ここから本文
2024年6月 | SPECIAL FOCUS
2024年1月に発生した能登半島地震や2020年に始まった新型コロナウイルス感染症のパンデミックは、予期せぬ事態がもたらすビジネスリスクの存在を浮き彫りにしました。同時に、企業がこうした事態に対処するための「BCP(Business Continuity Plan:事業継続計画)」策定の重要性が再認識されました。本特集では、自然災害などが企業活動に及ぼす影響を考えながら、BCPとは何かといった基本やBCPにおけるIT活用について解説します。
能登半島地震は、住民生活のみならず企業活動にも大きな影響を与えました。北陸地域は半導体、エレクトロニクス、自動車部品等の生産基盤として知られ、能登地方には多くの企業が工場や営業所などを置いています。そのため、工場が被災して部品が製造できなくなった、材料が工場に納入できなくなり工期が延長した、というような影響がサプライチェーン全体に及びました。
一方、新型コロナウイルス感染症のようなパンデミックの場合、直接的な被害を受ける経営資源は人であり、事業継続のポイントは人員の再配置になります。新型コロナウイルスの感染拡大で製造業や建設業などは事業の停止や縮小を余儀なくされた企業が少なくありません。また、医療、福祉、行政、物流、小売業などのエッセンシャルワーカーも多大な影響を受けたことは記憶に新しいところです。
こうした状況に対処するため、被害を最小限に抑えて重要な業務を継続させる、中断した場合、できる限り短期間で復旧させたりするための方法、体制、手段などを取り決めた行動計画書が「事業継続計画(BCP)」です。BCPを作成することで、不測の事態でも有効な対処が可能となります。
BCP、リスクマネジメント、防災マニュアルは、一見似たような意味の用語ですがそれぞれカバーする範囲が異なります。
リスクマネジメントは、想定されるリスクに対処して損失を回避するための施策です。ISO31000では、リスクを「目的に対する不確かさの影響」と定義しており、これはプラスの要因も含みます。一方、BCPは、あらゆる非常事態に備えるもので、自然災害やパンデミックなどのマイナス要因だけでなく、あらゆる事業継続上の危機に対処することです。
防災マニュアルは、災害の発生を未然に防ぎ、被害の拡大を防止し、迅速な復旧を図るための取り組みです。BCPは災害だけでなく、停電や交通インフラの機能停止など、幅広い事業継続上の危機に焦点を当てています。そのため、防災マニュアルはBCPの一部と見なされます。
それでは、BCPに取り組んでいる日本企業はどの程度あるのでしょうか。内閣府では大企業と中堅企業を対象に、企業の事業継続と防災の取り組みに関する実態調査を実施しています。2021年度版(令和3年度版)によると、BCPの策定率は大企業が70.8%(前回比2.4%増)、中堅企業は40.2%(前回比5.8%増)となりました。「策定済み」と「策定中」の回答を合わせると、大企業は約85%、中堅企業は約52%となります。
BCPを作成したきっかけで多いのは、大企業・中堅企業とも「リスクマネジメントの一環として」であり大企業で37.8%、中堅企業で29.7%となっています。「経営陣の指示」「取引先の要請」は両者とも10%以下で多くありません。過去、災害に遭遇した企業に対してBCPが役に立ったかどうかを尋ねた質問には、「とても役に立った」と「少しは役に立ったと思う」を合わせて約5割になります。しかし、能登半島地震をきっかけに企業防災の大切さを実感した企業も多く、BCPの策定や見直しに着手するケースが増えています。
BCP策定の流れを確認します。内閣府が作成した小冊子「企業の防災対策・事業継続強化に向けて」(https://www.bousai.go.jp/kyoiku/kigyou/)によると、重要なポイントは、①事業継続に対する基本方針を明確化すること、②事業中断で予想される影響・想定事象やそれに伴うリスクを想定することにあるとしています(図1参照)。①の事業継続に対する基本方針の明確化でいうなら、人命を最優先とする、重要顧客に対する供給責任を果たすなどが挙げられます。②の事業中断で予想される影響や想定事象については、大規模地震では一定期間ライフラインや交通の制約があることを踏まえるなどとしています。
さらに以上の2点を押さえたうえで、「重要業務の選定」「目標復旧時間の設定」「必要なリソースの確保」の3要素を明確化することとしています。重要業務は、売上/ 利益への影響、顧客の必要性、納期が短いものなどの観点で検討すること。目標復旧時間は、いつまでに復旧すべきか、どの程度まで許容できるかなどを決めることです。必要リソースは、重要業務に必要な最低限の経営資源(ヒト/モノ/カネ/情報)をどのように確保するかです。
図1:BCP策定の重要ポイント
出典:内閣府 「企業の防災対策・事業継続強化に向けて ~切迫する大規模地震を乗り越えるために~」(簡易パンフレット)P8
https://www.bousai.go.jp/kyoiku/kigyou/
経営資源であるヒト/モノ/カネ/情報の中でも、近年クローズアップされているのが情報です。企業でITシステムが大きな役割を担うようになり、ITシステムにおけるBCP対策「ITーBCP」の重要性が増しています。ITーBCPは、災害時や緊急時にも運用が維持できることを目的として策定する必要があります。
代表的な対策がデータのバックアップです。設計図面や顧客情報など、消失してしまうと事業継続すら危なくなるようなデータは、クラウドや遠隔地のデータセンターにバックアップを置くことで、地域が限定される災害による損害を最小限に抑えることができます。同様の考え方で、システムを2重化しておくことも有効です。稼働中のシステムが停止しても、予備システムに切り替えることで事業を継続することができます。
オフィスが機能停止に陥った時に備えてリモートワーク環境を整備することも重要です。コロナ禍でリモートワーク環境を整備した企業は増えていますが、緊急時に備えて日頃から活用できるようにすることが求められます。さらに、災害時には電話やメールが利用できなくなる可能性もあるため、安否確認などの連絡が取れる手段を検討しておくとよいでしょう。
サイバー攻撃対策、情報漏洩対策としてセキュリティーソフトを導入することはもちろんのこと、社内に専門チーム(CSIRT)を設置したり、セキュリティー運用をアウトソーシングしたりすることもITーBCPとなります。
BCP策定は、災害にあってからでは間に合いません。後悔することがないように「もしも」が起こる前に取り組むことが求められます。
明治大学 顧問 名誉教授向殿 政男 氏
明治大学 顧問 名誉教授、校友会名誉会長、公益財団法人 鉄道総合技術研究所 会長、一般社団法人 セーフティグローバル推進機構 会長。明治大学大学院工学研究科電気工学専攻博士課程修了。明治大学工学部教授、同理工学部教授、情報科学センター所長、理工学部長を経て、2013年から名誉教授。2009年から明治大学校友会会長。経済産業省製品安全部会長、国土交通省昇降機等事故調査部会長、消費者庁参与などを歴任。主な著書に『安全四学 ―安全・安心・ウェルビーイングな社会の実現に向けて―』(共著、日本規格協会)、『安全学入門』(共著、研成社)、『Safety2.0とは何か? 隔離の安全から協調安全へ』(中災防)など。
明治大学
