昨年から今年に掛けて、列島では震度4以上の比較的大きな地震が多発しています。
2035年±5年、つまり2030年代に必ず起こると言われる南海トラフ地震の脅威が注目を集める中、コロナ禍も手伝って、日本企業は従来にも増して危機管理への感度を高めています。
この寄稿では、企業目線のBCP/危機管理や防災について、現状の取組みや課題についてお話ししていきたいと思います。
シリーズ BCPの教室
日本企業の危機管理の実態と課題
防災、危機管理、BCP の違い
企業の災害対応を語る際、特に中堅・中小企業の方々から指摘されるのが、災害時の行動を定義する言葉が分かり難いというもの。先ずその辺りを整理していきたいと思います。
一般に「災害への対応」を行うにあたり、企業は、
● 防災
● 危機管理
● BCP(Business Continuity Planning、事業継続計画)
という用語それぞれに応じた対応を行います。これらを同じだと誤解されている方(特に経営者)も多いのですが、それは対応する災害の種類が同じだったり、対応過程が連続しているために間違って使われることがありますが、全くレベルの異なる「対応手法」です。
図1.“防災”、”危機管理”、”BCP”の違い
「防災」は、通常企業の過去の経験や社会的に普遍性のある「火災」への対応が代表的ですが、地震や風水害などに対しては、国・自治体と企業とでは考え方が異なります。地震に対しての企業防災という括りでは、防災訓練(火災訓練と合わせて行われる避難訓練が中心)や防災備蓄品(簡易食料や水、簡易トイレ、救命救護用具、医療用品など)が当てはまります。
「危機管理」は、例えば上場企業では、法律としてリスクマネジメントを実施する必要があり、洗い出した企業リスクの内、リスク発生の頻度や被害想定金額などの重要度(重要度頻度分析によるリスクマップ)に応じて、優先度の一段高いレベルで「危機管理」項目を 3 つ~ 4 つ程度設け、その対応を年度計画に落とし込みます。例えば、「今期は、危機管理項目として、南海トラフ地震が発生した際のシナリオに基づくBCP訓練を行い、BCPマニュアルの見直し/改善を行う」などという設定をします。
図2. リスクマップ(重要度頻度析)の例
図3. リスクマネジメント、危機管理、BCPの流れ
通常この危機管理に挙げられるのは、業種業態に共通して「情報セキュリティ」、「震災(地震災害)」、「台風・大雨などの風水害」、新型コロナによる「パンデミック(新興)感染症」、「コンプライアンス」、「DX/AI化」などがあり、さらに業界に特化した危機管理項目も設定されます。例えば、製造業であれば、「製品瑕疵」や「検査データ改ざん」などが含まれるかもしれません。
もう一つ「危機管理」には、「BCP」行動の時系列的に初期段階を指して言うことがあります。例えば地震の場合では、初動と緊急対応(発災から三日間程度)フェーズを危機管理フェーズということがあります。ここを経てBCP(事業復旧)フェーズへと進みます。また新型コロナのような感染症の場合には、まさに今の段階が危機管理フェーズです。感染症BCPの場合には、欠勤率が30%以上になるなど、企業の事業継続として、非常に困難になった時点でBCPが発動されます。
「BCP(事業継続計画)」は、上記の危機管理項目の内、外的環境要因つまり、自然災害(地震や台風など)や感染症、テロなど、企業努力で防ぐことが出来ない地球環境の災害に対して対応します。そのため、火災や情報セキュリティ、コンプライアンスは、BCPとして対応しません。なお中堅・中小企業のケースでは、リスク管理や危機管理の延長線上ではなく、取引先からの強い要請によって、リスク管理と結び付けずにいきなりBCPを策定するという流れもあります。
また他の項目と違うBCPの大きな特徴として、ステークホルダーや社会などからの”評価”が前提であること、世界標準としてのフレームワーク(BCMS: Business Continuity Management System、ISO22301)があることが挙げられます。
防災備蓄品と対称的に、BCPの備蓄品は、対策本部が使うもの(PC やスマホ用蓄電池やホワイトボード、近距離通信用トランシーバーなど)が中心となります。
企業 BCP の実態
日本政府や経団連などでは、10年ほど前から、企業に対してBCPを策定するよう勧奨しています。多くの企業で毎年のように危機管理の項目として挙げられる「震災(地震災害)」や「台風・大雨などの自然災害」、新型コロナ感染症に代表される「パンデミック感染症」は、企業努力だけでは防ぐことが出来ない外部環境因子によるリスクとして、BCPとして対応することになります。つまり企業努力などによって防ぐことが出来るものは、BCPにはなり得ません。例えば情報セキュリティやコンプライアンスなどは、BCPとして対応するわけではありません。
私のような危機管理コンサルタントは、企業のBCP策定や危機管理対応、例えば、対応策を決める際のアドバイス、その対応策をドキュメントに落とし込む際のマニュアル等の執筆支援、対応策が決まったら、BCP訓練の計画や実施への支援を行っています。
通常企業側でリスクや危機管理、BCP に対応する部門として、総務部門が行うことが多く、企業によっては、CSR 推進室や SDGs 推進室などが行うこともあります。
冒頭で触れたBCPと防災、どこに差があるのでしょうか。また実際に、企業のBCPの実体はどういったものなのでしょうか。
先ず、BCPには、フレームワークというものがあります。これはBCPを策定する上で必須なのですが、通常「マネジメントシステム」と呼ばれるもので、世界的に見れば、ISOxxxxxなどのようにBSI(英国規格協会)で定められた仕組みを利用します。
このマネジメントシステムというのは、通常、
-
❶ 基本方針の策定
❷ 組織と責任者の設定
❸ 対象の分析
❹ 対応策策定
❺ ドキュメント化
❻ 教育・訓練
❼ PDCA
で構成され、BCPでも同様に、
-
❶ 基本方針の策定
❷ 危機管理組織と責任者の設定
❸ 事業影響度分析
❹ 対応策策定
❺ ドキュメント化(危機管理規定、BCP規程、初動マニュアル等)
❻ 教育・訓練(BCP対策本部訓練、防災訓練)
❼ PDCA
として対応します。
図3. BCMS のフレームワーク
❷の組織と責任者には、経営陣による最高責任者が含まれます。
❸の事業影響度分析とは、例えば巨大地震が発生した際に、会社の事業がどのような影響を被るか、ヒト、モノ、カネ、ジョウホウ、ブランドという企業リソースを切り口に分析します。単にモノが壊れたり商品を作ることが出来なくなったり物流が滞ったりすることによる直接的な定量的要素以外にも、震災による需要の増減、風評被害などを含めた定性的要素も加味します。中核事業の継続維持が難しい場合には、外部リソースによって補うかも検討します。
❹では、備蓄品の購入や安否確認システム、災害ポータルサイトの構築などが含まれます。
❺では、ドキュメント体系を「規定/規程」、「マニュアル」、「手順書」、「様式/書式」に分け、それぞれ適用した内容を記述します。
❻では、マニュアル化した対応策を実際に「訓練」します。防災訓練ではないBCP対策本部訓練を行い、そこで見つけた課題を改善し、❼PDCAを回します。
では何故「マネジメントシステム」なのか。これは、基準となる策定フレームワークとして、外部から評価を受ける必要があるためです。ここが、BCPと防災の決定的な違いです。つまり外から評価を受けることを前提としたものがBCPであり、企業が独自に判断するものが防災だと言うわけです。
ところが十年前頃では、企業が何の根拠もなく、勝手にBCPを策定していると言っていたことがありました。しかし東日本大震災や熊本地震など大きな震災を被って、事業継続が出来ないことでBCPの内容が実体のないものだったが白日の下になってしまう企業が多くありました。
自動車業界やコンビニ業界などでは、古くから、そのピラミッドの頂点にある企業は、その配下の取引企業に対してBCP策定を求め、アンケートと称した確認を行ってきました。しかしアンケートには、実施していないのに「やったこと」にしていたり、ドキュメント化されていないのに「マニュアルがある」と返答していたり、その実効性は、実際のところ危うい状況が続いていたわけです。
その為、数年前から、これらの頂点にある企業では、さらに踏み込んだチェックシートやテンプレートなどを準備し、対象企業のBCPに対して厳しくチェックし、実効性を伴うBCPの構築を強く押しすすめるに至りました。このことにより配下の企業には、その規模の大小に関係無く、トップ企業のためのBCP策定が義務付けられる状況となったわけです。
そのため、私たちBCPコンサルを行う立場においても、数年前から、これらのピラミッドに属する企業からBCP策定の外部評価を求められることが多くなりました。
BCP の外部評価方法とBCPの課題
実のところ、対外的に評価されるために行う企業のBCPに対して評価する方法は、フレームワークとしてのBCMS(Business Continuity Management System)の存在有無以外、何か標準的で具体的な評価手段があるわけではありません。さらにBCMSの実効性を評価する方法もありません。しかし通常ステークホルダーや社会に対して、この企業はBCPをちゃんとやっているのか、ということをチェックする方法はあります。下図は、企業自らが、BCP策定のレベルを測るためのセルフチェック項目例です。
図5. BCPセルフチェック項目
さらに当プリンシプルBCP研究所では、独自にBCP評価フレームワークを開発し、多くの企業に評価レポートを提出してきました。
先ず評価軸として、「BCMS(BCPマネジメントシステム)」、「防災」、「外部公表」を設定し、さらに視点として、外部視点(ステークホルダー視点)」、内部視点(経営者視点、対策本部視点、情報システム視点)」を設け、それらについて、出来ているか、不十分かという方法で、企業のBCPを評価させて頂いています。
図6. BCP評価例(レーダーチャート)
もちろん企業によってはBCP策定途中だったり、策定内容に不安を感じている企業から発注を受けるわけですから、その評価は、概ね高いものにはなりません。
BCP未策定だった大企業には、プライドを損ねる結果となり随分反発されたこともありますが、多くの企業では、その評価軸や視点から課題を挙げることによって、その改善対象が明確になり、優先度も決められるため、概ね好意を持って受け止めて頂いています。
一方、このようなテンプレート遵守型企業のBCPでは、私たちのBCP評価を行ったことである課題が浮かび上がってきました。
リスクマネジメントや危機管理を行っていなかった中堅・中小企業が、上述のトップ企業からのチェックシートやテンプレートに従っていきなりBCPを策定する場合に、BCPとして重要なポイントが欠落していたのです。
通常、BCPは、企業リソースである、ヒト、モノ、カネ、ジョウホウ、ブランドが被災によって傷つきますが、対策本部が素早くそれらの被災情報を収集し、事業優先度に従って対応策を考えることにポイントがあります。しかし、トップ企業からみて、事業継続に直接つながる企業間の取引状態の継続、特に「モノ」と「ジョウホウ」に重要性を置いたBCPチェックシートだったために、それをベースにBCP策定した企業の多くでは、実は「ヒト(初動)」への対応が不十分になりました。安否確認システムを導入しただけで達成感を感じ、初動マニュアルの整備に力を注ぐことまで至らなかったのかもしれません。
同時にBCP策定に問題がある企業では、BCP訓練も実施されていません。9月1日の防災訓練をBCP訓練と同等に扱ってアンケートに答えてきたのですが、これでは有事に対策本部を立ち上げることになっていても機能するわけもなく実効性もないことは明らかです。
日本の企業に対して、BCP実施状況のアンケートを取ると、60 % 以上が策定済と答えますが、BCP対策本部訓練を行っている企業は、10 % 程度以下ではないかと思われます。
これを裏付けるように、アンケートに答えた企業の危機管理担当者が最も懸念しているのは、策定したBCPの「実効性への不安」です。充分な訓練が出来ていないことで、この不安が立ち上がってくるのだと考えています。
企業にとって、BCP訓練の重要性は非常に高く、実施が必要ないくつかのポイントがあります。
❶ BCP対策本部訓練によって、BCPの実効性を確認でき、改善点を抽出することが出来る
❷ BCPマニュアルとBCP訓練によって、労働契約法で言う安全配慮義務を果すことが出来る
❸ 対策本部のシミュレーション訓練によって、有事に正常性バイアスなどのパニックに陥らずメンタルの安定をもたらす
❹ ステークホルダーや社会に対して、企業のBCPに対する実効性をアピールすることが出来る
結論として、企業のBCPをステークホルダーや社会から評価を受けるために、最低限必要なのは、BCPのドキュメント(規定やマニュアルなど)策定とBCP訓練に帰着します。
特にBCP訓練では、初動訓練が重要です。このコロナ禍において、大部屋対策本部を運用することが出来ないわけですから、リモートによるBCP対策本部を前提にした初動訓練は、コロナ禍以前には考えられなかったやり方です。
次回は、リモートBCP対策本部訓練をテーマにお話しをしたいと思います。
著者:林田朋之(はやしだ・ともゆき)
北海道大学大学院修了後、富士通株式を経て、米シスコシステムズ入社。
独立コンサルタントとして、大企業、中堅企業のIT、情報セキュリティ、危機管理、震災および新型インフルエンザのBCP、クラウド・リスクマネジメントなどのコンサルティング業務を実施。BCP講師としてNHKニュース等に出演。
現在、プリンシプルBCP研究所所長として、企業の危機管理、BCP、情報セキュリティ、ITインフラシステム等のコンサルティング業務、講演に従事。
【関連リンク】
・プリンシプルBCP研究所:https://www.principle-bcp.com/
・ダイヤモンドオンライン:連載 コロナから会社を守るBCP
・リスク対策.com:シリーズ 企業を変えるBCP