特集
BCPのプロに訊く! 企業価値を高める事業継続計画の考え方
※BCP:Business Continuity Plan(事業継続計画)
東日本大震災であらためて浮き彫りになったBCP(事業継続計画)の重要性。イザというとき、現実に機能するプランづくりには、どのような視点が必要なのか。また有事のセキュリティ・マネジメントのあり方とは──? この分野の第一人者である、名古屋工業大学大学院の渡辺研司教授にお話を伺った。
事業継続への取組みが企業価値を左右する時代へ
名古屋工業大学大学院 社会工学専攻 教授
リスクマネジメントセンター 防災安全部門長
1961年生まれ。86年京都大学農学部卒業、富士銀行入行。97年PwCコンサルティングに移籍後、2003年長岡技術科学大学経営情報系准教授、2010年より現職に。内閣官房重要インフラ専門委員会委員、経済産業省産業技術環境局ISOセキュリティ統括委員会委員、ISO/TC223(社会セキュリティ)WG国際議長などを兼務。英国BCI会員。工学博士、MBA。
東日本大震災を機に一躍注目を浴びた「BCP(事業継続計画)」ですが、その普及率はまだまだ低いのが現状です。帝国データバンクの調査によると、震災以前にBCPを策定していた企業は全体の7.8%。大企業で21.5%、中小企業で6.5%という内訳です。さらに、震災後BCPを新たに策定する(した)、見直す(した)と意向を示したのは回答企業の25%。BCPを持っていた企業は、実際に発動した結果ダメだったところを見直そうとなるのですが、元々持っていなかった企業はなくてもなんとかなったので、策定する予定もない。そういう二極化が起こっているんですね。
でも今後はそうも言っていられなくなる。その理由のひとつが、取引先や市場の評価です。そもそも企業のBCP導入のきっかけでいちばん多かったのが、「取引先からの要請」というもの。メーカーにとって、サプライヤーが有事の際にも商品を納入できるか否かは重要な取引条件となるからです。また中長期の投資を考えれば、今後は格付機関の評価項目にも事業継続性が入ってくるのは必至。事業継続への取組みの有無は企業価値をも左右するという事実を、経営者は肝に銘じておいたほうがいいでしょう。
プラン策定の第一歩は、企業の本質を見直すこと
では、BCPを策定して認証を取ればいいかと言うと、それだけでは不十分。そのプランが現実に機能するものでなければ意味はありません。そこで、まず真っ先に考えたいのは「継続すべき事業は何か」ということ。突き詰めればそれは自分たちの生業を見つめ直す作業、つまり経営理念そのものです。たんに業績のいい部門を継続させるのではなく、その企業の存在価値たる本業を守っていく──。その確固たる信念さえあれば、BCPは正しく機能していくはずです。
たとえば、お客様第一を上げることを社是とするなら、通信インフラがダウンし指揮系統が途切れた状況下においても、現場がどれだけ自主的に判断できるかがカギとなる。目の前にお客様がいるのにサービスが提供できないようでは、事業継続は望めません。また自動車会社であれば、新車の製造ラインを止めてでも、災害支援や生活復旧で被災地を走り回るの修理やメンテに回るという社会的責任の果たし方もある。その企業が企業たる使命を遂行するために、災害時にすべきことを日頃から議論していく。そしてその実践に向けた訓練・演習を積み重ねていく。それが、BCP策定の考え方の基本となります。
動的情報セキュリティ・マネジメントの必要性
事業継続を考えたときに重要な経営資源は、「人」「設備」「ICT」。災害時には、この3つが複合的に機能しなくなる事態が考えられます。たとえば、データはバックアップされていてネットワークも機能しているのに、オペレーションできる人間がそこにアクセスできないという状況も考えられる。物理的にたどり着けないケースのほか、セキュリティの壁という問題もあります。
実際、情報漏洩などの社会問題も多く、日本のセキュリティは何でも閉じ込めてしまう傾向にありますが、緊急時にはセキュリティのレベルを下げてでも情報を使わなければいけない場合が多々ある。つまり、これからは状況に応じて柔軟に情報を運用できる動的情報セキュリティ・マネジメントの発想も必要となってくるわけです。
BCP策定においては、すべての情報をバックアップし、何がなんでも機密性を守るという観点ではなく、どの業務が重要で、それはどんなシステムに依存し、誰がどういうかたちでデータを扱っているのかを洗い出してみること。すると死守すべきデータベースやサーバー、ネットワーク、オペレーターの存在は自ずと明確になってくる。そのうえで妥当なプランや予算を組んでいくのが賢明でしょう。
BCPの実践がQOLの向上につながる
災害時には何が起こるかわかりません。そのときに慌てずBCPを発動できるようにするためにも、日頃からの訓練や演習が重要になってきます。ここで言う演習とは、災害時のインパクトを様々なシナリオを通じて想定しておくことです。たとえば、「3日間電力が止まったらどうするか」「本社ビルに24時間入れなくなったら」「メイン工場が3日間稼動しなかったら」という発生事象ごとにプランをつくっておく。そうすれば、地震や台風、パンデミックといったリスクの種類にかかわらず、幅広く対応できるはずです。
もちろん、プランをつくるだけでなく、それに基づいたオペレーションに慣れておくことも大切。平常時からバックアップシステムによる業務を実施したり、在宅勤務で会社にリモートアクセスするといった機会を定期的に設けておくといいでしょう。ふだんからやっていないことを、災害時にいきなりできるわけはないのですから。
そういう意味では、ふだん使いのPC選びも重要です。堅牢性や携帯性、バッテリーの持ちといった災害時に役立つスペックは、日常業務でも頼りになるはず。オフィスや家庭、あらゆる場所で常時使いこなしていくことで、イザというとき、より威力を発揮してくれるに違いありません。
私は、BCPとはQOL(クオリティ・オブ・ライフ)につながるものだと考えています。それは、いつでもどこでも好きな場所で仕事ができるというワークスタイルを実現するものだからです。どこにいても連絡がとれて意思決定ができる、誰かが休んでもほかの誰かが業務をバックアップできる──そういう柔軟な働き方を実践している企業は、災害時にも問題なくバーチャルオフィスに移行できるインフラが整っている。大地震や大津波ににも耐え得るBCPだと大上段に構えず、まずはそうした身近なところから意識を変えてみてはいかがでしょう。
インテル® Core™ Ultra シリーズ 3 プロセッサー 搭載
Intel vPro® プラットフォーム
※モデルによって搭載されているプロセッサーの種類やスペックが異なります。
