日本アイ・ビー・エム株式会社

ストラテジー・セールストランスフォーメーション＆オペレーションズ

BCPリーダー担当部長　齋藤守弘氏

リスクマネジメントの考え方
2004年にリスクマネジメント委員会ができ、2010年にERM、BCP、CMT（Crisis Management Team=災害対策）の3つの柱でIBMのリスクマネジメントを構成するという流れが確立しました。私の担当しているBCPは、2013年の5月から組織的な強化が行われ、リスクマネジメントとクライシスマネジメントを含めた、広い形でBCPを捉えていこうと考えています。　

ここで、IBMの「リスクマップ」を紹介します。縦軸に事業への影響度を、横軸に期間内に想定される発生頻度をとり、5段階で分析するというものです。これを「Tier1」（事業計画に大きな影響を与え、リスクの最小化対策が必要となるリスク）、「Tier2」、「Tier3」とマップで一覧化し、対応の重要度を順位づけしていくというものです。　

考え方ですが、首都圏直下型地震は明らかにリスクです。東日本大震災前は、発生頻度はそれほど多くないと見られていましたが、震災後はいつ起きてもおかしくない。感覚としては「発生頻度はHigh」になりました。本社が機能しなくなった場合は関西でバックアップ。そうしたBCPの適切な対応が取れれば、多少でも事業への影響を抑えられるかもしれない。しかし、Tier1であることは変わりません。サイバー攻撃も、以前は事業への影響も低く、発生頻度も高くないと見られていましたが、年々、重要度、緊急度が高まっていると捉えています。企業のリーダーが、リスクを定期的に再評価し、見直しをすることが求められています。　

リスクマップをくり返し見ていくことで、リスクマップを生きたものにしていくことが重要。その中で、事業中断リスクをBCPリスクしてきとちんと対応しなければなりません。弊社では、首都圏直下型地震とパンデミックの2つを需要なBCPリスクとして想定しています（IBMにおけるリスク21項目を「2012年度IBMコーポレーション年次報告書」で公開しています）。

業継続計画（BCP）への対応　
危機対応におけるIBMのポリシーが定められています。第1は、社員の職場における安全確保、社員・家族の安否確認。その次に、お客様への影響の最小化。この2つのために、最低限の企業機能維持をするということです。

リスクマネジメントをERM、BCP、CMT（災害対策）の3つのファクターで構成していますが、ERMは10人の役員で構成される会議体。ここで全社のリスクを考えます。次に、BCP、CMTで対応します。弊社では、ERMをリードするのがファイナンス（CFO）で、一般の企業とはここが変わっているかもしれません。BCPを見るのはCO、CMTを担当するのは阪神淡路大震災以後、サービス部門の役員となっています。　

実際のBCPの検討・定義は、約30の部門のBCPリーダーと本部長、副本部長が中心になって行い、各部門ごとにBCPを検討するための6つの視点を決めています。BCPの検討プロセスとしては、「Access」「Plan」「Execute」という3つのフェーズにまたがって、8つのプロセスで構成されています。30の部署でBCPの検討、整理を行い、BCP文書を作り、私のところで一元管理しています。この6つの視点とBCPの検討プロセスは、弊社がお客様のIT-BCPをコンサルティングする際にも活用している標準のアプローチ方法となっています。

直下型地震への対応
災害対策本部は副社長を本部長とし、「社員・事業所対応」は総務部門が、「お客様対応」は営業部門や各サービス部門が対応します。緊急時の支給品は、帰宅困難社員やお客様のために非常食、水などを主要倉庫に。さらに各階ごとのロッカーにも1日分の非常食と水を準備しています。　

さらに、「首都圏直下型地震を想定した全体サマリー」を作り、「社員安全確保・事業所設備の保全」「お客様の事業継続支援」「企業機能維持」という3つのフェーズで、各事業所の災害の程度に応じて対応を決めてあります。　

災害発生時のコミュニケーションは、安否確認、被災地やお客様ビジネスの状況把握など、7つの管理体系に沿ってメール、Twitter、チャット、Web会議などのツールを駆使しながら情報を迅速に共有する態勢ができています。社員の安否確認の訓練は当社独自のツールを使って年に数回行なっており、本社の総合避難訓練は、2007年より定期的に開催。大規模訓練としてNHKでも報道されました。有事の際に的確に機能するよう、安否確認、被災地やお客様ビジネスの状況把握など定期的に訓練を重ねていく予定です。