企業インタビュー
DNVのBCMSサービス【BCMS】
各省庁の事業継続ガイドラインなどにより、重要性が広まりつつある事業継続マネジメントシステム(BCMS)。来年にはISO化が見込まれ、現在はBS25999として認証取得が進んでいる。3月11日に東日本大震災が起きたことで、企業の危機管理能力がこれまで以上に問われ、BCMSも注目されている。こうした中、認証業務を核にさまざまなサービスを提供するDNVでは、BCMSの必要性を訴え、関連する新たなサービスを積極的に展開している。
ネットワーク社会における危機管理の重要性
「今は事業継続マネジメントという言葉がクローズアップされているが、日本にはこれまでも危機管理、災害復旧などの言葉はあった。またISO14001では脅威、環境側面、緊急事態への準備及び対応、ISO9001では供給者管理というように、いろいろな規格の中に事業継続の概念は入り込んでいた」と、DNVの技術部ISMS担当マネージャでBS25999ほか3つの規格の主任監査員である古川泰弘さんは、事業継続の概念は国内で定着していた様子を語る。
ただし、例えば航空会社であれば「テロ」といったように、業界ごと、あるいは企業ごとに想定される危機の内容は異なる。金融業界では「コンティンジェンシープラン(緊急時対応計画)」という言葉が使われ、金融情報システムセンターからIT-BCP策定のためのガイドラインが発行されている。この初版が公開されたのは 1994年。その後、時代のニーズに合わせながら改定が重ねられているように、日本においては、各業界・各社で、それぞれの脅威・リスクに対して一定の対応を講じてきていた。
「しかし現在のようなネットワーク社会になってくると、事業継続の観点をより広く捉えなくてはならない。ビジネスとして回るかという観点がとても重要になってくる」と古川さんは指摘する。例えば距離的・物理的に離れた場所でトラブルが起きたとき、その場所以外では影響はなさそうに思えても、ネットワークが遮断されたりデータがアクセスできなかったりして、組織全体に影響を及ぼす事態も起こりうる。実際今回の震災では、自動車メーカーでは部品調達ができず、供給がストップしてしまった。
部品というモノの供給が止まるだけではなく、情報の流通についても同様だ。例えばデータセンターは東京にあって、ユーザーは大阪の人たちという場合も珍しくないが、データセンターが停電してしまい、非常電源も切り替わらずサーバーがダウンしてしまったら、「突然利用できなくなってしまった」と問い合わせが殺到する。ユーザーは停電という事態のみならずデータセンターが東京にあることも知らないからだ。
古川さんは「トラブル・脅威は限定的な地域で発生していても、企業全体が危機に陥り、企業の存続が危うくなってしまう。また自社だけの危機管理を考えるのではなく、取引先がどうなのかといったことも考慮しなくてはならなくなってきている」と、事業継続がクローズアップされてきた背景を説明する。
BS25999の要求事項を一部取り込んだアンケートを取引先に行い、同じような業務であればきちんと対応しているところに仕事を移すケースもある。その会社でしかできない場合は組織として許容するしかないものの、代替できる会社を探すことも必須となってきている。リスクがあるとわかった時点で調達先が海外に移ってしまうこともある。
「かつての危機管理は人命が最優先だったが、いまは人命もさることながら事業を継続させることが中心。非常にシビアになってきている」(古川さん)。海外企業からはBCPの有無を確認されることが増えてきているともいう。
どこまでを自社の脅威・リスクとするか
中山監査員(左)、 古川監査員(中)
実際にBCMSを構築するには「どこまでを自社の脅威・リスクとして見るかがポイント」(古川さん)である。しかし適切な脅威・リスクの洗い出しはなかなか難しいことが、今回の震災でも明らかとなったのではないか。今回の震災では、広域災害だったことや計画停電などが「想定外」のリスクとして挙げられるが、果たしてこれらを自社のリスクとして想定していた企業はあったのだろうか。
トレーニング&ERM部部長でISO9001など3つの規格の主任監査員を務める中山幸雄さんは、「脅威を広域に想定すればするほどコストがかかってしまう。したがって『まさかここまで』と、認識が甘くなっていたのは否めない。しかし、今回の震災でそうした意識が変ってくるかもしれない」と推測する。
中山さんは震災後に企業にヒアリングし、「震災発生直後の指示がきちんとできていなかったという企業が多かった」と、「初動の遅れ」を重要視し、そうならないようなBCMSの構築の必要性を説く。ヒアリングでは「屋内にとどまるのか屋外に避難するのか、部門によってバラバラ」「稼動している設備をどうするか明確でない」「帰宅困難になった場合の水や毛布などの備えがない」「生産拠点の在庫がない」「法定上の消防訓練しかしていない」といった声もあったという。
こうした状態ではリスクがアセスメントされている状態とはいえず、組織に与える脅威やリスクがどのくらいあるのかを分析し、具体的な対応について一つひとつ、どのようにするかを決めていくことが求められる。
例えば工場の近くに原発があった場合、まずは放射線による影響はどのくらいあるのか、従業員だけでなく製品に対する影響も分析する必要があるだろう。納品時、納入先から「放射能チェックをしていないから受け入れられない」といわれるかもしれない、といったことまで考えなくてはならない。そして、従業員への対応はどうするか、放射能を測定するための測定機材の準備をどうするか…といったことを取り決める。
ただ、そこまでのことは必要ないと考える組織もあり、せっかく仕組みをつくっていても、脅威の想定レベルを低く見ていると、実効性のないBCMSになってしまう可能性もある。「何が事業を継続するうえでの脅威なのか、それを決めてどうアセスメントしていくかがマネジメントシステムの仕組み。そしてそれがうまく回っているか、機能しているかを評価していくのがわれわれの仕事」と古川さんは監査員としての責務を説明する。
