災害ではなく、経営資源が事業を止める

事業継続計画(BCP)という言葉を世界に知らしめる契機となったのも9.11 米国同時多発テロだ。
世界貿易センターに入っていたいくつかの金融機関が、被災直後に別の代替オフィスに主要部門を移し重要業務を継続させた。9.11 以降の欧米のBCP を東京海上日動リスクコンサルティング主幹の岡部紳一氏に聞いた。

事業継続マネジメント(BCM)の国際規格化の議論を進めている国際標準化機構(ISO)の社会セキュリティ委員会(TC223)のワーキンググループ4(下図参照)に日本代表として出席している東京海上日動リスクコンサルティングの岡部紳一氏は、米国におけるBCP の取り組みについて「9.11がきっかけとなったことは間違いありませんが、それまでも連邦緊急事態管理庁(FEMA)が中心となって各連邦政府に対しCOOP(Continuity of Operations)という政府における業務継続のガイドラインを推進してきました」と説明する。COOPには、BCP という言葉こそ使われていないが、単なる災害対応マニュアルと違い、継続すべき重要業務をあらかじめ洗い出しておくことや、権限委譲を考えておくこと、代替オフィスを確保しておくこと、ドキュメント類などのデータのバックアップを取っておくこと、12 時間内に代替オフィスで業務を再開できるようにしておくことなど、BCP 的な要素も多く含まれているという。

しかし、9.11 の当時は、まだニューヨーク市もCOOP すら持っておらず、災害対策本部が入っていたWTC7 ビルが倒壊してしまう苦い経験をしていると岡部氏は指摘する。2004 年に米国会計検査院(GAO)が発表した調査結果でも連邦政府におけるCOOP の導入状況は不十分であることが指摘されている。

一方、9.11 を契機に、米国では9.11 委員会(Committee)が立ち上がり、ここで、今後のテロ対策に向けた提言(Recommendation)が示された。基本方針は、外交や入国管理に関することなど約40 項目から成り、その中の1つに民間企業(Private sector)を対象とした災害対応力(Preparedness)向上のための規格による認証制度をつくることが明記された。岡部氏は、「連邦政府がCOOP に基づき、重要業務(Essential service)を継続させるには、電力や通信をはじめ民間企業の役割が大きく、民間企業の事業継続力を向上させるためには、具体的な要求項目を示した標準的な規格を確立する必要があると判断したのでしょう」と推測する。

そもそも米国にはNFPA1600(非営利組織の米国防火協会が開発)という国内規格がある。災害時の緊急対応を主眼とした規格であったが、9.11 前の2000 年改定版からタイトルにBusiness Continuity Programs を追加している。9.11 委員会の調査報告ではNFPA1600 を持っていた会社の方が早く事業が復旧できたことから、この規格の導入が推奨されているという。

その後、9.11 委員会の提案項目を実施する連邦法が制定され、民間企業の災害対応力を向上させるための規格の認証制度を構築することが法律に明記され、国土安全保障省(DHS・FEMA)が担当することとなった。この取り組みは、PS-Prep(Private Sector Preparedness)と呼ばれている。NFPA1600、BS25999-2(英国の事業継続の規格)、ASIS SPC.1(ASIS という米国セキュリティ団体が
発行)という3つの規格を政府が推奨する規格として示し、企業に対し任意ではあるが、いずれかの規格の認証を取得することを促していく。NFPA1600だけを推進するのではなく、英国の規格なども取り入れたことは、独占を嫌う米国の気質とも言えるだろう。

PS-Prep ではまた、電力や通信など主要ライフライン企業だけでなく、社会基盤への影響が大きいインフラ企業や、米国経済を支える中小企業の事業継続向上への取り組みも促している。

■ISO への展開
国内の動きと並行して、米国ではDHS が中心となり、国際標準化機構(ISO)に対して災害対応力の向上に関する規格を開発することを呼び掛けてきた。米国内で発生するテロや災害だけでなく、海外でこうした危機が発生しても、資金や資材の流れが止まれば米国経済が大きな被害を受けることは避けられないためだ。

米国の働きかけを受け、ISO では2006 年4月に伊フィレンツェで、災害対応力向上の国際規格を短期に実現するためのIWA(International Workshop Agreement)を開催し、そこで米国規格協会(ANSI)が暫定規格をつくることを提案。30 カ国程が集まり、米国のほかに、英国や、豪州、イスラエルらも独自の規格案を提案し、日本も内閣府・経済産業省のガイドラインをベースにした案を
提出し、大きな枠組みについての検討が行われた。しかし、2 日間のIWA 会議では最終的な合意まで取りつけることができず、ISO の正規の規格策定手順に従って1から行うことになった。

その検討を行う専門委員会(Technical Committee/TC)として指定されたのが社会セキュリティ委員会(ISO / TC223)だ。ちなみに、TC223 はそれより以前から存在していたが、「民間防衛(Civil Defense)」という名称で、主には冷戦当時の核戦
争などによる国民保護に関する規格の開発を目的にしたものだったが、長い間、休眠状態であった。その間に国際情勢が冷戦から多発する地域的なテロに変化する中で「社会セキュリティ」へと名称を変えて災害対応力の向上などについて検討することになったのだという。ちなみに現在TC223 はWG 1からWG 5まで5つの部会があり民間企業の事業継続力だけでなく、公的機関も対象にしたコマンドシステムなど数多くの規格が検討・開発されている。

2007 年には、TC223 で初の事業継続マネジメントの公開文書(PAS22399)がつくられ、その後、認証規格としての規格案ISO / DIS22301 が開発されている。こちらは、来年早々にも正式なISO 文書として発行される予定だ。

一方、英国の国内規格が策定されると、英国は積極的にBCM 専門家を多数派遣し、規格の起草の論議を引っ張り、ISO22301 原案は英国のBCM 規格であるBS25999-2 をベースに検討が開始された。しかし、論議を重ねる中で、大幅に内容を書き換えられ、主要国の意見が取り入れられた内容となっている。

岡部氏は「事業継続力ということを考えたとき、米国は防災や緊急対応、復旧など一連の災害対応の流れの1項目としてBCP が位置付けられているのに対し、英国はピンポイントで事業の継続にスポットを当てている意味で、対象とする範囲に大きな違いがある」と語る。

■英国におけるBCP
その英国に目を転じると、英国では、1970 年代以降IRA(アイルランド共和軍)へのテロ対策に悩まされてきた。2001 年の9.11 同時多発テロは、英国のテロなどに対する危機管理体制を見直すきっかけとなったと岡部氏は説明する。「英国の内閣府のマネジャーから、かつて9.11 について話を聞いたとき、それまでは英国ではテロでも自然災害でも、せいぜい数百人レベルの被害しか想定してこなかっ
たのが、数千人という規模の被害を目の当たりにして、体制を見直さなくてはいけないと話していたことを覚えています」(岡部氏)。

こうした危機意識の高まりとは裏腹に、2005 年7月にロンドンで同時多発テロ、2007 年にはグラスゴーでの空港爆破テロが発生し、さらに、テロ以外にも、集中豪雨による大規模な洪水が大きな被害をもたらすなど、2000 年代後半はテロや災害が相次いだ。

英国政府は2004 年に市民非常事態法(Civil Contingency Act)を制定。この法律は、公的機関における災害時の緊急対応について定めたものだが、自らのBCP を策定することや、地方自治体に対して民間企業にBCP を推進することまでも義務付けているとする。

こうした中、英国規格協会は2003 年にBCP に関する公開仕様書PAS56 を策定し、それをもとに、2006 年にガイドライン規格BS25999-1、そして2007 年に具体的な要求事項をまとめたBS25999-2と着実に国内規格の開発を進めてきた。

大きな特徴は、日本のような地震のリスクのない英国では、日常的に発生するさまざまな危機を想定している点だ。実際、英国内閣府は、国全体のリスクマップとも言うべきNational Risk Register を公表し、英国民、企業に対して、備えるべき災害・事故のリスクを発生確率と影響度で分かりやすく示している。2010 年版のリスクマップには、洪水や、停電、公共機関でのテロ、パンデミックなどが示されている。

さらに地方レベルでもCommunity Risk Resisterが毎年作成され、インターネットで公表されている。

これらのリスクマップは、地域防災会議というべきLocal Resilience Forum の中で、専門家で構成されるリスクアセスメントのワーキンググループが定期的な評価、見直しを行っているという。

■日本が考えるべきBCM
BCP の国際規格化という大きな流れの中で、各国のBCP の考え方は少しずつ近寄ってきていると岡部氏は語る。NFPA1600 は、版を重ねるごとに、BCP に関連する規定が洗練されてきており、2010年版からは、PDCA サイクルを明確にした章立てに大幅改定されている。BS25999 もPart1 からPart2 を比較すると、Part2 にはISO の論議を反映した規定が見られるという。そのISO22301 の原案も、Prevention(防止)やMitigation(軽減)など米国や日本の考え方が取り入れられ、それぞれが進化してきているとする。

こうした流れの中、日本はかねてから地震を想定した、絞り込んだBCP の策定をしてきたが、一方で米国や英国のように、さまざまな脅威を想定していくことも大切ではないかと岡部氏は語る。その際、災害そのものがどのような被害をもたらすのかと考えるのではなく、人や施設・設備、システムといった経営資源がどのようなリスクを抱えているか、仮に経営資源が被災した時にどのような対策を取ればいいのかといった視点が必要と説く。

「事業を中断する原因となるのは災害そのものではなく、災害によって経営資源がやられてしまうためです。地震という災害だけを考えているとそこで思考が止まって、災害シナリオ以外でのリスクを見落としかねません。東日本大震災で、津波を想定していながら、バックアップの非常電源装置が同時被災してしまった福島第一原発事故の事実を私たちはBCP の教訓としていかなくてはいけません」(岡部氏)。