人情報が漏えいした。同社のブランドネームを使ったサービスを運営する別会社による情報漏えいだったが、同社にも風評被害が生じた。 



近年では、サイバー攻撃により、ユーザーIDが流出する事件も起きている。2013年4月にはポータルサイトを管理するシステムへの不正アクセスを検知。この時は被害を免れたが、1カ月後には別の方法による不正アクセスを再度検知し、最大で2200万件のユーザーIDと関連情報が流出した可能性が指摘されている。その後も、集客率の高いページをねらった、いわゆる「水のみ場攻撃」など、サイバー攻撃の標的になる事態が後を絶たない。

2014年には、ヤフーが提供しているフリーメールサービス「Yahoo!メール」の大規模障害事故が発生。約380万のユーザーが4日間にわたりサービスを使えなくなった。要因は、想定を超えたハードウェアのトラブルによるものだった。 

こうした企業にとってのあらゆるリスクを把握、管理するために、取締役会から従業員まで企業全体でリスクマネジメントに取り組むというのがERMの醍醐味だ。 

ERMの聖書とも言われている米国のトレッドウェイ委員会(COSO:The Committee of Sponsoring Organizations of the Treadway Commission)が2004年に発表したレポート「エンタープライズ・リスクマネジメントの統合的枠組み」では、企業に潜むリスクを、戦略、業務活動、財務報告、法令遵守によって管理し、そのために、内部環境、目標の設定、事象の把握、リスクアセスメント、リスクへの対応、コントロール活動、情報とコミュニケーション、モニタリング

をすることを求め、さらに、組織全体、事業部門、事業ユニット、子会社についても展開していくことを推奨している。 

しかし、それを最初から徹底するには、多くの時間と人手がかかる。COSOが示したERMモデルは、安全管理を組織文化にしていく上での最終的な枠組みであり、それに準拠した体制を構築しようとすれば、日常的な経営のあり方から、すべてを見直さなくてはならない。

 

爆速リスクマネジメント 
ヤフーのERMは、経営スピードを妨げないことを前提条件にしている。 “爆速”の経営方針を打ち出した宮坂学代表取締役社長は、10年以内に営業利益を2倍にする目標を設定した。達成には、平均して年率2桁の成長が不可欠とし、「10倍挑戦して5倍失敗して2倍成功する」が全社の合言葉になっている。

しかし、2013年7月に新設されたリスクマネジメント室の八代峰樹室長は、スピード経営に伴い、リスクも増える可能性があると指摘する。 

「数千億円の利益のある会社の利益を2倍にするということは、なかなか難しい。今まで以上に爆速に物事を考えて対処していかないと、この高い山は登れない。しかし、そんなスピードでリスクが顕在化すれば、飛行機や新幹線が事故を起こすような大被害を招きかねない」(八代氏)。 

10倍挑戦して、5倍失敗することは、リスクが10倍増え、そのうち顕在化するリスクも5倍増えることを意味する。「経営スピードを緩めずにリスク対策に取り組むというのが我々の最大のミッション」(八代氏)。 

経営にとってリスクマネジメントは必要だが、リスクマネジメントを徹底させるが故に企業成長を止めることがあってはいけない。相反する課題を一挙に解決することが経営層からは求められている。


 

リスクマネジメントの全社的枠組み 
もちろん、これまで何の対策も打ってこなかったわけではない。2001年には最高セキュリティ責任者(CSO)を任命し、CSOを中心とした全社的な情報セキュリティの取り組みを推進。2002年には非営利のプライバシー保護方針の認定機関である「TRUSTe認証機構」から「TRUSTeマーク」を取得。2003年9月には、情報セキュリティ宣言を行い、グループで情報セキュリティに取り組むことを表明。そして、その宣言通り、2004年には、子会社9社を含む全社で、情報セキュリティマネジメントシステム(ISMS)の認証を取得した。また、2008年には、「Yahoo!ウォレット」の決済環境をPCI DSS(Payment Card Industry Data Security Standards)というクレジットカード業界のセキュリティ基準に完全準拠させるなど、対策を強化してきた。 

さらに、地震など自然災害対策としては、システムの冗長化などを進めるとともに、全事業を対象にした優先継続業務の順位付けを行い、優先レベルに応じた対策を進めている。例えば、Yahoo!JAPANトップページは、全事業の中でも最も優先順位の高い事業に位置付けられている。次はニュースと天気、そしてメールサービスと、社会的に影響度の高いサービスに重点的に取り組んでいる。 

ただし、これらの対策は断片的にはできていても、全社的な体制にまでなっていなかった。そこで、2013年7月にリスクマネジメント室を設置し、2014年2月にERMのキックオフを宣した。 

最初に取り組んだのが枠組みづくりだ。2014年2月から8月末までの6カ月間をかけ、ERMとBCPのコンサルティング支援に実績のあるニュートン・コンサルティング株式会社(東京都千代田区)に依頼し、ヤフーの経営体質に適したERMの設計に取り掛かった。 

同時並行的に3月頭からはパイロット事業に取り掛かり、5月からは全事業部(カンパニー)と管理部門にERMを展開している。前期・後期の半期ごとに見直す方針で、10月末時点で、すでに全部門が初回の計画づくりから見直しまで一通りのPDCAを回すという“爆速リスクマネジメント”を達成させた。

 

タイムリーな課題解決
ヤフーが展開するサービスは、インターネット検索、ニュースやトピックスの配信、ショッピングなど多岐にわたる。現在では最高執行役員のもと、7つの事業部門(カンパニー)と3つの管理部門により、約200のサービスを展開。それらの事業を、社長室、財務、人事、内部監査室などが支えている。 

ERM体制を構築する前までは、各カンパニーと管理部門にリスクマネジメントを任せてきた。八代氏は「小回りがきいて、いちいち経営トップに聞かなくても、カンパニー内で解決しながらやっていけるメリットもあったが、何をどこまでやらなくてはいけないのかが見えづらくなり、さらにカンパニーによって、しっかりやるところ、やらないところの差異が出てしまうなど課題もあった」と当時の状況を振り返る。事業や状況に合わせて頻繫に組織体制や役職者、スタッフが替わるため、体制を引き継ぎにくいという問題もあった。結果として、その時々浮上してくるリスクに、タイムリーに「課題解決」していくことが難しくなっていた。 

同社は、会社のミッションを「社員一人ひとりが、課題解決エンジンとなって、日本の課題を解決していくこと」と定めている。その課題解決が社内でできていないということは許されない。 

そのため、ERMでは「いい加減さを排除する一方で、現場のワイルドさは大事にし、シンプルで迅速な課題解決がトップダウンでできることを目指した」(八代氏)。 

具体的には、現状の課題を①「リスク管理ルールの形骸化」②、「リスク管理コストに見合った活動ができていない」、③「リスクをタイムリーに捉えきれない」という3つに集約(図)。 

①については、その解決策として、経営陣の意志とリスク管理の関係性が明確になるよう、トップインタビューをすることにした。 

②については、誰が何を目標に、どう管理しているか、バラバラな管理活動を廃止するようリスク管理状況の「見える化」を進めることにした。 

③については、環境変化に応じ、持続可能かつ実践的なリスク分析手法を導入。さらに、突発的な事象にも耐えられるBCPも改めて構築し直すことにした。 

手順としては、まずトップインタビューを行い、全社的なリスクマネジメントの方針を決定する。次に、現場レベルではカンパニーごとに、想定されるリスクを洗い出し、さらにカンパニー長のインタビューを行うことで、どのリスク対応の基本方針と、どのリスクに重点的に備えるのかを明確にする。その上で、ワークショップを開催し、誰がいつまでに何をするのかを話し合い、その場でリスク対策計画書を策定する。

この計画に基づき、日々のリスク対策を行い、半期に一度、訓練によりパフォーマンス評価・反省会を行い、課題を再びリスク対応計画書に落とし込むPDCAサイクルを回す。また、全社的に知見や経験を共有化するため、半期に1回は中間報告会を開き、経営層に報告する。

0点を防ごう、まずは30点を目指そう
自分の頭で考え行動できる組織

 

トップインタビューは、コンサルティング会社のスタッフ同席のもと、リスクマネジメント室の八代氏と小玉氏が、社長(CEO)の宮坂氏、最高執行責任者(COO)の川邊氏に対して実施。これから進めようとしているERM体制について説明するとともに、ヤフーにとってのリスクマネジメント方針がどういうものであるべきかを1時間程度で聞き取った。

結果としてまとめた2014年上半期のリスクマネジメントの基本方針は以下の2点だ。

1.コーポレートレベルで重点的に対応すべきリスクは、セキュリティ、コンプライアンス、Yahoo!JAPANのトップページの災害時の継続とする。 
セキュリティ、コンプライアンスについては、これまでも全社横断的にISMSに準拠し取り組んでいるほか、日々、全社員に向けて、リテラシーITを高めるための教育やeラーニングも行っている。日常的にID、パスワードも変え、情報漏えいなどに備えている。これについては、今後も方針を変えず引き続き取り組んでいく。 

Yahoo!JAPANトップページについては、災害時でも絶対に止めないことを改めて宣言する。

2.各カンパニーレベルのリスクは、各カンパニーが責任をもって実施していく。 
平時から各カンパニーに権限移譲をしているため、それぞれが責任を持ってリスクと対応計画を決め、実行していく。基本方針は半年に1回見直しすることになっているため、基本方針に伴い、各カンパニーも計画を見直して取り組んでいく。

 

トップページでパイロット導入 
パイロット導入するサービスとして、まず、Yahoo!JAPANのトップページ事業についてリスクマネジメント体制を先行的に構築することにした。トップページに係るすべてのサービスを関連するカンパニーで洗い出し、その後、ワークショップを開催し、CEO、COO、CFO(最高財務責任者)の参加のもと、必要な対策と、平時から誰が何するかを可視化。さらに、トップページを止めうる詳細なシナリオを洗い出し、仮にトップページが止まりそうになった時、どう継続させるか代替プランまでをまとめた。 

ただし、最初から完璧な計画を作るということは目的としない。「0点は防いで、まずは30点を目指す」というのが宮坂社長の出した方針だ。言い換えれば、0点はすべてのサービスが完全に落ちてしまう状態で、30点とは最低でもトップページだけが運営できていればいいという考え方。「課題解決エンジンであるという会社のミッションを達成するためにも、大規模災害という日本中の人々が最も困った時のために、トップページだけでも必要な情報を出していかなくてはいけない」(八代氏)。 

仮にトップマネジメントが機能しない状態に陥っても、この方針を定めておけば一人ひとりが考え、判断することができる。 

「ヒトデは蜘蛛より強い。蜘蛛は頭(中枢)を一撃すると死ぬが、ヒトデは真二つに切り裂かれても死なない。2匹に分かれて再生するという。宮坂は、現場が中枢に頼らず、ミッションを前提に自分の頭で考えて行動できる組織を目指している」(同)。 

もう1つ考慮した点が、平時と有事の頭を切り替えるということ。 

日常的にリスクを抑制する活動であるリスクマネジメントに対して、リスクが顕在化し、リスクマネジメントの枠組みの中では対応しきれない状態になった時の活動をクライシスマネジメントと呼ぶが、Yahoo!JAPANトップページ事業については、この両者を取り入れた事業継続計画(BCP)を策定することで、平時と有事対応を兼ね備えた計画をまとめた。 

「突然のことで、脳が固まってしまうのではなく、そういうときに脳を切り替えて、対応していける組織でなくてはいけない。そういう計画を作っていくことが大切」。 

現状ですべてのリスクに対して有事のクライシスマネジメントの対応が備わっているわけではないが、「今後は、有事対応の型ぐらいは決めていきたい」と八代氏は語る。

 

トップマネジメントを巻き込む効果 
ワークショップ後、参加者にアンケート調査を行った。 

「リスクマネジメントは利益に直結するものでないので、ネガティブな意見が多いのではないかと心配していましたが、とても前向きな意見が多く挙がってきました」。 

リスクマネジメント室の小玉弘子氏は、社員の意外な反応に驚いたという。「なぜ皆が前向きになれたのか理由を考えてみたのですが、やはり経営陣が参加し、3時間という時間を社員と一緒になって、意見交換をして、経営者の本気度が伝わったこと、そして一体感が生まれたことが成功のポイントだったと思います」。 

ワークショップ後は、話し合われた意見をそのままにするのではなく、その場でリスク対応計画書を作成した。 

ポイントは、トップページに係る各サービスで、誰が、いつまでに、何をするかを明確にしたこと。経営者が同席する中で決めていくため、その場で各担当者がコミット(約束)した責任感のある計画ができあがる仕組みだ。 

この計画が、確実に行われているかを検証するために5月には進捗状況の中間報告会を開催。8月末の全社規模で行った訓練も、このワークショップで策定したリスク対応計画書やBCPが、どれだけ機能するのかを検証することを目的としたものだ。 

シナリオには、ワークショップで出てきた課題や疑問が盛り込まれている。例えば、「ビルの非常用電源だけで対応できるか」という疑問が出されたため、訓練までに施設の非常用自家発電機からの電源経路を調べ、非常用電源が使えるフロアだけで実際に業務が行えるかを検証。北九州に編集拠点を切り換えるという設定も、ワークショップで指摘された「南海トラフ地震の想定の場合なら大阪支社も大きな被害を避けられない」という指摘を受けての対応計画だった。 

一連の流れを実際に体験してみて課題も出てきた。例えば、セスナ機の発着場所である成田空港までは、赤坂からヘリコプターで移動することを検討していたが、悪天候のため視界不良で飛べず、社用車を使った。通信は衛星電話、移動無線を使ったが、必要な人に十分端末がいきわたっていないことも明らかになった。これらの改善点を、リスク対応計画書に再度落とし込んだ。

最低5つのリスクを洗い出す
影響度と発生可能性でマップ化

 

次に、パイロット事業であるYahoo!JAPANトップページ事業で構築したリスクマネジメントのPDCAサイクルを、各カンパニーに落とし込む作業に着手した。 

前提条件として、各カンパニーが責任を持って取り組めるよう、必ずERM担当者を決めることにした。「リスクマジメントは現場が行うもので、リスクマネジメント室はあくまで全体的な調整を行うにすぎません。現場に意識を高めてもらうためには、どうしても担当者が必要でした」(小玉氏)。全社的なリスクマネジメントの方針も、必ず担当者を通して現場に落とし込むことにしている。逆に、現場から課題が挙がってきた時には、担当者を通してリスクマネジメント室と話し合いを行い解決していく。担当者はリスクマネジメント室と現場をつなぐだけでなく、個別最適と全体最適の調整を担う変電所的な役割を担う。 

カンパニーごとのリスクマネジメントの具体的な手順は、1番目として、想定されるリスクを洗い出す作業から行う。カンパニーのスタッフ全員で行ってもいいし、希望者だけで行ってもいい。担当者だけで実施してもいい。何人で洗い出すかは各カンパニーが決められるように権限委譲している。ただし、最低でも5つのリスクを洗い出すことが条件だ。リスクの洗い出しがスムーズにできるよう、各担当者には、100程度のリスクが例示されたシートが配られている。これは、各カンパニーの事業内容から想定されるリスクについて、コンサルティング会社とリスクマネジメント室があらかじめ整理しておいたものだ。 



2番目として、洗い出されたそれぞれのリスクに対して、発生可能性と影響度の評価付けを行う。例えば、発生可能性は、1年に1回以上の頻度で発生するものなら評価大。一生のうち1回なら評価小。どちらにも該当しないなら評価中。影響度は、従業員の人命にかかわる、あるいはユーザーがサービスを利用できなくなるなら影響大、一部の従業員の業務に支障が出る、一部の顧客から苦情がくる、一部のネットニュースに取り上げられる程度なら影響小、どちらのレベルにも該当しないなら影響中といった具合だ。 

リスクマネジメント室では、各カンパニーから上がってきたリスクをアセスメントシートで一覧化し、対応すべきリスクの優先度を「可視化」する。リスクアセスメントシートは、独自に開発したプログラムにより、縦軸を影響度、横軸を発生可能性としたリスクマップに自動的に落とし込めるようにした。 

3番目に、カンパニー長へのトップインタビューを行う。リスクマネジメント室も同席し、全社的なリスクアセスメントの傾向などを説明する。カンパニー長は、スタッフによって洗い出されたリスクおよび全社的なリスクアセスメントの傾向を参考に、当該期(上半期か下半期)でカンパニーとして優先すべきリスクを決定する。ほとんどがスタッフの洗い出したリスクの中から選定することになるが、別の重大リスクが見落とされていれば、それを指定してもかまわない。トップインタビューの目的は、カンパニーとしての方針を確定させることだ。 

カンパニー長へのインタビューを経た段階で、4番目として、カンパニーごとにワークショップを開催する。カンパニー長が指定した重点リスクへ対応するため、そのリスクが顕在化するシナリオなどをさらに細かく洗い出し、必要な対策と、誰がいつまでに、何をするかを明確にする。ワークショップにはカンパニー長も参加し、概ね3時間をかけリスク対応計画書を作り上げる。

 

リスクの種類を3つに分類 
カンパニーによって取り上げられるリスクは異なるが、大きくは、①一般的(オペレーショナル系)、②BCP的(災害リスク系)、③戦略系に分類できるとする。ワークショップでは、それぞれのリスクの種類に応じて、リスク対応計画書が策定できるよう、議論の進め方がすべてパターン化されている。 

オペレーショナル系のリスクなら、詳細リスクの洗い出し→詳細リスク(シナリオ)の精査と選定→対応策検討→対応計画の策定といった流れになる。例えば、情報漏えいというリスクを取り上げれば、リスクシナリオとしては、PCの置き忘れや、ウイルスの感染、社員の重要情報の持ち出しなど詳細リスクが上げられる。それらについて重点的に取り組むべき対策を精査し、対応策を検討する。 

BCP的なリスクについては、まず、被害想定を作成し、簡易演習を通じて対応策を検討する。その上でリスク対応計画書をまとめる。 

最後の戦略系リスクについては、市場の変化や、パートナー企業の事業動向の変化、競合会社の技術開発動向などが挙げられるが、これについては各カンパニーと社長室など管理部門の相談の上で対応方針を決めることにしている。ただし、戦略系リスクについては、議論する上で、冒頭で「なぜそのリスクを選んだのか」「他社の状況がどうなっているか」など、かなり情報のインプットが必要との課題も浮かび上がったという。 

「ワークショップで良かった点は、3時間という短時間で、対応計画書が策定できるということ。カンパニー長が入って、誰が何をいつまでにするかコミトッしていく方法をとったので、すべてのカンパニーで責任感のあるリスク対応計画書ができあがりました」(小玉氏)。

 

ノウハウの共有に中間報告 
カンパニーごとにリスクマネジメントを進める一方、全体の進捗にばらつきが出ないよう半期に4回、各部門の担当者が参加する中間報告会を開催する。リスクの対応方法などノウハウや、ヒヤリハットなどの経験を共有する目的もある。 

さらに、半期に一度はリスク対応計画書の評価をすることを義務付けている。評価の方法は、カンパニー長の自己評価と担当者の自己評価、さらに全社的な調整にあたるリスクマネジメント室の各カンパニーに対する評価付けの3通りがある。これらの平均点を出し、社内で順位付をすることで、しっかりと取り組んでいる部門が評価される仕組みにしている。「順位付することで、社員にも関心を持ってもらいやすくなった」と小玉氏は語る。可能なら訓練や演習などにより実効性についても評価を行う。半期ごと最後には反省会を行い、改善点を洗い出し、対応計画書に反映させる。 

すでに、すべてのカンパニーが反省会までを行い一通りのPDCAが回ったという。 

一通りの作業を終え、八代氏は「リスクを洗い出す際に、現状では短期的な視点で選定しているが、数年後、そのリスクが企業にどういう影響を及ぼすのか中長期的な評価が難しい問題も浮かび上がった。最大の課題は継続的な運用。爆速のスピードで走りながらも、リスクマネジメントレベルを年々高めていけるよう、よりよいやり方を追及しながら改善していきたい」とする。

ヤフーでは、今後、海外拠点を含めたすべてのグループ会社にERMを展開していく予定だ。経営陣、意思決定者を巻き込み、重点的なリスクを決定し、全社員で対応していくというのがヤフーの構築した経営スピードを妨げないリスクネジメント。その取り組みを組織文化にしていくことができるのか、今後の取り組みが注目される。