2011/11/25
誌面情報 vol28
特別寄稿
東日本大震災の教訓を踏まえたBCM有効性向上のための提言
問われた事業継続の本質
2011 年3月11 日に発生した東日本大震災は、日本の産業史にとって過去例のない大災害となった。 東日本大震災の特徴は、超広域そして複合災害であり、企業はその活動に大きな影響を受けた。人員の安全確 認などの緊急時対応、そして事業の継続について、日頃からの「備え」が生かされた企業はもちろんあるが、 一方で現状の概念による事業継続計画(BCP)の有効性・実効性が十分ではないことも判明した。
本内容は、以下機関の様々な知見を集大成し、事 業継続マネジメント(BCM)の観点から、東日本 大震災を総括して、今後の BCM の有効性と重要 性、および、そのための課題を明確にするととも に、今後の事業継続マネジメントシステム(以下、 BCMS)のあり方についての抜本的かつ斬新な提言 を行うことを目的としている。
提言は、単なる反省や教訓への対処ではなく、将 来の災害等の危機事象に対して、事業や企業継続性 について有効に働く BCMS の構築という本来的な 目的に資する内容となるように努め、併せて全世界 に対して日本からの警鐘と提言とすることも目的とした。
検証の方法として、できるだけ多くの事例を集め、 課題を抽出して、それらの課題に対して、様々な BCM のガイドライン・規格等から検討を加え、改善策となる教訓を導き出すこととした。
震災から2カ月後の5月に、約 30 名のメンバー が作業を開始した当初は、多くの企業で様々な対応 を継続していた段階であり、具体的な個別事例の収 集が難しかったり、 公表される情報も限られていた。そこで、まず全体の被害の概要と、産業界での被害 を中心に情報を収集した。討議の中では、社名を出 すことができない事例など、 多くの情報が集まった。そこで、これらの事例から、事象を汎用化したもの を抽出して分析をした。
事象は大きなものから小さなものまであり、小さ な事象でも、再発防止が必要なことから記載はした が、解決策だけでは単に手段としての議論となって しまうことから、これらの事象が、BCM のテーマ の何に関して課題だったのか、マッピングをして全 体の傾向を分析した。議論の過程で判明したのは、 被災地での問題と、非被災地での問題が混同してし まい、課題の内容が整理できないことだった。そこ で、被災地と非被災地に分類して整理した。
このように整理した事象を、現状では BCMS の 認証に使われる BS25999-2(英国の事業継続マネジ メントシステム規格)のテーマに当てはめて、問題 点がどこにあったのか、 どこを改善すればよいのか、マッピングした(詳細は省略、資料を参照) 。これ らの評価はメンバーの独自の判断であり、推測に基 づく場合もあることはお断りをしておく。
途中経過ではあるが、その結果を以下に示す(項 目 a ∼ o の後ろの番号は、BS25999-2 本文の参照番号) 。
BS25999-2 の関連する項目としては、以下の 4 点 があげられる。
(1)事業継統計画およびインシデントマネジメント計画(※1)
(2)事業インパクト分析(※2)およびリスクアセスメント(※3) (同時被災という想定外事象を含む)
(3)インシデント対応体制(※4)
(4)その他の注目点
「事業継続戦略」「経営資源の提供」「BCM の演習」 など
さらに、規格の項目には直接分類できなかったものの、以下のような課題が判明した。
(5)サプライチェーン(SC)の継続性
(6)組織力
以上の結果から、特に見直す必要があるだろう点を、以下の1∼5にまとめた。
1. 事業インパクト分析と結果事象の考え方 について
■経営資源の明確化
組織においては、BCP の前提として、まず、緊急 事態が発生した場合に「生き残るために何を守らね ばいけないのか」 「何の事業を継続させるのか」に ついて経営トップを含めた合意形成を図る必要があ る。そのためには、前提として「各事業に必要な経 営資源」の明確化を徹底しなくてはならない。東日 本大震災では、これまで見落としていた経営資源の 被災により事業の継続が困難になった企業も多いの ではないか。その上で、各経営資源が活用できなく なった場合に具体的にどう行動するのか、 という 「結 果事象」の考え方を導入する必要がある。経営資源 とは、主に以下を指す。
つまり、事業の継続を阻止するのは地震や津波そ のものではなく、それによって上記のような経営資 源が動かなくなることが事業中断の原因となること を認識し、計画を見直さなくてはならない。
また、自社の経営資源のみならず、供給者および 外部委託先の操業停止が、自組織に対しどのような 影響が生じるかについても評価すべきだ。今回の震 災で、さまざまな業種において、サプライチェーン が被災したことで事業が継続できなくなった例が報 告されている。供給者および外部委託先(いわゆる サプライチェーン)の BCM の取組みを確認するこ とはもちろん、事業継続への取組みと連携し、演習 の共同実施の検討および推進をすることを検討せね ばならない。 その関係を図示すると、下図のようになる。
そもそも BCP の本来的な考え方は、BIA によっ て「重要な活動」を特定し「経営資源」を評価する ことから始まり、それらを継続させるための適切な BCM 計画(BCP や IMP〈インシデントマネジメント計画〉 )およびその取組みを開発し導入するプロ セスへとつなげるというものだ。このように、BIA を基礎とした一連のプロセスは、 「結果事象」から考 える BCP の取組みの重要性を示したものといえる。
今回の震災で、結果事象を使って対策ができてい たら、 もっと被害が軽減できたかもしれない事例は、 福島原子力発電所である。推測ではあるが、電源の 対策は津波など原因事象を対象に考えられてきた。 海外では、全電源喪失の想定を行うのは通常だという。もちろん、科学的な知見に基づく、複数の防御 策は備えられていた。しかし、想定の中には、例え ば隕石が激突するような事象は奇想天外であり、考 慮する必要はない、と排除されていたり、甚大な地 震でも、発電機は 2 台あるので、同時に被災する確 率は極めて低いので、考慮する必要はないと説明さ れたこともあった。実際、事故後に元原子力安全委 員長の反省として、「何でもかんでもだめになると いう状況は考えなくてもよいという暗黙の了解があ った。隕石の直撃など、何でもかんでも対応できる かは、無理である」という趣旨の報道もあった。
つまり、これまで日本では、地震や新型インフル エンザという特定の災害に着目した原因事象型の 考え方が優勢であった。実際の BIA 実施において、 具体的な危機事象を想定して業務の影響度を評価し ようとすると、個別事象ごとに評価結果を求めることになり、膨大な作業となる。
例えば、「地震が発生した場合」「新型インフルエ ンザが発生した場合」において、個々の業務がどの ような影響を受けるのか、地震の規模やインフルエンザの毒性・感染力に応じて、想定されるシナリオ の数だけ分析を実施しなければならないことにな る。もちろん、緊急時の初動をリスクごとに考える 上では、原因事象の考え方も重要であり、いくつか のパターンの分析を実施している組織もある。しかし、これはリスクという原因ごとに BCP を作成す ることを意味し、BCP の数が多くなればなるほど それら BCP が実際に機能するかは難しく、実施結 果が有効な対策に結びつかないため、結局は根付か ずに終わってしまうことが多かった。
一方、 BCP の発祥の欧米では災害が何かではなく、「特定の経営資源が使えなくなった場合にどうする か」という結果事象から考えるケースが多い。原因 は問わず、リスク具現化・発生の結果(建物や物 資、情報システムなどの経営資源の喪失といった結 果)を先に考えて、対策を作成するわけだ。したが って、英国などにおける BCP のガイドラインでは、 リスク分析より、 BIA を先にすることを勧めている。 BCP の本来の概念が、日本では変化をしてしまって いるのかもしれない。
■ 優先業務の選定
優先業務の選定は、リスクに関係なく決定される。それは組織存続のためには、どの製品・サービスを 継続させるかを優先して考える必要があるからであ る。重要業務を絞り込み、最終的な業務の優先順位 を設定するためには、BIA の結果を参考に、事業戦 略と照合しながら経営者が決定することが重要であ る。業務の優先順位は、BIA の結果から自動的に決 まるわけではなく、企業の事業戦略と BCP 事業継 続戦略を一体で捉えることが必要である。
前述の原発の事例で考えれば、重要な経営資源、 例えば全電源の喪失、が発生したらどのような状況 になり、優先業務(原発を安定的に停止させる)は どのように実施させることができたのか、という結 果事象を考えていれば、全電源喪失の確率は低いか ら想定していなかった、ということにはならなかっ たのではないかと考えられる。以上は想像で、実際 には複数の手段が準備されていたのであろうが、い ずれにせよ、過去に排除した原因事象が起きてしま い、残念ながら適切な対応ができなかったことだけ は明らかである。 以上の提言事項は、分析結果で出た多くの事項の 根本的原因だったと考えられる。
今回の震災はあらゆる想定をはるかに超えた規模 であったため、従来の原因事象型でリスク対策を講 じるのには難しい面があった。今回の災害を機に、 日本でも結果事象型の考え方が根付いていくことに なると考えられる。
2. 演習の重要性
今回、無事に津波被害から避難をできた釜石市の 中学校と小学校の事例は、防災はもちろん、BCP に おいても訓練・演習の重要性を示している。普段の 真剣な重複訓練が、生徒や教師の的確な判断と、迅 速な行動に繋がり、命を守ることができた。
BCM がうまくいった事例でも、社長が不在であ ったにも関わらず、残った社員が訓練通りに初動を 進めた企業もあった。社員を含め、優先業務や復旧 の計画の策定をしてきたので、発災後、全員でスム ーズに対策が実行できた、などの事例から、今回の 震災で、各社が感じたことは「訓練・演習がいかに 重要か」ということではないだろうか。しかし、多 くの企業では演習の目的や、具体的なノウハウがま だまだ十分に把握されていないように思う。
緊急時に、普段やらないことを、いきなり実施し ろと言われても、当然戸惑うばかりである。以下、 演習の目的や手法を紹介する。
組織のBCP実効性向上において、以下の重要な事項を達成する。
●教育・訓練で身につけた力量が適切に発揮できるかを評価する
● BCP の理解を深め組織に定着させる
● BCP 要員に役割や責任を認識させる
●状況予測や判断能力を高める
演習結果を BCP の改善に確実につなげていくため、演習の計画・実施及び評価のポイントとして、 次のような点を考慮するとよい。
●シナリオは、多くのインプット(過去の事例、従業員及びその家族の安全確保、利害関係者への配 慮、組織内要求など)に基づいて作られているか
●シナリオは、容易に達成可能なものになっていな いか
●簡単で形式的な演習や、啓発教育に終始していな いか
●目標復旧時間が考慮されているか
●演習結果の評価基準は明確になっているか
●演習の評価結果は客観性があるか(BCP 策定当事 者のみが評価しているなど偏った自己評価結果になっていないか)
●演習結果から改善点は明確になっているか
●改善点を BCP にどのように反映させていくのかが 明確になっているか
また、BCI の実践的ガイドライン 2010 グローバ ルエディションには、演習の実施や種類に関し、以 下記載がある(下図表) 。演習を成功させるためには、 演習プログラムは簡単なものから始め、徐々に難易度を上げていく。
(参考文献:実践的ガイドライン 2010 グローバルエ ディション 発行:NPO 日本リスクマネジャー& コンサルタント協会、監修:BCI 日本支部、ISBN: 978-9905826-0-9)
3. 経営システムとの同化について
3番目の提言としては、事業継続性を継続的に向 上させる BCMS の構築および運用については、 「経 営システムとの同化」を図らねばならないというこ とである。今回のような突然の災害に対応するため には、日常的にいつでも BCP を発動させられる体 制が重要となる。トップが不在でも対応できるか、 社員全体が意識を共有できるか、これらは経営の一 環として BCM を組織文化に組み入れない限り達成 されない。
ポイントは、以下のとおり。
(1)組織のトップマネジメントによって「事業継続戦略」を明確にし、同戦略を実現するための有 効な戦術の決定
(2)事業継続を実現するための平常時および緊急時における組織対応体制の明確化
(3)緊急時のトップマネジメント、および現場レベルにおけるリーダーシップ(対応能力と権限委譲)の確立、そのための環境整備の推進
(4)様々な演習を通じた BCP の実効性確保と向上
(5)BCMS の有効性評価の確立と有効性向上への取組み強化
(6)組織が緊急事態に取引先や従業員、社会などステークホルダーからの期待に応えることができるか、という視点で、平常時からマネジメントシステムの枠組みの中で、レピュテーション対応を図る仕組みを構築する
(7)組織開発手法の導入
BS25999-2 では、 「組織の文化に BCM を組み込む」ことが要求事項として求められており、これは組織 の人員に、緊急時に組織戦略、組織の事業継続戦略 実現のためにどのような貢献ができるかを確実に認 識させることに他ならない。 「戦略をやり切る組織」 構築のために平常時から組織開発手法を導入して、 危機対応力の向上を実現することが重要である。
4. 組織文化およびリーダーシップについて
● BCMS における「リーダーシップ」とは、 「組織に おける適切な事業継続戦略を決定すること、この戦 略に基づく戦術を状況に応じて柔軟に実行するこ と」であり、インシデント発生時において組織が事 業を継続するために、経営者及び現場担当者のリー ダーシップが発揮されることが必要である
●インシデント発生時においても組織が事業を継続 するために、BCM の効果が発現したのは、組織の 文化として BCM が定着していることが必要である
BCMS を支えるキーワードの1つとして「リーダ ーシップ」が挙げられる。BS25999-2 の 3.2.3.3 a) 項 においては、トップマネジメントは「BCM の方針 及び実施に対する説明責任を負う」とされており、 BCM への経営者の関与を明確にしている。事例か らも、組織の事業継続における経営者が積極的にリ ーダーシップを発揮することが重要であることが分 かる。リーダーシップは、経営者レベルで発揮され ることだけではなく、現場レベルで発揮されることも重要である。今回の震災のようなインシデントが 発生した際に、組織が事業を継続するためには、経営者及び現場のリーダーシップが発揮されることに よって効果的な対応が可能となるであろう。
リーダーシップ及び変革マネジメントの第一人者 である John.P.Kotter は、緊急時のリーダーシップ として、3つの変革実践力の重要性をあげている。
①メンバーができる限りあるがままに現状を受け入れて理解するために、リーダーとして状況を冷静に「見る」重要さ
②直面したあるがままの現状から人々が感じる不 安・怒り・偽りのプライド・悲観・シニシズムを、リーダーは躍動するビジョンによって人々の感情 を情熱・信頼・自尊・希望に変える 「感情」の重 要さ
③具体的変革行動を通じて体験・体感する変化の手ごたえを弱めたり戻したりしないように、リーダーが実践し続ける「行動」の重要さ
かつては、危機を乗り切るためには、強いリーダ ーによって、精緻で優れたマネジメントシステムを 運営することこそが重要だとする考えが根強かっ た。しかし、今回の震災時とその後の復興の動きを 見たときに、あらためてリーダーとは、組織の中に 相互フィードバック機能が働く規範と場の設定によ り高信頼組織を構築し、そのためには自らのリーダ ーシップ機能の一部を(主体的に)手放すことすら できる人材だと考える。
5. 組織開発(OD)
● 組織には「自ら問題を引き起こす、あるいは問題 を否認する固有特性」があり、そこに切り込まな い限り、いくら精緻な BCP を作り上げて演習を繰り返しても想定外の問題は起こり得る
●自分たちの成功・失敗を多面的に理解し、対立を 含む意見を自由闊達に交流できる組織、つまり変 化を組み込んだ学習組織に変革する事が、震災か ら浮かび上がる問題に対処する 1 つの方法である
組織を考えるとき、誰しも、モノ・情報・カネの 流れは考えるのだが、 「まず何を考え、決定・共有し、次に何を考えるべきか」を共有できている企業は少 ない。実は、改めて今回の震災を振り返ると、事業 継続マネジメントが有効に働いた企業は、愚直なほどに「考える順番」を揃える習慣があったように感じる。 具体的にいうと、OD における考える順番として、 The Logic of Systems as O.D.
Instrument の中では 以下のよう述べられている。
① Receiving System(顧客・取引先の状況、広くは社会状況)
② Mission Statement(企業や組織の使命)
③ Goal(企業戦略のゴール ・ 目標)
④ Program(戦略プログラム ・ 実行計画)+Working Knowledge Skills(仕事の知識・技能 ・ 能力)Other Resources(その他の資源 ・ 材料 ・ 機械 ・ 設備 ・ 道具)
⑤ Producing System(商品やサービスを生み出す 仕組み)
⑥ Structure(組織の機構 ・ 構造)
⑦ Relationship(職場と職場との関係性
⑧ Communication(職場内のコミュニケーション 構造・リーダーシップ)
この順番を見て「当たり前のことだ」と思われる 方も多いだろう。しかし、自組織のことを振り返っ てほしい。
・顧客や社会の変化よりも創業理念や既存戦略を優先していないだろうか?
・ゴールを不明確にしたまま事業戦略や商品を生み出すシステムを考えてはいないだろうか?
・戦略の妥当性よりも、社内の年齢構成や派閥を優先した組織構造を考えていないだろうか?
・組織の目指す方向も共有できていないのに、職場内のコミュニケーションの問題に手を打とうとしていないだろうか?
上記の考え方は、緊急時にも当てはまる。
【最後に】
社会のリスクが多様化・変化する中で、日本社会 そして企業など組織は、リスクとの付き合いを戦略 的に変えていく必要がある。リーダーは、リスクを 恐れるあまり「高い志と責任感」を忘れるようなこ とがあってはならない。また、BCMS や危機管理の 考え方を社会および組織に確実に定着させるために も、PDCAサイクルというマネジメントシステム の枠組みの中で、繰り返し教育・訓練・演習を行う ことが何よりも重要である。
本提言が、日本の組織の事業継続性向上につなが り、日本社会の継続性が高まることにより「高信頼 性社会」の実現に資すれば本望である。
※今提言については、以下のサイトから後日、詳細版を発表予定
BCI 日本支部
BCMS ユーザーグループ
誌面情報 vol28の他の記事
おすすめ記事
-
なぜ製品・サービスの根幹に関わる不正が相次ぐのか?
企業不正が後を絶たない。特に自動車業界が目立つ。燃費や排ガス検査に関連する不正は、2016年以降だけでも三菱自動車とスズキ、SUBARU、日産、マツダで発覚。2023年のダイハツに続き、今年の6月からのトヨタ、マツダ、ホンダ、スズキの認証不正が明らかになった。なぜ、企業は不正を犯すのか。経営学が専門の立命館大学准教授の中原翔氏に聞いた。
2024/11/20
-
-
リスク対策.com編集長が斬る!今週のニュース解説
毎週火曜日(平日のみ)朝9時~、リスク対策.com編集長 中澤幸介と兵庫県立大学教授 木村玲欧氏(心理学・危機管理学)が今週注目のニュースを短く、わかりやすく解説します。
2024/11/19
-
ランサム攻撃訓練の高度化でBCPを磨き上げる
大手生命保険会社の明治安田生命保険は、全社的サイバー訓練を強化・定期実施しています。ランサムウェア攻撃で引き起こされるシチュエーションを想定して課題を洗い出し、継続的な改善を行ってセキュリティー対策とBCPをブラッシュアップ。システムとネットワークが止まっても重要業務を継続できる態勢と仕組みの構築を目指します。
2024/11/17
-
-
セキュリティーを労働安全のごとく組織に根付かせる
エネルギープラント建設の日揮グループは、サイバーセキュリティーを組織文化に根付かせようと取り組んでいます。持ち株会社の日揮ホールディングスがITの運用ルールやセキュリティー活動を統括し、グループ全体にガバナンスを効かせる体制。守るべき情報と共有すべき情報が重なる建設業の特性を念頭に置き、人の意識に焦点をあてた対策を推し進めます。
2024/11/08
-
-
-
リスク対策.PROライト会員用ダウンロードページ
リスク対策.PROライト会員はこちらのページから最新号をダウンロードできます。
2024/11/05
-
※スパム投稿防止のためコメントは編集部の承認制となっておりますが、いただいたコメントは原則、すべて掲載いたします。
※個人情報は入力しないようご注意ください。
» パスワードをお忘れの方