イメージ/Adobe Stock

多くの大企業では、長年に渡りBCP を強化しています。それにもかかわらず、実際に、サイバー攻撃などの危機的状況が発生すると、「計画(マニュアル)通りに動けなかった」「判断が遅れた」「現場から情報が上がらなかった」という声が後を絶ちません。この問題は、災害想定やシナリオ、復旧手順の精度不足、あるいは組織的な問題だけでは説明できません。根本的な原因はもっと根深く、筆者は、BCP が機能する前提条件として、人と組織の“信頼構造”が構築されていないことではないか、という考えに至りました。

実効性を左右するもう1つの要因

従来の BCP 評価は、物的・制度的対策の充実度で測られてきました。精度の高いマニュアルを作り、それに追随した対策本部事務局の行動規定を定め、代替拠点を設定し、シナリオ型の訓練の実施する。確かにこれらの全てが重要です。しかし現実は、「異変に気づいても言えなかった」「判断を仰ぐうちに初動対応が出来なかった」「正解が分からず、指示待ちになった」のように、人間的要因で高精度の計画や行動基準が無効になり、被害は拡大していきます。

そこで当研究所では、信頼を可視化する研究を行っているプリンシプル・エグゼクティブ・コーチング研究所(代表:松枝修氏)の支援を受け、「Trust-BCP」という概念を創作し、「BCP 強度」を次のように再定義しました。

BCP 強度 = 物的・制度的対策(既存) × 関係性(信頼)の成熟度


どれほど立派な計画も、信頼という土台がなければBCP の実効性は高まらなという考え方です。Trust-BCP とは、既存の物的・制度的BCPに、信頼の成熟度を加えたものです。ここで言う「信頼」とは、好き嫌いや人柄といった “情緒論” ではありません。

人は道徳よりも「期待できる利得で動く」という合理性を前提にしたアプローチ。シンプルに、業務上の指令や命令に対して、自分のやるべき事が「割に合あわない」と考えるなら人は裏切って実行せず、「割に合う」と考えるなら裏切らないという考えを前提にしています。そして仕組みで裏切った場合のコストを高め、裏切りを防止する取り組みです。

「裏切りコスト」の設計

たとえば、サイバー攻撃に充分に対応出来ない組織体制だということがわかっていても、現場は、経営陣に「大丈夫です、問題ありません」と真逆の返答をすることがあります。これは信頼の裏切りですが、裏切ったほうが自ら(自部署のメンバー)を保身できる、利得と考えられます。

これを防ぐために、信頼を壊す行為をすると人事評価やキャリアなどを下げる仕組みを導入します。「事実に反した虚偽報告のした者の人事評価を下げる」「虚偽報告には該当しないが問題を隠した場合は、即時に権限を縮小する」といった対応がこれに当たります。さらに「マイナスの報告をしても評価を下げない」という約束があると、人は安心して事実を伝えるようになります。

Trust-BCP

Trust-BCPの入口を紹介しました。これは従来の手順を壊さず、既存資産を尊重しながら、人が動く確率を構造的に高めるアプローチです。危機に強い組織とは、完璧な計画を持つ組織ではなく、人が人を信じて判断できる状態を平時から仕組み化している組織です。BCPに別アプローチの存在を知ることは、今後の取り組みに大きなヒントなるでしょう。