日本のIRが区域申請のステージに進んできた昨今、実務者にとってぜひ学んでおきたいのがリスクマネジメントの分野だ。明治大学リバティアカデミー2021年の「日本版IR(統合型リゾート)のビジネス展望~IR事業にかかわるビジネスパーソンのための実務解説~」に登壇するNPO法人ゲーミング法制協議会 リスクマネジメント分科会 責任者 シニアリスクマネージャーの木村彰宏氏に話を聞いた。(敬称略 インタビュアー JaIR編集委員 玉置泰紀)
NPO法人ゲーミング法制協議会 リスクマネジメント分科会 責任者 シニアリスクマネージャー 木村彰宏氏
玉置:まずはIR事業におけるリスクについて教えてください。資料によると、大分類で25、小分類では400以上とありますが。
木村:事業者や自治体が注意すべきリスクは、自然災害やパンデミック、サイバー攻撃、治安、地域風俗など、多岐にわたります。たとえばIRは24時間営業することになるので、たとえば治安面では夜間騒ぐ人や暴走族等が増えるといった懸念もあります。
自然災害は民間だけでは難しいので、自治体との連携が重要だし、コロナウイルスのような感染症に関しては、人の密集しない施設と制度作りが必要になります。自然災害が起こった際、たぶんIR内に避難場所ができることになりますが、その際の避難場所の運営(食料や誘導等)はどうするといった課題も出てきます。いずれにせよ、民設民営とはいえ、事業者だけでは多くのリスクをゼロにするのは難しいので、自治体や地元と連携する必要があります。
玉置:リスクはどのように回避すべきでしょうか?
木村:自然災害にしても、コロナウイルスにしても、多くのリスクの発生をコントロールはできません。発生のコントロールができないリスクに関しては、起こることを前提として、いかに早期に回復できるかというレジリエンスの視点が重要になります。現在の不可抗力リスクというのは、昔のように防ぐ(防災)のが難しいことが特徴です。私としては、いったん受け止めて、早く回復させることを優先するレジリエンスマネジメントを推奨しています。
玉置:木村さんが「リスク・レジリエンスマネジメント」を専門にしているのはそういう理由なのですね。
木村:はい。一言でリスクマネジメントと言っても、デジタルやセキュリティ、医療、経営など、さまざまな分野へのアプローチがありますから、多くの手法を使う必要があります。
玉置:事業者はIRのリスクマネジメントをどのように行なっているのでしょうか?
木村:実は北米系とアジア系でかなり様子が違います。
北米系の事業者は、自国を中心に世界中のリスクを一括してコントロールする傾向にあります。そして可能な限り、ほかの目(第三者)を入れたがります。これは他国のトラブルが自国のライセンスに傷を付けてしまうライセンスのクロスデフォルトを恐れているからだと思います。ですので、基本的にはリスクへの対応はグローバルレベルで統一されていますが、地域特有の事情を汲みにくいという少しネガティブな点もあります。
一方、アジア系の事業者は基本的には各地域や施設のトップにお任せています。いずれの手法も、一定のセキュリティやマネジメントはなされていますが、外部への発信力に関しては北米の方がやや強いかなというイメージです。
木村:IRのリスクって本当に多岐に渡りますし、他の開発プロジェクトと中身も違います。しかも、ワンストライクで命取りになるようなリスクも存在します。
多くのリスクを、洗い出しまではやる。洗い出された結果、対策を考えなくて放置するリスクもあります。でも、IRのリスクの場合、放置しておくとあとで大きな問題になることがあります。ですから、洗い出したリスクはたとえ小さくとも1つずつつぶしていかなければならないということです。
加えて訴えたいのは、このリスク管理を海外の事業者のみに任せないということです。特にゲーミング関連は日本での実績がないため、海外の事業者は自分たちの論理や手法で実施しようとします。ゲーミングの収益がないとIRは事業として難しく、そのためにも各ライセンスをしっかりと維持管理していく必要があります。コンソーシアムに参加する企業は、自治体と連携して、海外の事業者と一緒にリスクを管理することが重要です一方、自治体がIRのリスクに精通しているかというとなかなか現実的ではありません。そのためにもステークホルダーを含め、お互いの意思疎通と翻訳ができるリスクマネージャーのような存在が必要になると思います。
玉置:具体的にはどんな人材が必要なのでしょうか?
木村:リスクマネージャーというより、レジリエンスマネージャーが必要になると思います。今までは、防災や他への転嫁といったことをやっていたのですが、今後は未知のリスク、
激甚化するリスク、予知予防するテクノロジーが複雑にからみあいます。そのため、これらのリスクをいったん受け止めつつ、早く回復させられることを大切にするマネジメント人材が必要になると思います。
たとえば、不正防止のためにカジノで監視カメラを使うということだけでも、テクノロジーだけでなく、法制度やライセンスまで関係します。そういう意味では、座学だけではなく、現地で状況を見て、海外の事業者や高度化するテクノロジーの担当者ときちんと話し合える人材が必要になると思います。専門性がないとプロ側が万が一隠ぺいしようとした場合に、見抜くことが出来ないからです。
とはいえ、なかなかそのような人材がいないのも事実ですので、各分野に精通した人を束ねられるプロデューサーが必要かとも思います。スーパーマンを束ねるスーパーマンという感じですかね。
玉置:事業者と取引する企業もこうしたリスクマネジメントの概念は必要なのでしょうか?
木村:IRでは、未だ範囲は明らかにされていませんが、取引先や納入業者についても背面調査の手が伸びる可能性があります。しかしながら、これまでの通常業務の範囲でのコンプライアンスやセキュリティでは背面調査の範囲をカバーできない可能性が高く、IR事業ののコンプライアンスやセキュリティの高さを十分理解しないと、IR事業者にとってライセンス停止、剥奪の条件に抵触する可能性がある場合、その取引先や納入先はすぐに取引停止になる可能性があります。
シンガポールで聞いた話だと、建設会社の孫請け会社で働いている従業員が人身売買で連れてこられた場合、これもIR事業者に責任がおよぶそうです。ここまで影響があるいう点を考え、取引先や納入業者はIR事業者の課したルールを厳格に守らなければならなくなります。
多岐に渡るIR事業のリスクを知る重要性
玉置:まずはIR事業におけるリスクについて教えてください。資料によると、大分類で25、小分類では400以上とありますが。
木村:事業者や自治体が注意すべきリスクは、自然災害やパンデミック、サイバー攻撃、治安、地域風俗など、多岐にわたります。たとえばIRは24時間営業することになるので、たとえば治安面では夜間騒ぐ人や暴走族等が増えるといった懸念もあります。
自然災害は民間だけでは難しいので、自治体との連携が重要だし、コロナウイルスのような感染症に関しては、人の密集しない施設と制度作りが必要になります。自然災害が起こった際、たぶんIR内に避難場所ができることになりますが、その際の避難場所の運営(食料や誘導等)はどうするといった課題も出てきます。いずれにせよ、民設民営とはいえ、事業者だけでは多くのリスクをゼロにするのは難しいので、自治体や地元と連携する必要があります。
玉置:リスクはどのように回避すべきでしょうか?
木村:自然災害にしても、コロナウイルスにしても、多くのリスクの発生をコントロールはできません。発生のコントロールができないリスクに関しては、起こることを前提として、いかに早期に回復できるかというレジリエンスの視点が重要になります。現在の不可抗力リスクというのは、昔のように防ぐ(防災)のが難しいことが特徴です。私としては、いったん受け止めて、早く回復させることを優先するレジリエンスマネジメントを推奨しています。
玉置:木村さんが「リスク・レジリエンスマネジメント」を専門にしているのはそういう理由なのですね。
木村:はい。一言でリスクマネジメントと言っても、デジタルやセキュリティ、医療、経営など、さまざまな分野へのアプローチがありますから、多くの手法を使う必要があります。
玉置:事業者はIRのリスクマネジメントをどのように行なっているのでしょうか?
木村:実は北米系とアジア系でかなり様子が違います。
北米系の事業者は、自国を中心に世界中のリスクを一括してコントロールする傾向にあります。そして可能な限り、ほかの目(第三者)を入れたがります。これは他国のトラブルが自国のライセンスに傷を付けてしまうライセンスのクロスデフォルトを恐れているからだと思います。ですので、基本的にはリスクへの対応はグローバルレベルで統一されていますが、地域特有の事情を汲みにくいという少しネガティブな点もあります。
一方、アジア系の事業者は基本的には各地域や施設のトップにお任せています。いずれの手法も、一定のセキュリティやマネジメントはなされていますが、外部への発信力に関しては北米の方がやや強いかなというイメージです。
事業の迅速な回復を実現するレジリエンスの方が重要
木村:IRのリスクって本当に多岐に渡りますし、他の開発プロジェクトと中身も違います。しかも、ワンストライクで命取りになるようなリスクも存在します。
多くのリスクを、洗い出しまではやる。洗い出された結果、対策を考えなくて放置するリスクもあります。でも、IRのリスクの場合、放置しておくとあとで大きな問題になることがあります。ですから、洗い出したリスクはたとえ小さくとも1つずつつぶしていかなければならないということです。
加えて訴えたいのは、このリスク管理を海外の事業者のみに任せないということです。特にゲーミング関連は日本での実績がないため、海外の事業者は自分たちの論理や手法で実施しようとします。ゲーミングの収益がないとIRは事業として難しく、そのためにも各ライセンスをしっかりと維持管理していく必要があります。コンソーシアムに参加する企業は、自治体と連携して、海外の事業者と一緒にリスクを管理することが重要です一方、自治体がIRのリスクに精通しているかというとなかなか現実的ではありません。そのためにもステークホルダーを含め、お互いの意思疎通と翻訳ができるリスクマネージャーのような存在が必要になると思います。
玉置:具体的にはどんな人材が必要なのでしょうか?
木村:リスクマネージャーというより、レジリエンスマネージャーが必要になると思います。今までは、防災や他への転嫁といったことをやっていたのですが、今後は未知のリスク、
激甚化するリスク、予知予防するテクノロジーが複雑にからみあいます。そのため、これらのリスクをいったん受け止めつつ、早く回復させられることを大切にするマネジメント人材が必要になると思います。
たとえば、不正防止のためにカジノで監視カメラを使うということだけでも、テクノロジーだけでなく、法制度やライセンスまで関係します。そういう意味では、座学だけではなく、現地で状況を見て、海外の事業者や高度化するテクノロジーの担当者ときちんと話し合える人材が必要になると思います。専門性がないとプロ側が万が一隠ぺいしようとした場合に、見抜くことが出来ないからです。
とはいえ、なかなかそのような人材がいないのも事実ですので、各分野に精通した人を束ねられるプロデューサーが必要かとも思います。スーパーマンを束ねるスーパーマンという感じですかね。
玉置:事業者と取引する企業もこうしたリスクマネジメントの概念は必要なのでしょうか?
木村:IRでは、未だ範囲は明らかにされていませんが、取引先や納入業者についても背面調査の手が伸びる可能性があります。しかしながら、これまでの通常業務の範囲でのコンプライアンスやセキュリティでは背面調査の範囲をカバーできない可能性が高く、IR事業ののコンプライアンスやセキュリティの高さを十分理解しないと、IR事業者にとってライセンス停止、剥奪の条件に抵触する可能性がある場合、その取引先や納入先はすぐに取引停止になる可能性があります。
シンガポールで聞いた話だと、建設会社の孫請け会社で働いている従業員が人身売買で連れてこられた場合、これもIR事業者に責任がおよぶそうです。ここまで影響があるいう点を考え、取引先や納入業者はIR事業者の課したルールを厳格に守らなければならなくなります。