リスク対策.comは、企業・組織が自然災害や感染症、サイバー攻撃、大規模な事故・事件に備えるためどのような訓練・演習をどの程度行っているのかを明らかにすることを目的に、インターネットによるアンケート調査を実施した。第3弾の結果報告となる今回は、BCP の実効性を高いと考えている企業とそうでない企業における差について解説する。

アンケートの実施期間は2022年10 月17 日~ 10 月24日までの7 日間、対象はリスク対策.comのメールマガジン購読者(約2万5000人)。計318の回答があり、そのうち同一企業からの重複回答などを除いた310 件を有効回答として分析した。

従業員101~500人(23.9%)が最も多く、1001~5000人(20.6%)、501~1000人(17.7%)の順となった。業種は製造業が37.7%で突出して高く、本社所在地は東京都が51.3%で過半を占めた。

BCP の構築状況は「BCPを策定していない」が9.4%、「策定途中」が12.9%で、大半がBCPを策定済みだった。さらにBCP策定済の企業のうち定期的に見直しを実施している企業は36.1%、非定期的に見直しを実施している企業が48.1%、見直しをしていない企業は15.8%だった。

また、リスクマネジメントやBCP、防災部門の設置状況は、全体の55.2%が兼務での担当部門を持ち、次いで専属での担当部門があるが21.9%だった。これらのことから、リスクマネジメントやBCPにかなり力を入れている企業が本アンケート調査に回答している。
画像を拡大

BCPの「実効性高い」は3 割

アンケートでは、「もし大規模な災害や事故などに組織が巻き込まれるような不測な事態が起きたときに、どの程度BCPが期待通りに機能すると思うか」を5段階で聞いた。結果は、「1:期待通りには機能しない」が10.6%、「2:おそらく期待通りには機能しない」が12.9%、「3:どちらとも言えない」が32.9%、「4:ある程度期待通りに機能する」が30.6%、「5:期待した通りに機能する」が1.3%となった【グラフ1】。

画像を拡大

この結果を、①実効性が低い(どちらともいえないも含む)と考えている回答グループ(回答1~3=175社)と、②実効性が高いと考えている回答グループ(回答4~5=99 社)に分け、2グループ間による訓練の実施状況などの差を分析した。

実効性が高い組織ほど実施回数も内容も十分と考えている

まず、自社で行っている訓練・演習の実施回数と内容について。分析の結果、実施回数・内容いずれについても、実効性が高いと考えているグループの方が、低いと考えているグループより十分だと感じていることが分かった【グラフ2】。訓練・演習の回数・内容」に関しては、本アンケート結果の解説その1で紹介しているが、1.不十分~ 5.十分の中から当てはまるもの1つを選んでもらった。

画像を拡大

BCPの実効性が高いと考えているグループは平均点数が2.8ポイントで、低いと考えているグループが2.4ポイントだった。内容についても実効性が高いと考えているグループが2.6ポイントで、低いと考えているグループ(2.0)を上回り、ともに統計分析上、有意な差(つまりは偶然であるとは考えにくい)が確認された。

次に、訓練・演習の手法別に、その実施頻度を、実効性が高いと考えているグループと低いグループで比較したところ、すべての訓練・演習において、実効性が高いグループが低いグループを上回り、避難訓練、消火訓練を除くすべての項目で有意差が確認できた【グラフ3】。

画像を拡大

同様な方法で、BCPの実効性を高めるために、どのような訓練・演習がどの程度重要と思うかについても2グループによる差を分析した。その結果、訓練の実施頻度とは逆に、ほぼ全ての訓練・演習について、重要と感じる度合いについては、大きな差が見られなかった【グラフ4】。

画像を拡大

これらの結果から言えることは、BCPの実効性が高いと考えている組織も低いと考えている組織も、各訓練・演習の重要性の認識については、それほど大きな差はないものの、実際に実施している頻度については明確な差があるということ。特に平均点0.5以上の顕著な差が見られたのが、「通信機器操作訓練」「机上演習:ロールプレイング型」「総合演習」だった。

本アンケート結果の解説その1では、過去に実施した訓練・演習で取り込んだことがあるシナリオについて紹介したが、そのシナリオの数にも大きな差が出た。

具体的には、実効性が高いと感じているグループは平均10.1のシナリオを取り入れたことがあるのに対し、実効性が低いと感じているグループは6.5で有意な差があった【グラフ5】。

画像を拡大