BCPと危機対応のプロフェッショナルが語る最前線

 

弊誌リスク対策.comは2013年12月10日「危機管理カンファレンス2013」を、都内六本木のアカデミーヒルズ(六本木ヒルズ森タワー)にて開催した。 

東日本大震災など近年の巨大災害により想定を超える被害が発生していることや、首都直下地震・南海トラフ巨大地震に対する備えから、事業継続計画(BCP)や危機対応のあり方について見直しが進められている。BCPについては事業継続マネジメントの国際規格ISO22301が2012年5月に発行され、同規格が2013年10月に日本工業規格(JISQ22301)として制定された。また、これまで国内の事業継続マネジメントのガイドラインとして広く参考にされてきた内閣府の事業継続ガイドラインが改定され、地震が及ぼす被害を想定した従来の計画から、オールハザード(あらゆる脅威)対応の新しい計画へと方針が大きく見直されている。 

一方で、危機対応に目を向けると、国際標準規格としてISO22320が2011年に発行され、同規格が同じく2013年10月にJIS化された。国土強靭化を進める政府は、2013年6月に閣議決定された経済財政運営の基本方針に「災害対策の標準化」に向けた検討を進めるという内容を盛り込み、その方策を模索している。 

こうした中、2020年の東京オリンピック開催が決定し、災害対応に加え、テロや大規模事故なども含めた危機管理の一層の強化が求められている。

カンファレンスは、変化するBCP・危機対応の動向の最前線を、広く企業・自治体の担当者に伝える目的で開催した。協賛企業はプラチナスポンサーとしてニュートン・コンサルティング株式会社、BSIグループジャパン株式会社、ゴールドスポンサーとして日商エレクトロニクス株式会社、一般財団法人日本品質保証機構。 

来場者数は600人を超え、危機管理への関心の高さがうかがえた。 

カンファレンス前半は「基調講演」として3つの講演を行った。名古屋工業大学大学院教授の渡辺研司氏は、国として災害対応力を高めていくために不可欠な、BCMや危機対応力の強化に向けた各組織の連携の取り組みについて紹介。政府、自治体、民間企業、非営利団体、地域コミュニティ、こうした異なるレイヤーによる連携が機能して初めて、強くしなやかな社会が構築されるとし、必要な基本的な枠組みや手法など、各地の取り組み事例を交えながら解説した。 

次に、東京電力原子力運営管理部防災安全グループ課長の井上忠司氏が、福島第一原子力発電所事故について、同様の事態を再び招かないために同社が進めている安全対策について発表。米国で標準的に採用しているICS(インシデント・コマンド・システム)の考え方を取り入れた新たな緊急時の組織体制など、柏崎刈羽原子力発電所の運用における安全対策の概要を解説した。 

続いて、グローバル展開する企業におけるBCP構築を、ニュートン・コンサルティング株式会社取締役副社長の勝俣良介氏が、同社がBCP構築の支援を行った豊田通商株式会社総務部BCP推進室室長の山本浩幸氏とともに発表。グループ全体に展開するBCPの構築を、国内外500社以上の子会社・関連会社を持つグローバル企業の豊田通商がどのように実現したのかを話した。 

カンファレンス後半は、会場を「BCP」「危機対応」との2つのテーマに分けて実施。 

「BCP」は内閣府政策統括官参事官の四日市正俊氏の講演から開始。改定された内閣府事業継続ガイドラインを基に、首都直下地震、南海トラフ巨大地震などに向けた今後の取り組みについて語った。次いで発表を行った日商エレクトロニクス株式会社マーケティング本部、第二マーケティング部第二グループグループリーダーの青木俊氏は、BCPにおいてIT対策が盲点になっていることとその脆弱性を指摘し、効果的な対策を解説。一般財団法人日本品質保証機構のマネジメントシステム部門、審査事業センター情報セキュリティ審査部参与の中村春雄氏は、ISO22301で初採用されたハイレベルストラクチャー(HLS)によって、日常のマネジメントシステムで非日常の経営も管理できるようになると説明。株式会社ディスコのBCMプログラムリーダーで事業継続管理システム管理責任者の渋谷真弘氏は、BCMの取り組みを向上させるために同社が取り組んできた訓練・演習の経験から、簡単で様々な事象に対して実効性を高められる最新の手法を紹介した。最後にBSIグループジャパン株式会社営業本部部長の鎌苅隆志氏は、2020年の東京オリンピック・パラリンピックを企業がビジネスチャンスとするために、BCPと危機管理の要点をISOの視点から発表した。 

「危機対応」の最初の講演を務めた京都大学防災研究所教授の林春男氏は、異なる組織が協力・連携して災害対応にあたる際に不可欠な標準化の必要性と、その導入プロセスについて説明。次に、在日米陸軍消防本部次長の熊丸由布治氏は、危機対応の標準化された仕組みである米国のICSの有効性について解説し、日本型ICSの構築が急務と話した。元岩手県防災危機管理監で岩手大学地域防災研究センター教授の越野修三氏は、危機発生時に求められるのは迅速で的確なトップの意思決定力とし、東日本大震災の対応における意思決定のプロセスを解説。東日本大震災で岩手県災害対策本部医療班班長を務めた岩手県医科大学付属病院医師の秋冨慎司氏は、危機発生時には必要な情報だけをトップに伝える情報マネジメントが求められると話し、実際に医師として災害医療の現場に従事した経験を踏まえ互いを信じられる災害対応とは何かを解説した。 

カンファレンスの締めくくりには、林春男氏、渡辺研司氏、バークレイズ証券株式会社ヴァイスプレジデントの佐柳恭威氏の3名とリスク対策.com編集長の中澤幸介によるパネルディスカションを実施。2020年の東京オリンピック開催に向け、①首都直下地震対策はどの程度まで終わらせる必要があるのか? ②大会開催中の大規模事故、テロ、災害などに備え、どのような体制が必要か? ③オリンピックというビジネスチャンスを最大限生かすために企業はどのようなリスク対策をすべきか? という3つの視点から、企業と組織が取り組むべき危機管理のロードマップについて議論を行った。 次ページより、協賛企業による講演の内容を掲載する。


グローバル展開する豊田通商のBCP構築
~国内外150事業を支援するップコンサルタントトの手法~


ニュートン・コンサルティング株式会社取締役副社長 勝俣良介氏
豊田通商株式会社総務部BCP推進室室長 山本浩幸氏

 

勝俣氏 まずは山本室長にBCPを策定するに至った背景をおうかがいします。

山本氏 当社は世界43カ国で、国内126社・海外498社の連結グループ会社と共にサプライチェーンを展開する総合商社です。東日本大震災およびタイ洪水の被災後、当社社長より「国内外の豊通グループ全体で自力運用が可能なBCP/BCMを2年間で構築せよ」とのミッションを受け、BCP推進室が立ち上がりました。当初「BCPって何?」といった状況からスタート。一方では国内外および多岐にわたる取扱商品分野を目の前に、どのようにBCPを構築したらよいか皆目見当も付かない状況でした。

勝俣氏 短期間、かつ自力運用できる体制構築という要望を実現するため、最初に重要視したのがフェーズアプローチです。当たり前だと思われるかもしれませんが、事業が大きく複雑であるからこそ、しっかりと段階を踏んでBCPを構築できるアプローチが必要と考え、①計画フェーズ、②パイロットフェーズ、③展開フェーズの3段階で提案しました。 

①計画フェーズでは、まず、BCP推進室のメンバーに自分たちのビジネスを理解(事業全体の把握)していただき、対象範囲をどこまでにするかという優先順位付けを行いました。その上で当社の方法論を豊田通商向けにカスタマイズし伝授しました。多岐にわたる事業を抱える同社の事業のうち、160の分野を優先的な事業継続の対象としましたが、それでも総合商社特有の事業の複雑さ、広範さがあり、それに加え、人員の入れ替わりも頻繁に行われるため、策定・導入したBCPが半年後にどうなっているかも考える必要性がありました。 

そこで、豊田通商にはスモールスタート(まずは小さくてもまわるBCP活動を導入し、徐々に範囲を拡大し、成熟度を上げていく)という方法を提案。各事業、各組織それぞれ小さなPDCAのサイクルを回すことで全体のBCPとする仕組みとし、これによって、組織の小さなところから簡単に、かつ効果的にBCPのエッセンスを導入できるようになりました。 

②パイロットフェーズでは、検証と、自力運用を実現するためにBCP推進室メンバー向けの専用の教育プログラムを作成し、徹底的に教育を行いました。 

教育プログラムは、(1)事前の仮説検証によるノウハウの取得、(2)OJTを通じた実践スキルの獲得、(3)BCP推進室のメンバーのスキルレベルを評価する仕組みの導入-の3つを中心に組み立て、BCP推進室のメンバーが1人で現場に行っても、PDCAを回せるようにしました。 

当社のコンサルティング手法や教育プログラムなど実際の現場ではどのように感じられていたのでしょうか。

山本氏 実際に我々がBCP策定のファシリテーションを行っている最中は教育の一環ということもあって、あまりアドバイスを頂けず正直苦労しました。しかし自力でBCP策定を進めなければいけないという切迫感と、毎回の反省会で指摘・指導を受けたおかげで、推進室メンバーは様々な事業形態に対応可能かつ、現場で発生する様々な問題に対処可能なレベルまでBCP策定のファシリテーション・スキルを身に付けられたと考えます。またBCP策定ツール(経営資源分析シート、事業継続対策シートなど)においては、推進室の意見や現場の使い勝手を踏まえて改善を重ねた結果、当社の事業特性に合ったBCP策定ツールが出来上がり、現在も気になる点は常に改善を行っています。

勝俣氏 スキルレベルの評価などは、限られた時間とリソースの中で効率的な策定を行えるように工夫したものです。大変と感じられる部分もあったかもしれません。 

その後はいよいよ③展開フェーズに入っていったわけですが、この段階には2つの目的があります。1つは文字通り、推進室のメンバーによる展開という意味のもの。隠れたもう1つの目的は、その段階になると1度目のPDCAサイクルを回し終えているグループも出てくるので、その後の継続的な運用と改善が自力でできているか、弊社で検証させて下さいという意味があります。 

この段階で特に気を付けたのは、現地に丸投げにならない支援をすることです。ガイドラインを現地のスタッフに丸投げして、拠点ごとにBCPを作成してくださいという方法もありますが、それもBCPを「作って終わり」という扱いをしているために出てきてしまう発想だと思います。現場に足を運んで思いを伝えるのが大事だと思います。

海外に拠点が多いためにBCP展開について不安があるというようなお話が冒頭ありましたが、やってみてどうでしたか。またその際の苦労はどういったものでしたか。

山本氏 大きな課題は現地のスタッフのモチベーションでした。海外拠点のそれぞれに起こりうる災害の種類が異なるため、地震が起こりえない地域に地震のリスクを話してもBCPの必要性は感じません。そのため地震は無くとも火事、台風、洪水、積雪、トルネード、暴動、テロ、ストライキなどの事例を引き合いとして、まずはBCPの必要性を実感させた上で、次の段階で様々な災害に対応するために原因事象で考えるのでは無く、「結果事象」にてBCP策定を進めることにしました。 

また、工場を持つグループ会社は、過去に停電や洪水によって顧客への納期を守るための厳しい対応を実際に経験しておりました。そういったグループ会社は蓄積してきた対処策を既に持っており、当該対処策を上手くBCP文書化に取り入れることで、過去から漠然と蓄積されてきた知識が、今回きちんと整理整頓されて社内ノウハウになったことへの納得感を得てもらいました。

勝俣氏 海外では一般的に3つのハードルがあります。言語、距離、そして体制です。言語と距離の問題は計画性を持たずに実施するとコスト増になりますし効率も良くないので、英語または現地語を扱えるBCP構築支援者が現地に2週間滞在。その間、2日間で1事業のBCPを策定するペースで徹底して教育を行い、演習と検証まで済ませてしまうといったことまでやっていただきました。

大規模なBCP構築プロジェクトを成功させるためには、体制の問題をクリアにし、それぞれの拠点で自力運用できるようにするのが不可欠なので、短期間に一気に構築するこの方法が有効だと思います。 

同様のビジネス環境にある方へ今回の経験を踏まえてアドバイスをいただけますか。

山本氏 私から3点あります。1つ目は、どんなに素晴らしいBCP文書を作っても、「BCPを運用するのは結局一人ひとりの人間である」という意識の現場スタッフへの浸透が重要と思います。BCPが一人ひとりの意識に定着して初めて有事の際の現場力が発揮され、災害に強い会社文化になっていくと考えます。 

2つ目は、各事業の経営資源(人、施設、設備、システム、取引先など)を分析し、BCP策定作業を地道に進めることができるBCP策定チームが必要と考えます。チームメンバー自らがBCP策定スキルを身に付け内製化することで、自社の事業特性に合った「実際に使えるBCP」の構築が可能になると思います。 

3つ目は、経営者によるBCPへの理解および支援が重要と考えます。当社社長より「いつ来るか分からない災害だからこそ、自分の任期中に後世のためにBCPを策定しておきたい」という強い思いをグループ内へ発信して頂きました。BCP推進室にとって経営者の思いは、国内外グループ会社へのBCP展開の大きなサポートとなっております。

勝俣氏 BCPというと、何かを作り上げるという印象が強いですが、そうではなく本来BCPとは「活動」そのものです。もっと言ってしまえば「業務」のひとつとしてBCPがあります。良いものを作ろうと苦労してBCPを策定すれば達成感はありますが、その後の運用が上手くいかない、弊社の手を離れた後の改善の仕組みが機能しないケースが経験上ありました。BCPを特別なものとするのではなく、日常的な業務あるいは活動の1つを導入すると考えるのもポイントと思います。


経営を止めるBCPの盲点
~BCP担当者に最低限理解して欲しいITの脆弱性~


日商エレクトロニクス株式会社マーケティング本部


第二マーケティング部第二グループグループリーダー


青木俊氏

 

東日本大震災以降、災害の想定は大きく変わりました。広範囲に及ぶ被害、迅速に復旧すると考えられていた社会インフラが長期的に不安定になる可能性と、それに伴って長期にわたり社員が出社できないことなどです。前提条件の変化に伴い、ITも新たな対策の見直しが必要となっています。実際に遠隔地のデータセンターにバックアップサイトを保持したい、リモートで業務が遂行できる仕組みを構築したいといった、長期にわたるバックアップサイトでの運用を想定したリクエストが増えています。 

また、今まであまり意識されてこなかったサイバーテロの脅威に注視する企業が増加しています。これは故意の不正による脅威であり、2010年頃から傾向が大きく変化しています。より高い技術を持った組織が、特定の誰かを攻撃する意図をもって、長い時間をかけて攻撃する形です。具体的な事例として、農水省がトロイの木馬などウイルスの攻撃を受け124もの文書が流出した可能性があると発表しています。サイバーテロの脅威は確実に広がってきています。 

ITは経営を担う重要な要素となっているので、経営課題としてリスクに強いITを作り上げていくことは企業のBCPとしても大きな役割となります。 

企業のIT部門のインフラ構築に携わらせて頂く中で、作り上げたBCPがITの視点から見ると、有効性を失ってしまう3つのポイントがあるのではないかと感じています。 

1つは、リスクや技術が日々変化することを前提としていない点。BCPを作り上げたその時点では完璧なものでも、2~3年後には有効でないというケースが非常に多く、状況は常に変化することを前提にして対応しなければなりません。 

2つ目は、複雑で手動作業が多い仕組みになっている場合で、これは運用が困難です。BCP策定に直接携わっていない社員が災害時に運用できるか不安で、すべて自動でできることがITの事業継続の点では重要になります。BCP発動後は、ボタン1つで自動的に東京から遠隔地へデータを移行するといったことがITのBCPでは基本となるでしょう。

3つ目は、日常的な訓練ができない仕組みであることです。BCPではPDCAサイクルが肝であるとはご承知のことと思いますが、BCPの計画を立て実行しチェックする、それをテストする機能が備わっているかどうかがITでは重要です。担当者が不在の場合などあらゆる想定を立て、それに合わせて工夫できるポイントが見えてくることでより効果的な訓練になるでしょう。 

ITのBCPを有効に機能させるには、リスクアセスメントを3~4年ごとに定期的に行うことが肝心です。想定する前提条件に変化を加えることが重要で、その時々の技術によってアセスメントの効果も変わってきます。 

また、企業全体のBCPと各部門のBCPの整合が取れていることも重要です。例えば、全社的には24時間以内に社員の安否確認を行うとしているのに、営業部門では3時間以内と定めていたりすると、事業全体を支えるIT部門のBCPを実行するのは困難になります。当然ですがITのBCPを各部門ごとに策定するというのは効果的ではありません。 

サイバー犯罪対策については、サイバー攻撃の方法はより高度化しているため、一層複雑で手術的な対応が必要になってきています。というのは、トロイの木馬もその1つですが悪意のある仕掛けを一度内部に置かれてしまうと、その部分だけを取り除いても、どこかが感染していれば再び被害が広がってしまうため対策は非常に困難です。また、工場を管理する産業システムなどが標的となるケースも近年増加しています。さらに「巧妙で長期的な攻撃手段(Advanced Persistent Threat, APT)」と呼ばれる方法で執拗に攻撃を受けることも増えているため、リスクは莫大になっています。 

最後にまとめとして申し上げたいことは、リスクや技術革新がめまぐるしく変化するなかで、その変化を柔軟に捉えられる仕組みであることが最も重要なポイントとなります。 

私どもは、リスクの質的な変化を捉えながら、それに適用する最先端技術を現実的な形で提供しております。BCPのIT対策が必要となりましたら、是非ご相談ください。


非日常を日常でマネジメントする

一般財団法人日本品質保証機構マネジメントシステム部門審査事業センター
情報セキュリティ審査部参与

中村春雄氏

 

日本人は古来より行事を通じて災害に備えてきました。例えば年末には大掃除をして家の中を整理し、建物の状態を見ます。お彼岸には、通常高いところにあるお墓に参り、避難ルートを自然と確認していました。このように有事へ向けた対策は、企業が日常の活動の中で行えるのが望ましいわけです。 

多様化するリスクに対応するため、品質のISO9001、環境のISO14001、情報セキュリティのISO27001、そして事業継続のISO22301など、様々なマネジメントシステムがあります。これらマネジメントシステムの特長を一言で表すと、それぞれに明確な目的があるということです。ISO9001は、品質維持と顧客満足のためのものです。ISO22301は事業継続とレジリエンシー、日本語で「しなやかな回復力」のためのものであり、これらの目的のために結集された知恵が規格なのです。 

また、各マネジメントシステムにはトレードオフがあり、例えば環境配慮のために裏紙の使用を徹底すると、情報漏えいの危険が高まりますし、情報セキュリティを高めれば従業員の安否確認の際、個人の情報を得にくいといったことが生じます。在庫を例にすると顧客満足と事業継続のためには多く抱えることが有効ですが、環境負荷はそれに伴い高まります。こうした問題に対して、マネジメントシステム規格間の整合を図り、経営者自身がマネジメントできるように、HLS (High Level Structure)という共通の規格の書き方がISO22301で初めて採用されました。HLSは既にISO27001にも採用され、今後はISO9001やISO14001にも採用される見込みです。 

HLSの採用で、災害時のマネジメントシステムを、品質、環境、情報セキュリティ等の日常で実施しているマネジメントと一体化して導入・管理することが可能となり、BCPを真に有効なものとすることができるでしょう。では日常のマネジメントシステムを使って非日常をマネジメントするとは具体的にどういうことでしょうか。

企業は、製品やサービスを提供するために、様々な活動を行っています。そうした各活動に事業継続のためのステップを加えることで、日常的な業務がそのまま非日常の状況に対応していることが望ましいといえます。そのためには、まず企業が事業を継続する上で必要な活動と、各活動について最低限必要な資源を割りだします。さらにリスクアセスメントを行い、守るべき事業とリスクを明確化します。 

例えば人という資源に関しては、どの企業でも作成している組織図に交替要員を加えたり、社員の誰が何をできるかというスキル表に、消火器が使える、救急処置が行えるといった災害対応のスキルを盛り込むことが挙げられます。設備と機器に関しては固定資産台帳や、情報セキュリティに取り組む多くの企業が作成する情報資産目録に、予備や相互関連の情報も盛り込めばいいのです。これにより日常的な活動が非日常で有効に機能することになるでしょう。さらに重要な活動に見合ったリソースの使用状況や、社会インフラといった自組織以外のリソースへの考慮など、非日常の活動が日常の活動に気づきを与えることにもつながるでしょう。 

ISO22301では、リスク管理におけるBCPの災害時の活動を日常活動に取り込むよう定めています。ISO22301が有効でありながら国内では認証件数がそれほど増えていないのは、BCPの浸透率から考えると意外です。BCPを策定したものの、かかる費用や手間に躊躇しBCMS構築まで踏み込めない企業が多いように思います。 

BCPを効果的に運用していくためには、ISO22301を活用し、BCPを最新の状況に合わせて更新し、運用・維持することが必要です。これにより本当に災害に強いマネジメントシステムを実現できるでしょう。めったに起きないことに日常的に備えることが、事業を継続するために何が重要かを気づかせ、それを強化することで組織が強く、やさしく、付加価値を高められるのです。

2020年東京オリンピック・パラリンピックに向けたBCPと危機管理


BSIグループジャパン株式会社営業本部部長 
鎌苅隆志氏

 

2020年に東京オリンピックが開催されることが決まりました。大会コンセプト、またアピールポイントとして、「コンパクトな五輪」、「安心・安全・確実な五輪」が掲げられています。企業にとっては大きなビジネスチャンスが期待される一方で、利益を最大化させるために日常的な事故や不祥事への対応はもとより、環境負荷への配慮や、関連機関との連携など、さまざまな対策が求められます。 

国際イベントの開催方針は、ここ数十年で大きく変化しています。1964年の東京オリンピックの際は、集客数はもちろんのこと、日本の経済力を世界にアピールしようという意図が込められていました。あるいは大会開催に伴う技術革新、サービスの発展、こうしたことがテーマとなっていました。2005年開催の愛・地球博では、環境にやさしい、地球にやさしいことを考慮すべきだということが日本国内でも注目されることになりました。 

大きな転換期となったのは、2012年のロンドンオリンピック。これまでの環境に加え、経済効果や社会的な影響の側面を踏まえ、持続可能なイベントを実施する方針となり、そのマネジメントシステムとしてISO20121(持続可能なイベント運営のためのマネジメントシステム)が誕生し、採用されました。2020年の東京オリンピックもISO20121の認証に沿って運営することが既に発表されていて、オリンピック関連の事業を展開する上では、このコンセプトを念頭においた活動が必要となります。 

また、オリンピック開催後も持続する社会的影響であるこれらの効果は、レガシーという言葉で呼ばれています。オリンピックレガシーを最大化させることで、オリンピックによる間接的効果を成長戦略と結び付け、起爆剤とすることが2020年東京大会の最大の目的と言えます。 

直接的な経済効果は3兆円と言われていますが、間接的な経済効果はどの程度に上るのでしょうか。それ自体を試算することは難しいですが、まず第一に観光需要の増加が挙げられます。次に各地のインフラ整備の加速、技術革新に伴う設備投資などが挙げられると思います。世界中から非常に注目を集める期間ですので、企業にとっては非常に効果的なマーケティングの機会でもあります。また、その後の各種大型イベントの開催を誘致するきっかけになる可能性も大きいと思います。これらの効果を最大限に活用したいということです。 

では、経済効果や社会的影響という付加価値を持続させるために、企業はどう備えるべきでしょうか。そのためには、まずは想定されるリスクを特定する必要があります。リスクを特定し、受ける被害を最小限に留めることで、確実にチャンスを獲得するためです。つまり、どういった種類のリスクがあるのか理解しておく必要があります。それらを踏まえて、東京大会に備えたBCPを作成しておくことが理想です。 

通常、ISO22301などでマネジメントを行う際には、リスクの特定からは行わず優先業務の特定から行いますが、東京オリンピックの場合はリスクを特定することがある程度可能なので、まずリスクの特定から始めます。その後、重要活動の特定、依存度分析、BCP戦略の策定、BCP策定と、ISO22301とは少し違った流れになります。 

では、どういったリスクが予想できるのかというと、交通、物流、通信、テロ・災害、セキュリティ、エネルギー、東京への集中が一部ですが挙げられるかと思います。道路の渋滞によって、通常2時間で運べるものが半日かかるかもしれません。海外からの旅行者が一気に増えることで、公安、あるいは空港で通常通りに物流が流れなくなる可能性があります。次に通信ですが、一斉に膨大なデータが日本から世界に向けて配信されるのでリスクがあります。一番暑い時期に開催されるため、エネルギーについても心配です。また、開催前、期間中、開催後の3つのフェーズでリスクを特定するのも重要となります。 現段階においてはこれらリスクを特定する作業が一番重要な作業かもしれません。