デジタルトランスフォーメーションという大きな潮流の中、企業におけるICT(Information and Communication Tecnology/情報通信技術)システムの重要性はますます高まっています。 それに伴い、自然災害や感染症、大事故が発生した際のシステムダウンなどによる損失も大きく膨らむことが予想されます。 そこで今回は、いま一度BCP(Business Continuity Plan/事業継続計画)策定の重要性を整理します。
災害などによる物理的な被害の影響は、被害が発生した企業だけでなく、地域の雇用や経済にも大きな打撃を与え、さらにはサプライチェーンなどを通じて、関連企業や地域社会にも影響を及ぼすことがあります。 BCPは、このような非常事態の発生に備えた重要な対策として、損失を最低限にくい止め、中核事業の継続や早期復旧を可能にする方法や手段をあらかじめ文書としてルール化するものです。 多くの日本企業が、海外市場への展開を積極的に行っている中、国際社会での企業の信頼を担保する上でも、BCP策定の重要性が見直されています。
「地震大国」と呼ばれる日本では、大地震に備えた「防災計画」を策定している企業は多くありますが、防災計画とBCPでは目的や適用の範囲が異なります。
企業の視点から見ると、防災計画とは「自然災害や感染症に備えて、人命(従業員)や建物、機材、情報資産などを守ることを目的とした計画」です。
すなわち、基本的に自然災害を対象としており、災害から人やものを守るために日頃から備えておくための計画です。
その一方、BCPは「あらゆるアクシデントに対して、重要かつ優先度の高い業務から速やかに復旧・再開できるように策定しておく計画」となります。
主に自然災害や感染症を対象としている防災計画に対して、BCPではそれらの災害も含め、事故や事件、システムや通信インフラの障害、ライフラインの停止、内部不祥事、テロ行為など、多岐にわたった緊急事態を想定したものです。
そしてもう一つ、防災計画とBCPとで大きく異なる点があります。
防災計画の中でも自然災害は、その地域の広い範囲に影響を及ぼすため、災害発生の際には地域の協力を得ながら被害を抑えることもありますが、
事故や事件、内部不祥事などは、その企業だけが直接被害を受けることであり、地域に対しては、被害が広がらないように自ら対処する必要があります。
日本企業でBCPの導入が進まない理由の一つに、「人材不足」が挙げられます。
そして、その根底にあるのはBCPをコストと捉える考え方です。
いつ起こるか分からない非常事態への準備にコストを割くよりも、利益に繋がる事業への投資を優先するのは経営判断として当然ともいえますが、欧米ではこの考え方が大きく異なります。
「BCPへの投資は、結果的に利益を生むものだ」という認識に立ち、経営戦略の中に取り込まれているのです。
例えば、2001年9月に発生した同時多発テロ事件では、アメリカの大手証券会社メリルリンチが、さまざまな事態を事前に想定したBCPを駆使し、9,000人もの従業員をビルから迅速に避難させました。
そして、翌日には「当社は問題なく業務を行っている」 というメッセージを発信し、顧客から大きな信頼を獲得しています。
BCPを数十年に一度起きるかどうかの災害対策のためのコストと考えた場合、大きな費用捻出は難しくなりますが、 前述の通り、BCPへの投資が対象としているのは災害だけでなく、世界中で頻繁に発生しているサイバー攻撃など多岐にわたる対応も含まれ、 結果的に利益を生むものと考えれば、日常的に投資しておくべき対策と捉えることができるのではないでしょうか。