新型コロナウイルスを経て、企業を取り巻くリスク環境は劇的に変化した。感染症と自然災害、あるいは地震と豪雨による複合的な災害、さらにはサイバー攻撃とサプライチェーン分断、情報混乱などさまざまなリスクが次々と連鎖的に発生、予期できない形で発展し、甚大な被害をもたらす「多重・連鎖型リスク時代」へと突入したと言っていい。こうした予測不能な時代において、企業はいかにして事業を継続し、社会的な責任を果たしていくべきか。名古屋工業大学教授の渡辺研司氏とTISインテックグループの林伸哉氏に話を聞いた。

 

企業を取り巻くリスクはここまで変わった

 

――新型コロナを経て、企業のリスク環境はどのように変化したとお考えですか?

渡辺研司氏
名古屋工業大学教授

渡辺 従来と比べて、今私たちが直面するリスク環境は激変しています。従来はシングルリスクが主でしたが、現在は自然災害やサイバー事案、フィジカル事案などが複合化しています。災害の頻度や被害度合いが高まっているのも特徴で、復旧途中でさらに次の災害が起こる状況も起きています。一方で、災害対応にあたる企業は脆弱性が顕在化しています。インフラの老朽化やサプライチェーンによる体制のブラックボックス化など、その要因は多岐にわたります。

数式に例えるなら、Hazard(外力)とVulnerability(脆弱性)を掛け合わせたものがリスクの大きさですが、Hazardが量的にも質的にも増え、脆弱性が増しているので、当然、リスクも大きくなっていると考えられます。

――災害やリスクへの自社体制の全体像が把握できていないために、何か起きたときにどの程度の被害が生じうるのか、その影響がどこまで及ぶのかが非常に見えにくくなっているように思います。

渡辺 先ほどの数式で例えるなら、実は、そのあとSensitivity(感応度)が加わり、実際のビジネスへの影響や社会・経済への影響が決まってきます。人・モノ・金というあらゆるものが集中する都心では、さらにその影響が甚大になりやすい。すなわち、都心部は、この「感応度」が高いため、少しの外的要因が甚大な被害の連鎖につながる確率が高いのです。

 

画像を拡大

 

重要なのは、災害連鎖を想定していかに先手を打てるか

”本気のBCP”と”形だけのBCP” 明暗を分ける決定的な差とは

 

――自然災害リスクについては、南海トラフ地震の新被害想定が発表され、さらに富士山の噴火降灰の影響などの議論も進んでいます。一つの災害による「数千億円の損害」といったような定量的な被害値ではなく、関連してさまざまなことが起こりうることを盛り込んだ定性的な提示がなされるようになってきました。

渡辺 今後はますます、災害連鎖を想定しながら先手を打つような動きが求められます。例えば南海トラフが仮に起きたとすれば、「噴火が起きるかもしれない」と想定して、地震災害への対処と同時に気象庁の火山噴火情報のモニタリングも行っていくといった具合です。過去に実際に起きた自然災害などのリスク事象を参考にしつつ、災害対応できる人材を育てることも重要になってきます。

――ソリューション企業として、BCP対策を“本気”で捉えている会社と、形だけの会社では、どのような差が出ていますか?

林伸哉氏
TISインテックグループ

林 本気で捉えている会社では、ESG経営の観点からBCPマネジメントに真剣に取り組み、経営戦略としてBCPを位置づけている印象です。災害時に全社員の安全を確保することはもちろん、会社として主要事業を継続することで社会的な責任が本当に果たせるのかを経営者がリアルに考え、BCPを担当する現場部門に対して南海トラフ地震や首都直下地震を想定した体制を早期に整えるよう強い指示を出しています。特に、点在する自社の拠点や、取引先からさまざまな情報が上がってくる、あるいは情報すら上げられない悲惨な状況に陥ることが予想される中で、会社として的確な意思決定ができるように、さまざまなシナリオを想定し、情報収集・集約のあり方を見直しています。結果として、有事の際に備え、早い段階から災害対応システムを導入している企業も現れていますし、有事の際に本当にこうしたシステムを実際に稼働させられるか、という前提で負荷をかけて演習を行っているケースも見られます。

――本気度の高い顧客に共通してみられる企業文化や風土、トップの資質などはありますか?

渡辺 本気度の高い企業はマニュアルをその通りに実施し、成熟度をあげていく「訓練」ではなく「演習」をしています。訓練となると、どうしても時間内で決められた手順が進められたかどうかにフォーカスが行きがちです。しかし、それで満足してしまうと、実際の現場で迅速・的確な行動は取れません。事案対応能力を上げるためには、現場に近い環境下で行う「演習」、すなわち既存のマニュアルなどが通用するのかをさまざまな角度から検証して課題を洗い出す作業が大事なのです。その上で、どんな情報がなければならないのか、自社にとってどのようなリスクが想定されるのかといった「生きた知見」を集めなければなりません。トップが「今のままでは対応できない」という危機感を持っている会社は、訓練と演習をうまく使い分けています。私が関わっているある会社では、複数の部署から社員が集まって演習のシナリオを作成しています。各部署の脆弱性を反映したシナリオが作れるため、横の繋がりや会社全体の仕組みが自然と理解できる。これはトップの指示によるものですが、非常に素晴らしい取り組みだと思います。

自然災害は日本のカントリーリスクと認識されています。そのため、災害から一定時間以内に復旧することを契約の条件として設定する海外企業も少なくありません。そうなると、本気で取り組まざるを得ない。こうした状況でシステムを導入される企業様もおられます。

脅威を増すハザード(Adobe Stock)

 

経営層を動かすには?

現場からBCPを変えるためにできること

 

――トップの本気度が薄いことに危機感を抱いている会社もあるかと思います。その場合、社員側からはどのような働きかけができるでしょうか。

渡辺 まずはトップ層に訓練や演習に出席してもらい、ビジネスインパクトとソーシャルインパクトを突きつける、というのが近道でしょう。「このような状況になったときに対応が後手に回ると、マーケットシェアが落ちて取引先から契約を解除される恐れがあります」「そうすると訴訟を起こされる可能性が高まります」というふうに、シナリオ上で選択を迫り、トップに危機感を持ってもらうわけです。

――自然災害リスクについては、南海トラフ地震にしても、富士山噴火にしても、直接的・間接的な広域被害への懸念が高まっているように思います。IT面からどのような対策が盲点(ポイント)になると考えていますか? また、どういった対策が有効だとお考えでしょうか。

システムを導入しても、刻々と状況が変わる被災現場では情報も散乱します。ですから、どのような情報を集めるべきなのかを事前に洗い出しておくことが重要です。例えば南海トラフの場合、地震に複合して火山噴火が起きるリスクがあるわけですが、地震と火山噴火で生じる被害は性質がかなり異なります。地震しか想定できていないと、噴火に対応しきれないわけです。

しかし、すべての集めるべき情報をあらかじめ洗い出しておくことは難しいのが現実です。自然災害と複合してサイバー攻撃が起きるリスクなども想定しなければなりません。こうした想定が難しいリスクについてもコミュニケーションが取れるようなシステム作りが欠かせないでしょう。大切なのは、さまざまな情報が寄せられる中で、その時々で、トップの意思決定に必要な情報が何なのか、重要な情報、すなわちインテリジェンスが何なのかを特定するということです。不測の事態においても意思決定者に本当に必要な情報をわかりやすく示すことができるようにするのがシステム面のポイントになると思います。ソーシャルメディアのようにタグでカテゴリー分けをしたり、重要な情報が流れていかないよう固定するだけでなく、さらに瞬時に意思決定につながる情報を整理することが必要です。

懸念される富士山噴火(イメージ:Adobe Stcok)

何が重要な情報かは、刻々と変化する

 

――さまざまな情報が錯綜する中で、対策本部では「今、どのような情報を最も重視すべきか」が問われます。あまりに多くの情報を挙げても混乱するだけで、本部長が決定できるような状況報告の在り方なども考えていく必要があります。

渡辺 状況を最も把握できているのは現場の社員です。重要なことは、「このまま対応が遅れると、これだけの被害が出る恐れがあります」という視点を現場の社員が持った上でトップに問題提起をすること。適切な判断をできるだけの材料を現場が提供することは確かに重要ですが、単に情報だけを提供して「どうすればいいでしょうか」と受け身的に判断を仰ぐ姿勢では、トップも疲弊してしまいます。そういう意味では、現状を把握した上で情報を集めて、経営陣に対して一つでも多くの選択肢を示せる人材が必要でしょう。

例えば、本社がグループ会社やサプライチェーンとも同レベルの情報を共有するためには、各社から上がってくる報告の粒度が同じでなければなりません。そこで弊社では、さまざまな情報を色分けして整理できるようにしています。フェーズとともにその時々に重要な情報は刻々と変化します。情報を色分けすることで、状況の変化を可視化できるわけです。状況に応じて色を変えていけば、どこが復旧したのか、どこがまだ復旧できていないのかも一目瞭然です。さらに、先ほども申し上げた通り、時系列に、さまざまな情報を日常的なチャットのようにやりとりする中で、カテゴリー分けはもちろん、特に重要な情報については、それだけを表示し即座に意思決定できるようにしています。

渡辺 ボトルネックになりそうなところについては、絶えずモニタリングする必要があるでしょうね。サプライチェーン上、影響度の大きいところは、ティア(サプライチェーンにおける階層レベル)に関係なくスポットライトを当てておく。できれば直接現地に行って協業する形が理想です。これを実践しているのが自動車産業です。大手完成車メーカーは災害時に被災地のサプライヤー支援のため災害対応部隊を派遣しますが、常に情報を見ながら優先順位を判断しています。派遣先に向かう途中でも、状況に応じて行き先を変えているのです。それができるためには、やはり情報の鮮度や真偽を個別に判断することが欠かせません。それらを点ではなく線として繋ぎつつ推測する力も必要です。特に情報が上がってこないところは被害状況が深刻である可能性が高いので、周辺情報で推測した上で行動に移さなければなりません。

――プラットフォーム管理の仕組みについて伺います。膨大な情報の中で柔軟な意思決定をするために、ボトルネック的な情報をどのように判断しているのでしょうか。

システムへの情報入力は現地が行うことを前提にしています。ただ、サプライチェーンやグループ会社と、すべての情報を共有するわけにもいきません。そこで、本社側からはすべての情報が見える設定にしつつ、入力する側のサプライチェーンや子会社などからは他の会社の情報が見えないようにマスキングするなどの設計上の配慮が必要です。言うほど簡単ではないものの、それを実現しサプライチェーンとの情報共有をされている弊社のお客様もいらっしゃいます。

 

 

多拠点連携とリスク対応人材の育成で、日本社会のレジリエンスを高める

 

――今後、日本社会のレジリエンス力を高めていくために、企業の取り組みとして特に期待されることは?

渡辺 オペレーションの観点からすると、多拠点が互いのデータやシステムのバックアップ機能を有するだけではなくて、お互いに業務を補完できる仕組みを作ることです。例えば国交省では、太平洋側軸の港が機能しなくなった場合には、日本海側の7つの港でバックアップする構想を有しています。それから、もう一つは人材育成です。多くの企業では、災害対策は総務部が担当するのが暗黙の了解です。ただそれは総務がリスクのプロだからというわけではなくて、言葉は悪いですが、社内課題の解決部門のような位置づけを担っていることも少なくありません。また、災害対策という業務はそれそのものが評価の対象になりにくいため、キャリアパスも不完全だったりする。これからは、リスク対応のプロを総務において、他部署からジョブローテーションで社員を送り込んで経験を積ませた後、各部署に戻すような流れが必要です。サイバー関連のことも今は情報システム部門が専任の会社がほとんどですが、サイバーも自然災害も、リスクという意味では同じです。縦軸として担当部署にリスク対応のプロを置きつつ、横軸では多部署からそこに一定期間異動して経験を積み、また戻っていく。この流れが必要です。そうすると災害本部には知見のある人が集まってくるようになります。

個人的には、まずシステムを導入することによって次のフェーズに進みやすくなるように感じています。演習などでシステムを使うと、課題を可視化しやすいというメリットがあるからです。弊社でもシステムを使った演習を進めていますが、それはもうさまざまな課題がどんどんあぶり出されています。会社が違えば当然文化も違いますから、同じ状況に対しても使用する言葉が違ったりもする。つまり入力ルールが会社によってもバラバラなのです。課題が可視化できれば改善につなげられますから、これは非常に大きな一歩です。

――本日は貴重なお話を伺うことができました。ありがとうございました。