昨年9月末、大手ビールメーカーが深刻なサイバー攻撃を受けた。受注・出荷システムが停止し、物流が滞り、小売店の棚が空になった。その後に発表された月次売上の落ち込みは、外部からも容易に確認できるものだった。だが、注目すべきは数字だけではない。
危機の渦中、「あのビール会社のビールが棚から消えた」という事実は、メディアや取引先・消費者の間で独自の色を帯びながら広がっていった。企業が発信したわけでも、意図したわけでもない。状況そのものが生み出した"ブランドをめぐる語り口"――それが、ここでいう「ナラティブ」である。偶然の成功にも失敗にも、その根底には“問われなかった前提”が潜んでいる。それがフレーミングの本質である。
こんな光景は、自社でも見覚えがないだろうか。必要な手続きは踏んだ。専門部署の確認も受けた。取締役会でも異論は出なかった――それでも、組織は誤った方向へ進んでしまった。
多くの誤りは混乱の中ではなく、整った会議室で、整理された資料のもと、合理的な議論が積み重ねられた末に生まれる。問題は判断力や誠実さの欠如ではない。判断の「前提」そのものが、見えないまま固定されていたことである。フレーミングは声高に主張されるわけではないが、会議の論点・資料の構成・意思決定の射程に静かに影響を与え、組織の思考を無意識のうちに方向づけていく。
フレーミングとは「何を考えさせないか」である
フレーミングとは、思考のスポットライトをどこに当てるかという「光の枠」である。枠の外側にあるものは、存在しないも同然として扱われる。重要なのは、この枠組みが結論ではなく、思考の入口を支配する点にある。「何を考えさせるか」ではなく、「何を考えさせないか」を無意識のうちに決定する境界線として機能するのだ。
「この問題は、規制対応として適切か」という問いが立てられた瞬間、「事業として持続可能か」「失敗したとき、どれほど回復できるか」という問いは無言のうちに後景へ退く。問いを立てないまま、合理性を保ちながら思考の幅を狭めていく。
枠組みが固定化した組織では、別の視点を持ち込むこと自体が「過剰」や「場違い」として扱われる。法務部員が事業継続性に言及すれば「それは事業部門の仕事」と言われ、経営企画が規制解釈に踏み込めば「それは法務マター」と線引きされる。機能分化は効率をもたらすが、同時に思考の分断も生む。そしてその分断こそが、視点の固定化を加速させる。
「規制対応フレーム」は必要条件に過ぎない
現代企業は、コーポレートガバナンス・コード、社外取締役ガイドライン、サステナビリティ開示基準など様々な規範に囲まれている。しかし実務の現場では、これらはしばしば「規制対応フレーム」として機能している。開示項目は埋まっているか、形式的な不備はないか……確かに、こうした確認作業は重要である。問題は、それが“思考の終点”になってしまうことだ。
サイバーセキュリティは、その典型例である。「開示項目としてのサイバー」「ガイドライン遵守としてのサイバー」という枠に収まった瞬間、サイバーリスクは「管理項目」となり、事業の根幹を揺さぶるリスクとしては語られなくなる。CISO(最高情報セキュリティ責任者)室は設置した。外部監査も受けた。取締役会にも報告している。こうした事実の積み重ねが、「対応済み」という安心を生む。
規制対応は、ガバナンスの必要条件である。だが、十分条件ではない。規制対応フレームはレジリエンス(復元力)を設計できない。なぜなら、「何を守るか」ではなく「何に問われないか」を判断基準に置くからだ。その枠に安住する組織は、「想定外」という言葉を免責の論理として使う誘惑に駆られてしまう。
なぜ組織は「合理的に誤る」のか
組織は愚かだから誤るのではない。合理性を保とうとするがゆえに、問いを絞り込んでいく。誰も間違ったことを言っているわけではない。ただ、言われなかったことが多すぎただけだ。取締役会で交わされなかった問い、資料に載らなかった前提、「そこまで考えなくてもよい」という暗黙の了解――。それらが少しずつ積み重なった先に、合理的な失敗が生まれる。
事業部門が「前例に従った」と説明し、法務部門が「法的には問題ない」と答え、経営企画が「開示基準は満たしている」と報告する。そのどれも正しい。しかし、それぞれの正しさが積み重なる中で、組織全体としての判断にゆがみや脆弱性が生じることがある。これは個人の能力の問題というより、思考の枠組みという構造上の問題である。そしてその問いを発することが、組織の最上位にいる者には特に求められている。
取締役会が「この枠組みで考えてよいのか?」と問わなければ、現場は与えられた枠の中で最善を尽くすしかない。
「レジリエンス統治」という考え方
では、枠組み自体を問い直す視点は、どこから生まれるのか。規制への適合を“終点”として設計された統治では、そもそもその問いは立ちにくい。求められるのは、規制対応を内側に含みながら、なお「それだけでは何を見落としているか?」を問い続けられる、より広い視点である。それが「レジリエンス統治」とでもいうべきフレームだ。
このフレームに立つとき、問いの立て方そのものが変わってくる。何が起き得るかを見極め、どこまで波及するかを把握し、どう立て直すかを描き、次にどう活かすかを組み込む。その一連のサイクルを経営の意思決定に埋め込んでいくことが、レジリエンス統治の本質といえる。手続きとしてではなく、思考の習慣として。
このフレームに立つとき、コーポレートガバナンス・コードや各種の開示基準は、単に守るべき「制約」ではなく、組織のレジリエンスを設計するための「材料」として捉え直すことができる。コンプライアンスはあくまで必要条件の充足点であり、そこから先に、組織独自の戦略的な統治設計が始まる。
このフレームに立つとき、サイバーリスクは単なるITの問題やコンプライアンスの項目にとどまらなくなる。操業、物流、ブランド、キャッシュフローを同時に揺さぶる、事業継続性の中核リスクとして位置づけ直すことが必要になる。
「工場の制御システムが乗っ取られたら、どこまで影響が及ぶのか」「復旧までに、どれほどの信頼を失うのか」「その危機を、取締役はステークホルダーに対して具体的な数字で説明できるのか」……こうした問い自体が、経営の責任領域を根本から見直すきっかけとなる。
自社のビールが消えた空白の商品棚が語るもの
大手ビールメーカーを想定してみよう。ランサムウェアによるサイバーインシデントが同社を直撃したとする。被害は情報漏えいという次元にとどまらず、顧客に「ビールが届かない」という、極めて具体的な事態として現れてくる。
あるビール会社の営業マンから、こんな話を聞いたことがある。最初の1年間は顔見知りの客として通い続け、信頼を積み重ねる。1年が過ぎてようやく素性を明かし、さらに半年を費やして初めて商談の入り口に立つ。1軒の店との関係を築くのに、1年半。それが、この業界における営業の現実だという。
サイバー攻撃によってサプライチェーンが途絶えた店舗は、やむを得ず競合他社のビールを入れることになる。販売店としては、棚のスペースを空白のままにはできない。物流が復旧したとしても、一度明け渡した棚を取り戻すには、また1年半、あるいはそれ以上の時間がかかる。長い時間をかけて築いた商圏が、気づけば他社に渡っていく。その損失は数字には現れにくい。しかし、経営にとってこれほど実質的な痛手はないだろう。
ここで、冒頭のエピソードに立ち返りたい。ビールが届かないというオペレーション上の危機と並行して、企業はもうひとつの課題に直面する。「ブランドの信頼を失う」というナラティブの損傷だ。
(写真はイメージ)
今回の危機が「ブランドへの不信」として広がった背景には、偶然の要素もあったかもしれない。だが重要なのは、ブランドの信頼=「物語」は、危機が起きてから守ろうとしても遅いという点だ。日々の経営判断の積み重ねの中にこそ、その土台はある。
従来の危機対応では、「想定外だった」という説明がなされることもある。しかし、レジリエンス統治の視点では、その説明自体が問題の核心となり得る。取締役会で問われるべきは、「サイバーセキュリティ体制は整備されているか」にとどまらず、より具体的な問いへと踏み込む必要があるのではないか。
「最悪のシナリオまで、リスク評価の射程に入っているか」「工場が止まっても、事業は持ちこたえられるか」「棚を失った営業マンたちが再び1年半をかけて関係を再構築しなければならないとき、その機会損失は誰の問題として扱われているか」……こうした問いに向き合える組織が、真の意味でのレジリエンス統治に近づいていけるのではないだろうか。
管理部門に求められる“越境”の技術
では、こうした問いを日常の経営判断に埋め込む役割を、誰が担うのか。そのひとつの答えが、管理部門のあり方を問い直すことにある。法務、経理、人事、経営企画といった管理部門は、しばしば「守りの部門」と位置づけられる。だが、レジリエンス統治の視点に立てば、その役割は本質的に変わり得る。
法務は、規制の解釈者であると同時に、事業リスクの翻訳者である。条文の要件を確認するにとどまらず、「この規制が想定している最悪のシナリオは何か」「それが自社で起きたとき、どの事業機能が最初に止まるか」を問う。経理は、インシデント対応コストを事後的に計上するだけでなく、「操業停止1日あたりの逸失利益はいくらか」「その回復に何四半期を要するか」を事前に可視化する。人事は、危機対応訓練を形式的なイベントで終わらせず、「この訓練で、どの部門間の連携が欠けていたか」を組織の記憶として蓄積する。
こうした部門横断的な越境は、担当範囲の逸脱などではない。視点の固定化を防ぐための、管理部門の本質的な役割である。もっとも、越境には摩擦が伴う。機能分化は「非効率の排除」という正当な目的のもとに設計されており、個々の担当者が自律的に境界を越えれば、責任の所在の曖昧化を招く恐れもある。
だからこそ、越境の起点は個人の裁量ではなく、経営による設計でなければならない。越境をアドホックな(その場しのぎの)逸脱ではなく、ガバナンスの構造に織り込むこと。それが経営の責任である。
実務で使える「フレーム転換」の問い
実務の現場で、どのように思考の枠組みを転換すればよいのか。3つの具体的な問いを提示したい。
【問い1】「この資料は、何を語らせないようにしているか」
取締役会資料、稟議書、報告書を読むとき、“書かれていないこと”に注目する。「リスク管理体制」という見出しの下に具体的な被害想定が書かれていなければ、規制対応フレームに支配されているサインかもしれない。
【問い2】「この会議で、誰の問いが封じられているか」
例えば、「それは法務マター」と線引きされる瞬間に注目する。越境的な問いが“場違い”とされる組織では、視点が固定化している。
【問い3】「この判断で、どこまでが『想定外』として最初から除外されているか」
「前例がない」という言葉が免責として使われるとき、組織は思考を停止している。レジリエンス統治においては、「前例がないからこそ、想定すべき」となる。
フレーミングを“選び直す”という経営者の責任
思考の枠組みは不可視の支配である。だが、それは運命ではない。ESGを「罰を避けるための規制対応」と読むのか、「レジリエンスを稼ぐための統治設計図」と読むのか。サイバーセキュリティを「IT部門の管理項目」と見るのか、「事業継続性の中核リスク」と位置づけるのか。その選択が、次の危機における被害の深刻さと回復の速さを決める。そして何より、組織が合理的に誤り続けるのか、学習できるのかを分ける。
最後に、冒頭のエピソードに戻ろう。「ビールが手に入らない会社」という印象が消費者の記憶に刻まれ、企業の意図とは無関係に一人歩きする——そうした"語られ方"の制御を、組織は偶然に委ねていたかもしれない。だが、次の危機でも同じ偶然を期待するのか。レジリエンス統治が問うのは、その1点だ。「棚を守る設計」と「物語を守る設計」の両方を、経営の意思決定の中に静かに織り込んでいくこと。それが、フレームを意図的に選び直すという責任の中身である。
視点の選択は、単なる認識の問題ではなく、組織の未来を決める、最も静かな、しかし最も決定的な分岐点である。
(次回は2026年3月19日配信予定)