2025/12/15
企業を変えるBCP
林田 朋之
北海道大学大学院修了後、富士通を経て、米シスコシステムズ入社。独立コンサルタントとして企業の IT、情報セキュリティー、危機管理、自然災害、新型インフルエンザ等の BCPコンサルティング業務に携わる。現在はプリンシプル BCP 研究所所長として企業のコンサルティング業務や講演活動を展開。著書に「マルチメディアATMの展望」(日経BP社)など。
近年、上場企業が実施する内部統制やリスクマネジメントにおいて、重要視される対象には災害(巨大地震、パンデミック感染症、風水害、富士山噴火による降灰)、サイバー攻撃、IT障害(IT-BCP/DR)、AI・DX 戦略、サステナビリティ対応(人的資本経営、環境対策)などがあります。
こうした経営管理項目への対策は、システマティックな対応、トライ&エラーによる習得、必要な仕組みや体制の整備など多岐にわたります。が、なかでもサイバー攻撃やIT障害は、より専門的なスキルを求められることが多く、 委託に頼るケースが増加。しかし、委託元と委託先の間には、企業内の部門間に存在するリスクと同様、埋めがたいリスクが複数存在します。
BCP の分野に限っても、サイバー攻撃への対応は、ユーザー企業が自社内だけで完結することはほぼ不可能です。豊富な経験とスキルを要する司令塔としての判断力、予見能力、問題解決能力などが求められ、IT運用や企画段階での委託を含め、インシデント発生時には「どこから手を付けるべきか」「何をすべきか」「どうしておけばよかったのか」と途方に暮れる状況に陥ります。
ここで、ある想定をします。某大企業が経営課題を解決するため、ソフトウェア開発を含む新システムを構築し、約2年間運用していたとします。社内には事業部(現場)、法務(契約)、情報システム部、経営陣が存在し、社外にはシステム開発を請け負うSIer(もしくは IT コンサル)や下請け・孫請けのソフトウェア会社があります。
SIer内部にも経営者、営業部隊、SE部隊があり、複数の組織が関与しています。もちろん、システムはユーザー企業の情報セキュリティポリシーに基づき開発・運用され、契約書も締結されています。しかし、こうした枠組みの中で突然インシデントが発生した場合、何が問題となるのでしょうか。
まず、経営陣は情報システム部門を責め、情報システム部門は委託先を責めます。委託先は「システムの問題ではなく運用の問題」「リスクとして受容する約束だった」と反論します。しかし、それは口約束で契約書には反映されておらず、責任の所在はグレーで、双方の法務も責任を問えないことに気づきます。
その間にも被害は拡大し、経営陣は全システム停止を命じ、企業活動は停止。社会的影響がある場合、社長による記者会見が求められますが、原因や再発防止策が不明な中では会見もできません。CSIRTに委託しても、委託先のペースでしか進まず、経営者はコントロールできないもどかしさを感じます。
企業を変えるBCPの他の記事
おすすめ記事
中澤・木村が斬る!今週のニュース解説
毎週火曜日(平日のみ)朝9時~、リスク対策.com編集長 中澤幸介と兵庫県立大学教授 木村玲欧氏(心理学・危機管理学)が今週注目のニュースを短く、わかりやすく解説します。
2025/12/09
リスク対策.PROライト会員用ダウンロードページ
リスク対策.PROライト会員はこちらのページから最新号をダウンロードできます。
2025/12/05
競争と協業が同居するサプライチェーンリスクの適切な分配が全体の成長につながる
予期せぬ事態に備えた、サプライチェーン全体のリスクマネジメントが不可欠となっている。深刻な被害を与えるのは、地震や水害のような自然災害に限ったことではない。パンデミックやサイバー攻撃、そして国際政治の緊張もまた、物流の停滞や原材料不足を引き起こし、サプライチェーンに大きく影響する。名古屋市立大学教授の下野由貴氏によれば、協業によるサプライチェーン全体でのリスク分散が、各企業の成長につながるという。サプライチェーンにおけるリスクマネジメントはどうあるべきかを下野氏に聞いた。
2025/12/04
![2022年下半期リスクマネジメント・BCP事例集[永久保存版]](https://risk.ismcdn.jp/mwimgs/8/2/160wm/img_8265ba4dd7d348cb1445778f13da5c6a149038.png)
※スパム投稿防止のためコメントは編集部の承認制となっておりますが、いただいたコメントは原則、すべて掲載いたします。
※個人情報は入力しないようご注意ください。
» パスワードをお忘れの方