リスクごとに、いちいち会議を開いて分厚いBCPマニュアルを作成していませんか?※画像はイメージです。

■地震一辺倒のBCPでは危機を乗り越えられない

日本のBCPガイドラインに従ってBCPを作ろうとすると、ほとんどの場合、想定する危機もしくはリスクは「地震」が選ばれます。否、選ばれるというよりも暗黙の了解事項として地震が前提となっていると言った方がよいかもしれません。なぜ「地震」なのか。言うまでもありませんが、これには次のような理由があります。

日本は世界有数の地震大国であり、今後も各地で巨大地震が想定されていることから、どの企業にも地震対策は喫緊の課題であるという考え方です。個別の災害リスクを想定しようとすると、企業によっては当てはまらなかったり、その必要性を実感できないケースもある。地震対策はどの企業にとっても共通のリスクだから、足並みがそろ得やすいという見方もあるでしょう。

確かにBCPを普及させる当事者の目から見れば、大地震対策はトッププライオリティであるかもしれません。しかし個々の企業にとっては「何か対策を講じるならもっと身近なリスクを選びたい」と考える企業が少なくないのです。これまで大きな地震を経験したことのない地方の自動車部品リサイクル会社社長は「地震よりも火災が心配だねえ」と腕組みします。

またある物流会社では大雨が降るたびに浸水リスクを警戒し、観光ホテルの支配人は停電による客室その他の業務への影響を心配しているといった状況です。地震だけを対象とした現行のBCPのあり方は、結果的に各企業が肌感覚で懸念する現実的なリスク、あるいはBCPニーズを度外視するものでしかありません。

■クライシスマネジメントはスピーディでなければならない

地震の発生に始まり地震からの復旧で完了するこれまでの枠組みには、もう一つの難点があります。それは、BCPの策定プロセスも、完成したBCPも「重くて硬直的である」ということです。筆者はこれまで、分厚いバインダーの扉に「地震対応BCP」とラベルを貼った"大著"をいくつも目にしてきました。どれも時間と手間をかけて完成させた立派なものではあるのですが、正直、「やれやれ、BCPはもうこれでお終い。今後は作るつもりはないよ」というため息が、バインダーの中から聞こえてくるように感じたものです。

こうした現状は、もし別のリスクを想定したBCPを作ろうとすれば、また地震BCPと同じように何度も会議を開き、何か月も時間と労力を割かなければならないことを意味しています。洪水対応のBCPを作ろうとしたら洪水に始まり洪水被害からの復旧で完結するストーリーを、致死率の高い伝染病が蔓延する危険があれば、伝染病にはじまり伝染病からの回復で終息するストーリーを、です。

この結果、洪水用BCP、パンデミック用BCP…と災害の名称を附した百科事典のようなバインダーが何冊も棚に並ぶことになります。果たして実際に危機が発生したとき、これらをうまく運用できるのでしょうか? 訓練に役立てたり、日常的にメンテナンスできるのでしょうか?

危機やリスクへの対処・対応は、いつ突発的にその必要に迫られるか分かったものではありません。経営マターに限らず、危機管理においても組織のアジリティは大切でしょう。あらかじめ見通しを立て、時間をかけて理詰めで考えながら、徐々に危機やリスクの深刻さや対策の重要性を認識するようになったり、最終的に満場一致で合意に至るものではありません。

危機対応のプランは、組織の中で「〇○のリスクに警戒が必要だ」、あるいは「今後は△△のリスクを二度と発生させてはならない」という共通認識が高まった時点で速やかに策定に着手し、短期間で完成させ、スムースに維持管理できるものでなければなりません。

■リスクの洗い出しはオーソドックなやり方で

ERPでは、これまでのBCP策定プロセスの"重さ"を「BCPの枠組みや流れを気にすることなく作れる」という"身軽さ"をもって解決します。ビジネスインパクト分析とか目標復旧時間の設定なんて関係ありません(そもそもこれらはITのディザスターリカバリ対策の話なので考える必要がないですね)。

どんな災害でも、何よりも重要なのは危機のクライマックス(ERPのフェーズ)をいかに乗り越えるかであり、このフェーズをクリアすれば、あとは復旧活動や業務の回復に専念するだけで済みます。逆に、このフェーズで失敗すれば、そのあとのステップがギクシャクしてうまく進まなくなります。

ERPは「BCPの枠組みや流れを気にすることなく作れる」ものであると言っても、基本的なリスクの洗い出し作業(リスクアセスメント)ぐらいは必要です。どんな方法で洗い出すかというと、教科書通りのオーソドックスな方法を、社内で見よう見まねで実施するだけで十分でしょう。わざわざ外部の専門家に依頼しなければできないような特別なものではありません。具体的には、次の3つのアプローチの中から選択、あるいは組みあわせて実施してみることをお勧めします。

①過去の事故や災害経験の事例
自社で過去に経験した事故や災害事例は二度と起こしてはならないものですが、実際に経験済みだけに今後も起こるかもしれないブラックリストと見なすこともできます。

②防災マップ(ハザードマップ)の活用
自治体などがウェブ上で公開している防災マップ(ハザードマップ)などを参考にすると、水害や地震、津波や火山災害の危険性などが色々見えてきます。

③世間一般に企業が慣例として適用しているリスク
情報セキュリティや業種・業務固有のリスクについては、各専門分野の典型的なインシデントとその対策のガイドラインが確立しています。これらを参考にすれば、容易にERPを作ることができます。

①~③の中には、防災設備の点検と同じように実際に現場に足を運んだり、各部署を巡回してみないとリスク顕在化の可能性がつかめない場合もあります。このためにも常日頃から心がけておきたいのが整理整頓(3S)です。3Sが行き届いている社内はリスクの発見は比較的容易ですが、散らかって混沌とした社内は、どこにどんなリスクが潜んでいるかよく見えないものです。

次回からは、さまざまな災害やリスクに対処するための個別対応のERPの作り方のポイントを見ていきましょう。

(了)