「BCPリスクコミュニケーション」が機能するかを切り口に、初動から事業継続まで各フェーズの課題を考えてみる(イメージ:写真AC)

リスクが発現した際の初期対応をイメージしてみましょう。例えば情報システムに障害が発生し、社内や取引先との業務が停止、復旧の目途が立たず、先も見通せない。そうした状況で、組織は第一にどのような対応をとるでしょうか。

エスカレーションルールにもとづいたリスクコミュニケーションが行われる(イメージ:写真AC)

まず、ヘルプデスクがエンドユーザーから「業務が停止した」ことの問い合わせを受けるか、あるいは情報システム部門担当者がシステム内のアラートを検知するか。どちらにしてもこの段階では、情シス担当者が管理職にすぐさま状況を報告、管理職は当該事象について長年の経験等にもとづいてその影響範囲や影響度合いを感じ取り、CIO/CTOまでエスカレーションするでしょう。CIO/CTOは、場合によってはCEOにも報告を入れることになります。

状況は刻々と変化し、ある時は軽微なインシデントとして即時復旧するかもしれません。またある時は、問題解決ができずに長期に渡って業務が停止、顧客や取引先を巻き込んだ事業継続上の大問題になることもあり得ます。

1. BCPリスクコミュニケーション(BCPリスコミ)とは?

このようにリスクが発現した後、組織内、さらには社外のステークホルダーに対し、状況に応じて何らかのコミュニケーションが求められるわけですが、これは広義の意味でリスクコミュニケーションと言われます。

企業や組織はさまざまなリスク発現時のエスカレーションルールやルートを定め、例えば対策本部が設置されるようなBCP対象となるリスクが発生した際には、対策本部内の情報共有、経営陣に対する報告、社内・社外への広報といった多方面のコミュニケーションが必要とされます。ここでは、このような狭義のリスクコミュニケーションをBCPリスクコミュニケーション(BCPリスコミ)と呼ぶことにします。

災害発生直後は電話が使えないことがあり得る(イメージ:写真AC)

企業や組織内のBCPリスコミでは、通常、ICTシステム(メールやチャット、アラートシステム等)や電話を使うわけですが、災害時の停電やキャリアの通信障害によってこれらの手段が平時のように使えないことが想定されると、複数の代替通信手段と電源の確保手段を保持した上で、有事に使える方策を選択しながらコミュニケーションを取ろうと考えます。

複数の通信手段と電源確保需弾を保持しながら使える方策を選択する(イメージ:写真AC)

震災対象のBCPリスコミの対応策としては、音声通話としての電話が使えないと想定し、チャットやメール、LINEなどのテキストベースの連絡手段を設定し、さらには災害用ポータルサイト、安否確認システム、ハザードフォンなどをリスクコミュニケーションツールとして使用することもあります。

これらの手段は、情報セキュリティポリシーや企業文化、経営陣のITリテラシーなどを総合的に評価した上で取捨選択されますが、一般に経営陣のITリテラシーが低い場合には、衛星電話やハザードフォンなどの電話タイプのメディアが好まれる傾向があります。しかし、災害時のコミュニケーションにおいてインターネットの利用が最も可用性が高いことを考えると、テキストタイプのメディアにも慣れてもらう必要があるのは言うまでもありません。