BCPを考える

第6回 『おわりに~BCPが拓く新しい経営視点』

概要

注目を集めるBCP(Business Continuity Plan:事業継続計画)について、阪神淡路大震災を企業の第一線の現場で経験もとに連載シリーズとして掲載いたします。

このシリーズを続けてきた6ヶ月の間にも,BCPの考え方が少しずつ世間に浸透してきたようで,たいへん嬉しいことです。最後に,エッセンスを整理しておきたいと思います。
 
お話してきましたように,BCPは,わが国の従来の言葉で言えば『緊急事態対策規定』と同じですから,本来は,どんな組織でも,家庭でも,個人でも,平時から持っておくべき心構えと対策のことです。ところが,わが国の多くの組織には,安全や防災の対策は定められていますが,いざ「起こったときの対策」は非常に貧しいのです。敢えて言えば,さまざまな保険に加入することが唯一の一般的に採用されているものでしょう。
目次
未来予想の意識改革
BCP策定のメリット
情報セキュリティについて
謝辞

未来予想の意識改革

なぜこういう状態なのかについて,第一回で,大泉博士(日本大学)の「日本人の危機意識」についての見解をご紹介しましたが,わたしたち日本人というのは,未来予想が下手なのではないかと思います。
 
わたしたちは,どうしたことか「未来」という言葉に希望や夢という明るいイメージを重ね合わせてしまい,未来に起こりうる不幸な出来事には,知らず知らずに目を瞑ろうとする傾向があるようです。ですから,不幸な出来事に対する事前の対策は保険ぐらいにして,そのほかはなりゆきまかせのような安穏な暮らしをしてきました。
 
一部の公共的使命を有する企業や組織を除いては,企業でも,個人でもみんな同じことでした。もし,不幸なできごとが起こったら,「公(誰か)が助けてくれる」という気持ちが深く浸透しているのです。その信頼が脆くも打ち破られたのが,阪神淡路大震災だったことはご承知のとおりです。助けるべき公共機関も大きな被害に打ちのめされたのです。
 
そのあたりから,わが国でもBCPを必要だと認識する土壌ができてきたのですが,もうひとつのBCPが必要とされる要素は,現代の産業社会が,巨大なネットワークの連環によって成り立っていることです。その中の一企業の被災や操業停止によって,まるでドミノ倒しのようにネットワークの他の企業まで大きな影響を受けることになるのです。
 

BCP策定のメリット

まず,大きな災害に遭遇した米国企業の43%が業務を復旧することができず,29%が2年以内に廃業に追い込まれるという恐ろしい調査結果をご紹介しておきましょう。( http://www.nri.co.jp/opinion/it_solution/2003/pdf/IT20030605.pdf )
 
ところで,企業がBCPを策定するについては,それぞれの事業の脆弱性を分析して,どのパートの事業をどのレベルまで(RPO:Require Point Objective),そして,何時まで(RTO:Require Time Objective)にリカバリーするのかが定められます。この作業を通じて,自分たちの事業とは,何を通じて,どのような社会貢献をしているのか,また,広範なサプライチェーンの中で,どのような位置にあるのかが問われます。これは,BCPを策定することの副次的効果ですが,今後の企業経営にとって非常に重要なことだと考えています。
 
すなわち,自分たちの企業の真のコア・コンピタンスとは何かが,あらためて自覚できるはずです。また,自社の事業プロセスの脆弱点やクリティカル・ポイントはどこか明確になります。なお,この優先的リカバリーパート(これはわたしの造語)の判断には,創業者やトップの強い思いもあるでしょうが,マーケティング理論に基づいた,冷静な外部環境と内部環境の分析(SWOT分析)とPPM(プロダクト・ポートフォリオ・マネジメント)による資源配分の手法が有効だと思います。
 
このように考えていくと,優れたBCPの遂行によって,企業が再生したり,今まで以上に市場の信頼を獲得したりすることのカラクリもよくご理解いただけるでしょう。クライシス発生に備えてBCPを策定することが,実は,肥大化や多角化によって方向性を見失いつつある現代企業の経営理念の確認や経営資源配分の見直しにも大いに役立つのです。
 

情報セキュリティについて

さて,e-Japan重点計画における、情報セキュリティ分野の取り組みは「高度情報通信ネットワークの安全性及び信頼性の確保」を目的として,次の八項目が決められています。(http://www.kantei.go.jp/jp/it/network/dai3/3siryou40.php)
 
    • 情報セキュリティにかかわる制度・基盤の整備
    • 政府部内における情報セキュリティ対策
    • 個人情報保護
    • 民間部門における情報セキュリティ対策および普及啓発
    • 重要インフラのサイバーテロ対策
    • 情報セキュリティにかかわる研究開発
    • 情報セキュリティにかかわる人材育成
    • 情報セキュリティにかかわる国際連携の強化
そして,『事業継続計画(BCP)策定ガイドライン高度IT社会において企業が存続するためにー』(経済産業省商務情報政策局情報セキュリティ政策室編,2005)には,『情報セキュリティガバナンス』という新しい概念のもとで「情報セキュリティ対策を,単なるコストではなく,企業価値を高めるために積極的に取り組むべき投資対象として位置づけることが必要不可欠である。…』と謳われています。
 
最後に,これを読み解いておきましょう。
BCPにとって,情報セキュリティ問題は,地震や洪水などの自然災害,トップのトラブルなどとまったくかわらないフェーズの対象です。それが,政府のBCP策定ガイドラインに,わざわざ副題として,情報セキュリティに言及してあるわけはどう考えればよいのでしょうか。
 
言うまでもなくIT化は国策です。しかし,IT化には,さまざまな課題があります。前回も触れましたがIT化の脆弱性は,企業の近代化,合理化や効率化と表裏一体の関係です。情報流通の促進は,情報漏えいにもその道を拓きかねません。また,高度で複雑な情報システムの構築は,一方でトラブル発生時の迅速な復旧や,その技術の組織的な承継を困難にします(例えば,2007年問題)。
 
そこで,IT化には,それらを担保するための仕組み(すなわち,情報セキュリティ)が必要なのです。ただし,留意するべきは,IT化についてのクライシス・マネジメントは,必ずしもBCPの策定によってのみ達成されるものではなく,情報システム自体の設計における思想も大きな要素を占めると思います。
 
そこが,地震や洪水のような自然災害とは大きく性格を異にする点です。わたしは,人間が,その意思で情報クライシスのレベルや範囲を左右することが出来るはずだと信じたいのです。もちろん,激しい競争社会では,なかなかそういうところまで斟酌するのは困難かもしれませんが,情報セキュリティにおける課題とは,BCPの策定とともに,システムに内包する脆弱性のカイゼンも必須だと言えないでしょうか。
 
つまり,「情報セキュリティは,コーポレートガバナンスの一貫であり,企業価値を高める」ということの意味は,ひとつには,情報システムの高度化との抱き合わせとして,BCPも含めた情報セキュリティ確保という手立てが必要だと言うことです。さらに,情報システム化は,そもそもコーポレートガバナンスや内部統制に寄与する方向で設計されなければならないと言うことでもあります。
 

謝辞

現代の企業経営上の問題点のひとつであるBCPについて,6回を通してお読みいただいたみなさんは,「なんだ!そういうことか」とお感じになられたのではないでしょうか。BCPという考え方は,よくよく考えてみれば,何時の世もその時代を生き抜く人間の至極当然の智恵のような気がしています。
 
その昔,武士たるものは,布団の中で片足を折って眠ったと聞きます。何か異変のあるとき,すぐに飛び起きるための備えです。いつの間にか,平和と他者依存に慣れきって,生きることへの緊張感が弛んでしまったような感があるわたしたちには,そんな祖先の心構えをあらためて学ぶべき時代がやってきたのです。
 
長い間お付き合いいただき,ありがとうございました。 ―折りしも,ブルーのユニフォームを着た現代のサムライたちのドイツでの活躍を祈りつつ・・・。(おわり)

連載一覧

コメント

筆者紹介

松井一洋(まつい かずひろ)

広島経済大学経済学部教授(メディア産業論,eマーケティング論,災害情報論) 1949年生れ。大阪府出身。早稲田大学第一法学部卒業。阪急電鉄(現阪急HD)に入社。運転保安課長や教育課長を経て,阪神淡路大震災時は広報室マネージャーとして被災から全線開通まで,163日間一日も休まず被災と復興の情報をマスコミと利用者に発信し続けた。その後,広報室長兼東京広報室長、コミュニケーション事業部長、グループ会社二社の社長等を歴任。2004年4月から現職。NPO日本災害情報ネットワーク理事長。著書に『災害情報とマスコミそして市民』ほか。

バックナンバー