新型コロナウイルスの感染拡大以外にも、さまざまな災害による被害は企業規模の大小にかかわらず発生する。有事でも事業を継続するためには、どんな対策が必要なのだろうか。BCP(事業継続計画)の有識者に話を聞いた。

BCPは「オールハザード」対応の時代へ

―― 日本企業の事業継続に関わるリスクについて、どう見ていますか。

内海氏 2021年は東日本大震災からちょうど10年です。日本にBCPの考え方が根付いたのがこの大震災だったと言えます。多くの企業が取り組んだのが地震、津波に対する備えです。安否確認や連絡手段の確保、社屋の補強や高台への移転など、首都直下地震や南海トラフ地震への備えを進めてきました。

この動きは2015年ごろまでに一巡し、課題意識を持っている企業の対応はほぼ完了したと思っています。この時点でBCPを作った企業はその後も訓練などを繰り返して運用していますが、BCPを作らなかった企業は、ほとんどが作らないまま現在に至っています。

ちょうどそのころから別のリスクも日本で重要視されるようになりました。台風による風水害です。河川の決壊などに対するBCPも作らなければいけないということになりました。

そして、2020年からのコロナ禍です。ただし、ここで企業が感染症に対応したBCPに動いたわけではありませんでした。むしろ、個別のリスクに備えるのでなくBCPの分野でよく使われる「オールハザード」という考え方で全てのリスクに備える形に対策が変わってきています。これまで地震や風水害へのBCPを作ってきた企業も、オールハザードのBCPに見直す動きが進んでいます。

―― コロナ禍における日本企業の事業継続への対応をどう見ていましたか。

内海氏 出社できない中で事業を続けなければいけないという切迫した状況下で、各企業は緊急対応を取りました。コロナ禍のテレワーク普及率を見ても著しい変化がありました。製造業やサービス業など、テレワークが難しい業種も含めて満遍なく対応が進んだと思います。

コロナ禍についてもう一つの問題は、地震や風水害と違って「平時と有事」の境界がはっきりしないことです。最終的に出社判断などは自社で決めるべきとはいえ、政府や自治体の決定に従うべき要素が多く、これらも対応しにくくしていました。

ただ、平時と有事の境界が曖昧になったことは逆に良い面もあります。普段からリスク管理を意識した備えを進めることはあるべき姿だと思っています。

中小企業のBCP、メリットと課題

―― 中小企業のBCP策定は進んでいるのでしょうか。

内海氏 帝国データバンクが2021年に実施した調査(※)によると中小企業のBCP策定率はわずか15%程度にとどまっており、まだまだ低いといわざるを得ません。大企業の策定率は32%に達しており、大きな違いとなっています。

(※)帝国データバンク 事業継続計画(BCP)に対する企業の意識調査(2021年)

中小企業の課題は、リソースがない、予算がない、ノウハウがないといったところに集中します。BCPについてもこれが当てはまります。

―― 中小企業がBCPを作ることにどのようなメリットがありますか。

内海氏 当然、中小企業であってもBCPは有事の際に事業を続けるための重要な指針になります。それに加えて、BCPを作ることによるメリットとして私たちが企業に話すことが幾つかあります。

一つは、BCP策定の検討は部門横断で進めなければいけないため、組織の壁を壊すことにつながるという点です。BCPがあれば、経営陣が従業員を大事に考えている企業であるというメッセージにもなります。

2011年の東日本大震災やタイの洪水被害の影響で、サプライチェーンの断絶が起きました。それがきっかけとなり、企業がBCPを持っているかどうかによって取引先を選別する動きもありました。

つまり、BCPの有無が平時の事業に影響することもあり得るのです。実際、中小企業には取引先の大企業からBCPに関する調査票が定期的に届いています。

企業全体のBCPの中で、ITのリスクを考える

ニュートン・コンサルティングの内海氏

―― 特に、企業のIT-BCPで状況に変化はありますか。

内海氏 コロナ禍によってテレワークが一気に進んだことで大きな課題が浮上しました。データの取り扱いに伴うセキュリティの確保です。

自宅環境でいかにセキュリティを確保して業務を継続するか、という点はテレワークにシフトする際の重点施策となりました。その際に改めて、データの取り扱い方法を見直した企業も多いでしょう。

社内にデータを置き、VDIという仮想デスクトップ技術でPC側にはデータを保存しない形でアクセスできるようにする。VPN装置を導入して、社内サーバの通信の盗聴を防ぐ形で社外からアクセスできるようにする、などです。

被害を未然に防ぐこういった対策の他に、被害が発生した際の対策も重要です。その一つがバックアップです。中小企業でも自社のデータのバックアップを取っているところは多いと思います。しかし、そのバックアップデータを正しくリストアできるのかどうかを検証している企業はそれほど多くありません。これは大企業でも同じです。リストアまで手が回らない企業が多いのだと思います。

平時からリストアを含めた訓練が重要です。最近では中小企業もランサムウェアに攻撃されるケースが増えており、バックアップとそのリストアが事業継続の要となります。中小企業では、よくいわれるバックアップの「3-2-1ルール」(※)とまではいかなくても、少なくとも2つのメディアに保存し、1つはオンライン、1つはオフラインのメディアにバックアップするなど、万一に備えて対策すべきです。

(※)データのコピーを3つ用意し、2つのコピーをそれぞれ異なるメディアに保管し、1つのコピーを元データと別の場所に保管するバックアップのルールのこと。

IT-BCPは本来、企業全体のBCPの一部として考えるべきです。ですが、全体のBCPを考える部門はITのことがよく分からず、IT部門は事業継続について知ろうとしません。単純に決められたバックアップを機械的に行うだけで、事業リスクとしてBCPを捉えていないという問題があります。

うまくいっている企業は、ビジネス部門とIT部門が一体となってBCPを検討し、運用しています。ある大企業は定期的に部門横断のBCP会議を開催しており、各部門がすべきことのタスクを洗い出しています。また、年に1回BCPの訓練を行っています。そこではIT部門も必ず参加して訓練のシナリオを作成しています。このような企業はBCPを非常に上手に運用していると言えます。

経営者は自分ごととしてリスクに向き合う

―― 中小企業では、経営者の意向でほとんどのことが決まるといわれます。BCPについても同じでしょうか。

内海氏 全く同じです。私たちが相談を受けるケースの中で、最初に社長から言われてBCPを作るというところは完成まで到達します。逆に中堅クラスの従業員がBCPは必要だという課題意識を持っていても、社長が賛同してくれず計画が動かないというケースが多々あります。

―― 中小企業で志のある中堅の従業員が社長を動かすために、どういう働き掛けをすればよいでしょうか。

内海氏 数年前に、社長の同意を得るには何が効果的かを分析したことがありました。そこで分かったのは社長同士のつながりが重要だということです。知り合いの社長からBCPの話を聞くことがきっかけになったという事例が多かったのです。自身と同様の立場の人がなぜ必要と判断したか、という思考が「自分ごと」化につながります。この気持ちが強いほどリスク感度が高まり、BCPに意識が向かうと思います。

自分ごと化につなげやすいものとして、経営者層に特化したセキュリティやBCPの研修、訓練があります。そこでは経営者に時間をつくってもらい、「この30分だけは集中して有事の対応策を考えてください」とお願いします。経営者を有事の訓練の世界に放り込んでどれだけ厳しい決断を迫られるかを体験してもらうのです。そうすることで意識を大きく変えることができます。

外部のITパートナーは、積極的に利用すべし

―― 中小企業がIT-BCPの構築と運用を成功させる上で、外部のITパートナーとどのような関係を築けばよいのでしょうか。

内海氏 IT-BCPにおいては、私は従業員100人以下の企業でもベンダーなど外部の専門家の力は積極的に活用すべきだと考えます。スキルや知識も自社だけではキャッチアップが難しい分野です。

ただ、自社のことですから当事者意識を持つことは必要です。ベンダーやITパートナーに丸投げしてはいけません。まずは自分たちで考え、困ったときの相談相手として外部の力を利用するのが一番良いと思います。

また、IT-BCPを語る上でもう一つ外せないのがクラウドの普及です。特に中小企業はクラウドの利用で平時の業務を効率化できるだけでなく、有事でも利用できます。ただし、クラウドのセキュリティやどこまでがクラウド事業者の責任範囲なのかを把握してIT-BCPを考える必要があります。

ベンダーやパートナーに相談するにしろクラウドを利用するにしろ、どこまで面倒を見てもらうのか、責任分界点を契約やSLA(サービスレベル契約)でしっかりと決めておくことが重要です。

―― BCPに取り組む中小企業で、優れた事例があればお聞かせください。

内海氏 あるお客さまは、東日本大震災のときからBCPに取り組んでいます。当社も長年にわたって支援している企業です。

同社は東日本大震災で原材料の仕入れ先が被災し、生産ができなくなりました。その対応で海外から材料を調達して大きなコストをかけた経験から、仕入れ先を複数社化する施策を進めました。現在はあらゆる材料、資材の仕入れ先を複数社設定し、在庫も増やして有事でも2カ月間生産できる体制をつくりました。社長の「BCPは経営のど真ん中」という考えの下、全社一丸でBCPに取り組んでいます。

この事例のように、今後企業にとってサプライチェーンのBCPが重要になることは間違いありません。日本は圧倒的に中小企業が多い国です。有事でも中小企業を含むサプライチェーンを維持できなければ、日本の産業は止まります。ITの世界も、近年サプライチェーンを狙う攻撃が増えています。災害やサイバー攻撃による被害を最小限に抑え、事業を継続する計画を立てることが必須になっています。

―― 最後に、中小企業の経営者に対してメッセージをお願いします。

内海氏 今は新型コロナウイルスの感染状況が少し落ち着いていて、いったん立ち止まって考えることができるタイミングだと思います。ここで、社長自身がコロナ禍で下したさまざまな決断を振り返ってほしいと思います。その決断の過程で足りなかったものは何か、思い出してみましょう。それによって、次の感染拡大や災害などのリスクに対して効果的な対策が取れるようになります。

経営者は、日頃から為替の変動など事業のリスクを意識しているはずです。そのスコープを有事のオペレーショナルリスクやITセキュリティにも広げて、リスク感度を高めていただきたい。その上でやるべきことは何か、考えてほしいと思います。

Original
Source

アイティメディア営業企画
制作:アイティメディア編集局
この記事はTechTargetジャパン(https://techtarget.itmedia.co.jp/)に2021年11月18日に掲載された
コンテンツを転載したものです。
https://techtarget.itmedia.co.jp/tt/news/2202/01/news01.html

トップページに戻る 記事一覧を見る