これまでの連載では、第1回~第3回においてCOPの基礎となる設計の考え方とポイント、第4回においてCOPの運用イメージをお伝えした。第5回目の本稿では、1)危機管理を自動化する前提としての標準化と実装における課題、2)COPを運用する仕組みとしてのIT化の課題、について述べる。 

IT化の課題については、弊社がまさに研究段階であること、その知見の一部は特許出願中であることから、今回は全体の枠組みをお伝えすることでお許し願いたい。

編集部注:「リスク対策.com」本誌2015年11月25日号(Vol.52)掲載の連載を、Web記事として再掲したものです。(2016年6月7日)

災害対応を自動化する前提としての標準化
まず読者の皆様に認識いただきたいのは、「自動化」を行うためには、標準化・定型化が前提であるということである。改めて指摘するまでもなく、危機のタイプ・発生時刻・場所などの諸元が変わるたびに実施手順が変わっていては、自動化はおぼつかない。では、そのような標準化は可能であろうか? 

答えはすでに存在している。ISO22320(社会セキュリティ/緊急事態管理―危機対応に関する要求事項)と米国ICS(Incident Command System)である。ICSのレギュレーションの中には、災害対応を実施するための帳票類が標準型として準備されていて、これらは日々、実践的に活用されている(ICS-201)。 

つまり我々は、これらの危機管理における叡智の結晶を用いて自動化についての詳細を構築すれば良い。本稿ではISO22301およびISO22320の一部を用いて、災害対応の標準化と情報処理について検討を進める。

実装における主な課題
図1は、私が企業の災害対応アクションの実装を支援する過程で感じた、お客様の課題である。 災害対応とは、自然災害など突発的に起こった事象の結果、本来あるべき姿とは異なる状態になってしまった組織・環境・使命を更なる被害から守り、本来の姿に戻そうとする活動である。 

このプロセスを詳細に定義・仕様化しているのがISO22320である。4.2.5指揮統制プロセスを見てみよう。

標準化の作業とは、このプロセスすべてに必要となる処理と情報項目を定義することである(例:「観察」という行為を行う実施担当者、観察対象、実施方法、必要リソース、実施のタイムライン、アウトプットの形式などを策定すること)。

さらにこのプロセスには、COPのような情報共有のためのツールを運用することが必須となる。 

現在弊社では、標準化された災害対応アクション(COPなどのツールを含む)を策定し、社会に還元してゆくための有志による評議会の開催を検討している。これについては次号でご紹介したい。 

それでは、図1を用いて主要な実装の課題と解決手法についてポイントを述べる。

課題①:災害対応における「目標」とは? 
実装における最初にして最大の難関が、実は目標設定というプランニングである。目標が曖昧なままでは、具体的なアクションが実装できないのだ。 

一般的な企業においては、「いつ、どこで、どのぐらいの規模で起こるかわからない災害」への対応目標を作ることが意外と難しい。その困難さは、お客様が策定されたBCPマニュアルを拝見すると想像できる。

私は、事業継続コンサルティングの依頼があった際には、まず現状のマニュアルを拝見するところから仕事を始める。私の経験では、基本方針の文章のなかに、その組織の重要なステークホルダーとミッションについての明示的な記述がない限り、マニュアルの内容には曖昧さが残っていることが多いようだ。 

一言で言えば「誰/何を、何から護るのか?」が決まっていなければ、災害が起こるたびに、その場その場で一から目標を考えることになる。これはたいへん非効率的である。 

第1回連載で書いたように、この基本方針が定まっていない限り、災害時の組織の情報要求も明確にならない。つまり情報収集も曖昧になり、忙殺されている災害対策本部に「花瓶が割れました」という報告が上がってくる遠因となる。

手法①:組織の背景に合わせた目標設定方法
ではこれをどう解決すればよいだろうか? 基本は「誰/何を、何から護るのか?」を決めることから始まる。この最初のプランニングに曖昧さを残してはならない。 

ISO22301の仕様のなかに、の設定に向けた重要なレギュレーションがあるので、紹介する。

つまり基本方針を策定する際に、盛り込むべき重要な対象は、以下の3つである。
(1)利害関係者
「誰を」に相当する。例を挙げると「お客様」という記述レベルでは全く不足である。対象が「災害発生時に建設中のお客様」なのか「サービス契約を締結していて被災されたお客様」なのかによって、実施する行為は大きく変わる。この部分が曖昧なままBCPを策定しているケースがあまりにも多い。

(2)事業活動
「何を」に相当する。事業活動は複数あるので、上記(1)で定めた利害関係者への活動を中心に、重要度を決める必要がある。言うまでもなくこれは事業継続に関する基本方針となる。

(3)インシデントとその影響 
「何から」に相当する。インシデントそのものは想定困難だが、インシデントから派生する自社への影響については、リソースが有限であれば設定が可能である。 

例を挙げると、「地震発生」がインシデントで、「建物の破損」がインシデントの影響である。 

そして対応自動化のためにここが最も重要なポイントになるのだが、護るべきものが決めたあと、これら3つの目標についての状況がわかるよう、COPに抜け漏れなく項目を割り振ることが重要である。

課題②:災害対応における「情報」とは? 
BCP策定のご支援をしていると「災害発生時にどんな情報を集めればよいですか?」と訊かれることがよくある。そして資産と人の被害に関する情報を集めるための、やや曖昧な帳票への意見を求められる。もちろん情報収集の項目はこれだけでは足りない。 

私が見るに「災害対応は非定型業務であるから、起こってみなければわからない。そのため事前に詳細な情報収集の項目など決められない」という思い込みがあるのではないか。さにあらず、ということは本稿の読者であればご理解いただいていると信じる。

手法②:災害時に行う効率的な情報収集手法 
上記手法①により、(1)利害関係者、(2)事業活動、(3)インシデントとその影響、の3つについて目標を設定し、対応を実施するにあたって必要な情報要求を具体化してCOPに実装することは容易である。 
情報要求の具体化については、以下の例をご覧頂きたい。これは「社員」「社員家族」という利害関係者に対する目標を設定し、情報収集のアクションとして定めたものである。
・設定された目標:社員および社員家族の安否確認を3日以内に行う。
・収集するべき情報と手段:本人が無事か、家族は無事か、出社は可能か等の情報を、安否確認システム、メール、電話で実施する。

課題③:災害対応における「対応」とは? 
「災害発生時に組織は何をするか?」という課題への答えは、たとえば「A社にお金を支払うためには何をするか?」への答えと同じぐらいのレベルで具体的かつ詳細に手順化できる。 

ところが一般的な企業における自社の災害対応についての課題はかなり漠然としているようだ。それはマニュアル類の密度と、年間を通じて避難訓練しか行われていない訓練計画からも推察できる。 

前述したように「何をすればよいのかわからない」のは、事前の目標設定が曖昧であるからに他ならない。危機発生前に護るべきものを明確にし、それぞれが毀損した場合の具体的な目標をCOPに設定できれば、平時から基本的な対策を準備することはできる。目標なくして対策なしと知るべきである。

手法③:目標に応じた対応策定方法 
ここでいう対応とは、インシデントの悪影響への回避・軽減策、業務リソースの復旧・代替策が中心となる。

インシデントの悪影響への対応については、例えば「大地震による建物被害への対応」として、建物被害のチェック(構造物は無事か、内装と什器は無事か)とその結果への対応(構造物の破損があった場合は退避、など)のような例がわかりやすいだろう。 

業務リソースの復旧・代替策はBCPそのものなので本稿では割愛する。

ITによる災害対応支援の課題
続いて、これらの一連のプロセスをITで支援する場合の基本的な考え方を述べる。全体の課題としては、図2のような内容を想定している。 

災害対応は「業務」である以上、迅速かつ品質の良いアウトプットが求められる(品質が悪い場合は最悪の場合、人命にかかわる)。 

企業が行う危機管理の場面では、複数の人間が関わり、さまざまな判断を行い、数多くの施策を実施することになる。では仮に、同じインシデントに対する判断や対応が人によってバラバラであるとしたらどういう事態にいたるだろうか? 

結論を先に言う。災害対応における組織の判断は、同一条件での同一インシデントであれば、担当者が違っても一定範囲の品質に収まらなければならない。そして誰がいるかわからない災害現場で、複数の人が安定した品質のアウトプットを出し続けようとするなら、組織全員が訓練で十分な経験を積むか、定型化・リスト化された事前の判断基準をCOPに実装して活用するしか方法がない。 

訓練は言うまでもなく非常に重要である。しかしながら、災害対応担当者は、各所から大量の情報を入手してその分析を行い、短時間で意思決定をしなければならないことを考えると、IT支援なしでの活動は相当困難であると思われる。 

ここ数年でCOPの仕様について研究してきて思うのは、これほどたくさんの情報項目が必要だとは、数年前には的確に認識していなかった、ということである。これはエクセルの紙帳票でどうにかなるレベルではなく、データベースによる情報処理が必要とされるレベルである。 

そしてそれに気づいた瞬間に解決策はITしかない、それも災害時にも稼働する強固なクラウド・サービスを活用するしかない、というのが私の結論であった。

災害対応の標準化・自動化の評議会の開催
以下の内容は次号で詳細をご紹介するが、前述したように、災害対応の内容をISOに準拠した標準プランとして作成す評議会の開催を検討中である。 

標準プランを作成したあとは、対応そのものを自動化するために、クラウド・サービスに搭載して運用できるようにする。また並行して、ICT-BCPをクラウドで実装する具体的なソリューション開発も行う予定でいる。 

なお弊社が開発したBCP運用、COP運用ツールであるKlothoでは、既にこのような運用が一部可能であるが、この評議会では、より基礎的で汎用的なサービスを開発する予定である。

世界初のCOP策定クラウド・システム「Klotho」(特許出願中)
http://www.bcpcloud.net