SPNの眼

災害BCP強化に向けた考察(第二回)~BCPの整備に際しての基準と水害・火災のリスク~

2017.12.06
印刷

 前回に引き続き、災害BCP強化に向けた考察を行う。今回は、BCPの整備に際しての基準について取り上げる。

はじめに

 まずは、BCPの整備に際しての基準について考えてみたい。これについては、簡単にいえば、インシデント(事象)別のBCPを整備するのか(原因事象型)、インフラ(施設設備・機能等の障害)別のBCPを整備するのか(結果事象型)の問題として、整理される。最近では、内閣府の事業継続ガイドライン等でも言及されていることから、結果事象型のBCPを策定する企業も増えている。実際に企業からのBCPに関する相談を頂く際に、当該企業のBCPを拝見することがあるが、本社機能の状況を中心にBCPが構築されているものが散見される。

 そこで、この点について、今回の論考では更に別の視点も加味してBCPの整備に際しての基準を明確にしておきたい。

ページ先頭へ

2.結果事象型BCPの問題点・脆弱性

 そこで、まず、私の論考を継続してお読みいただいている方にとっては、再三論じてきたことの繰り返しになるが、改めて、結果事象型BCPの問題点・脆弱性について言及しておきたい。

 想定論については前回の論考で取り上げたが、企業においても、BCPについては、在社時間中を想定したシナリオで作成されていることが多い。在社時間中の被災(ここでは、地震あるいは震災を前提)を想定する限り、原因事象型BCPでも結果事象型BCPでも、自社のBCP発動については、さほど大きな差は出ないものと考えられる(他社との連携を前提とした場合は、両者で大きな差が出る。この点は、後に言及する)。

 一方、休日・深夜等の勤務時間外の被災の場合は、原因事象型BCPと結果事象型BCPとでは、特に初動対応や従業員の行動の面において大きな差が生じうることに留意しておく必要がある。別の観点から言えば、結果事象型BCPは、休日・深夜等の勤務時間外の被災の場合に初動対応が著しく遅れるリスクが内在しており、それがかえって、事業継続におけるボトルネックになる可能性を秘めていることに注意が必要である。

 具体的に見ていこう。結果事象型BCPの問題点・脆弱性として、次の3点を挙げておきたい。

結果事象はインフラ重視・・・設備投資を機軸に対策が考えられ高コストになりがち

 結果事象型BCPは事業インフラの機能に着目して、当該機能が果たせない場合の対策や代替施設(設備)を考えるアプローチをとる。

 BCPにおいても、日ごろから準備・対策しておくべきリスクマネジメントと、発災後の対応を考えるクライシスマネジメントの枠組みは維持できる(なお、BCPの定義は、内閣府の事業継続ガイドライン第三版(平成25年)において、従来の定義から変更されている(従来は、リスクマネジメント、クライシスマネジメント両者の観点を加味した事前の「計画」を意味するものとされていただが、第三版では、世界標準にあわせて、被災後のクライシスマネジメント~復旧にいたる対応計画という意味合いに変更している。詳しくは、「事業継続ガイドライン改定の概要について」(平成26年3月26日内閣府事業継続担当主査筒井智士氏))が、結果事象型BCPに立脚すると、リスクマネジメントとしては、インフラを強化するという対策が重視される。こうなると、設備投資を助長することになり、設備面強化のために多くのコストが必要になってくる。

 多くのコストがかけられる大企業ならともかく、日本の産業界の多くを占める中小企業においては、コストが嵩むBCPは敬遠されがちである。こうして、結果的に、インフラや機能に支障が出ることは想定されていても、当該リスクに対する事前対策がコスト的に実施しづらくなり、BCPそのものの実効性が薄れていくことになる。

特に、休日・深夜等の勤務時間外の被災の場合に初動対応の遅れが生じうる

 結果事象型BCPについては、被災後の対応、すなわちクライシスマネジメントの観点からも脆弱性があることも改めて確認しておかなければならない。それは、前述した通り、特に、休日・深夜等の勤務時間外の被災の場合に初動対応が大幅に遅れる可能性があり、それが事業継続上の大きなボトルネックになりかねない点である。クライシスマネジメントの観点からは、大きく初動対応の遅れと、BCP発動の伝達(周知)の2点について、その脆弱性を指摘しておく。

 まず、初動対応の遅れについてであるが、資源や機能に著しい制限があるため、事業を相当の規模で縮小してでも、中核的な業務を継続して、企業活動を続けて行くというBCP発動の本質的状況を前提とした場合、災害で事業継続に大きな影響を及ぼす程の被害を出した状況下で、そもそもその災害の影響をどのように確認するか、その点が結果事象型BCPでは盲点になっている可能性が高いと言うことである。

 論理的に考えても、結果事象型BCPは、そもそもインフラに被害等が生じて、通常の機能が果たせなくなった場合の対応を想定するものであるから、被害の有無の確認のプロセスは割愛されていても不自然ではないが、実際には、被害状況の確認を行う以上、そもそも結果事象型BCPのロジックの中では十分に検証・検討されていない可能性の高い「被害状況の確認」というプロセスに実運用面での脆弱性があることを十分に認識しておく必要がある(本来、地震により組織的な被害状況の確認を行う前提に立脚しているとすれば、結果事象型BCPのロジックとは矛盾することになるし、原因事象型BCP(地震)と同じ考え方であり、結果事象なるややこしい概念を持ちだすまでもない)。

 例えば、本社社屋が使えなくなった場合にBCPが発動されることになっている場合、事業継続に大きな影響を及ぼす程の被害を本社社屋にもたらしたであろうその災害状況下で、本社まで行って、本社社屋に入れないこと、機能しないことを確認しなければいけないということになるが、結果事象型BCPに立脚する場合、その確認に要する時間や手間を考慮に入れているか、改めて精査・検討しておかなければならない。

 特に、休日・深夜等の勤務時間外の被災の場合に初動対応が大幅に遅れる可能性を指摘したのは、まさにこのプロセスに大きな差が出てくるからである。勤務時間中であれば、相応の役員・従業員が在社しているから、本社社屋の状況や機能障害の確認は比較的容易であり、結果事象型BCPでも問題なくBCPのフローに乗せていくことができる。しかし、休日・深夜等の勤務時間外の被災の場合は、事業継続に大きな影響を及ぼす程の被害を本社社屋にもたらしたその災害状況下であれば、電車は止まり、道路も不通の箇所があり、あるいは渋滞で、仮に徒歩であっても、何時まで経っても本社にたどりつけないという事態にもなりかねない。

 首都直下地震被害想定(平成23年12月、中央防災会議首都直下地震対策検討ワーキンググループが公表した「首都直下地震の被害想定と対策について」(最終報告)(以下、「首都直下地震被害想定」)によると、M7クラスの都心南部直下地震においては、「市街地火災の多発と延焼」が発生するとして、「地震発生直後から火災が連続的、同時に多発し、地震に伴う大規模な断水による消火栓機能停止、深刻な交通渋滞による消防車両のアクセス困難、同時多発火災による消防力の分散等により、環状六号から八号線の間をはじめとして、木造住宅密集市街地が広域的に連担している地区を中心に、大規模な延焼火災に至ることが予想される」とされている。また、「道路」については、「都区部の一般道は、被災や液状化による沈下、倒壊建物の瓦礫により閉塞し、通行できない区間が大量に発生し、渋滞と相まって復旧には1か月以上要することが見込まれる」としている。<さらに「鉄道」についても、「地下鉄」は「架線や電気・信号設備等、非構造部材等の損傷に留まる場合でも復旧に時間を要し、運転再開には1週間程度を要することが見込まれる」としている。

 このような状況において、本社社屋の機能状況を確認するまで、どれぐらいの時間を要し、誰が確実にそれを行うことができるのか。災害による被害発生を前提とする結果事象型BCPを採用するのであれば、この点に対する現実的かつ対処可能な方策の検討が不可欠であることは言うまでもないが、十分に検討されているのであろうか。実現性に乏しいBCPになっていないか、今一度検証が必要であることは論を俟たない。

 次に、BCP発動の宣言・伝達についてである。結果事象型BCPにおいては、先の例では、本社社屋の被害状況確認後に、その状況に応じて、BCPの発動宣言および関係者への伝達を行うことになるが(逆にいうと、原因事象型BCPと異なり、結果事象型BCPは災害事象等に依存した判断を行わないことから、被災直後の段階では、仮にその地震の規模が震度6強であれ、震度7であれ、この段階ではBCPは発動しない、されないのが論理的な帰結になる)、本社社屋の状況を確認できたとして、災害で本社機能等が影響を受けた場合にBCPの発動を関係者に伝達をしなければいけなくなる。しかし、ここでも、大震災後は、通信インフラ障害や通話制限等が起こることを想定しておかなければならない。

 東日本大震災においては、安否確認すらままならない状況も見受けられたが、結果事象型BCPにおいては、その状況下で、BCPの発動と関係者の招集を行うことを当然に含んでいるが、果たしてこれが現実的に可能といえるのであろうか。

 首都直下地震被害想定によると、M7クラスの都心南部直下地震においては、「通信」に関しては、「固定電話」は、「通信規制が行われ、ほとんどの一般電話は通話が困難となり、概ね通話規制が緩和されるのは2日目になると想定される」としているし、「携帯電話」に関しては、音声通話は集中・輻輳に伴う通信規制等により著しく使用が制限され、ほとんど接続できなくなり、規制の緩和は2日目となると見込まれる」。「メール」は、「概ね利用可能であるが、集中により大幅な遅配が発生する可能性がある」としている。

 このような著しい通信制限等がある中で、関係者に対して、どのようにBCPの発動を伝え、関係者の招集をかけるのか、しかも、大震災等の著しい社会状況下で、現実にそれができるのか、結果事象型BCPを前提とする以上、この点についての実効的な対策の検討も欠かせない。

 そもそもBCPの発動を効果的に伝達できなければ、BCPそのものが起動しない点を改めて再認識しておく必要がある。

他社(提携先)としては連携を意図した動きがとりにくい

 結果事象型BCPにおいては、BCPが発動されるかどうかは、災害が起きた後でなければ分からない上、被害が発生するかはその時々の状況によるという博打的状況を前提としている。取引先はもちろん、社員ですら、実際に誰かが確認し、連絡を受けるまで容易にその状況を予想・予見できない。

 原因事象型BCP、例えば、「震度6弱が都内で発生した場合」にBCPが発動するということであれば、地震速報で誰もがその状況を把握でき、BCPが発動されることを前提に動くことができる。他の災害事象や事象についても、往々にしてニュース等で配信されることから、BCPが発動することの認識は容易である。しかし、結果事象型BCPでは、震度6強でも本社機能が停止するかどうかは、個社単位の事情で異なることから、各社のBCPが発動されるかどうか分からないということになるのである。

 強化が模索されているサプライチェーンのBCPや、昨今注目が高まっている各方面との連携を視野に入れたBCPを模索するのであれば、関係者が予見可能であること、言い換えれば、各社が自発的にBCPを発動することを前提に、相互に早期に行動・連携できることが強く求められるが、災害が起きた後でなければ分からない上、被害が発生するかはその時々の状況によるという博打的状況を前提とする結果事象型BCPは、連携する関係者にとっては、BCPが発動されるか分からない、いつBCPが発動されるか分からないという不安な状況に追い込むことになりかねない。

  そして、すぐにBCPが発動できないことは、自社にとっても、連携先にとってもそれだけ事業継続に向けた「初動」が遅れることを意味する。「初動」が遅れれば、それだけ事業の復旧も遅れるし、そもそも被害が出るような災害を前提としている以上、交通インフラや社会インフラの機能停止・低下により、各種行動に通常の時間以上の時間を要することになるから、その遅れは一層大きくなることを前提とせざるを得ないことに十分に留意しておかなければならない。

 つまり、結果事象型BCPは、被害が出るほどの災害の状況を前提としているから、各社が個別に連絡を取りあうことすら容易ではないことに鑑みれば、結果事象型BCPそのものが、それこそ事業継続上の大きなボトルネックになるという皮肉な結果をもたらしかねないのである。

ページ先頭へ

3.BCP整備の基準

 以上、結果事象型BCPの脆弱性に言及してきたが、これらの脆弱性から浮かびあがるのは、災害、特に大地震等の場合のクライシスマネジメントへの理解不足である。理屈の上では、あるいはリスクマネジメントの領域で考える分には結果事象型BCPは穴の少ない考え方のように思えるが、実際のBCPでは、被災後の対応~復旧のプロセス、すなわちクライシスマネジメントの領域が重視される。したがって、そのシチュエーションに相応しいBCPを整備することが、危機管理の観点からは効果的である。

 なお、初動対応の遅れの部分については、原因事象的発想を援用して、震度5強以上で、いったんは、BCP発動を前提に参集・対応するという形で、結果事象型BCPをベースに原因事象的な考え方を入れている企業もあるが、そうであれば、原因事象型BCPを採用し
インシデント発生と同時にBCPを立ち上げ、特段事業継続上の支障がなければBCPを解除すればよく、事業継続上の支障があれば、BCPに従い対応していけばよいのであって、結果事象型BCPというような特殊な概念を用いる必要はない。

 そもそも、原因事象別では複合災害の場合に、事業継続を実現できないとして、原因はどうあれ発生した事象に着目すれば、復旧プロセス後に共通性があることから、危機全般に対応できるとして結果事象型BCPが提唱されてきた経緯がある。確かに地震に対するBCPを整備していたところ、地震に加えて津波や原発災害が発生すれば、地震型BCPでは限界があることは間違いがない。

 しかし、複合的に発生するのは、災害事象(原因事象)だけであろうか。結論からいえば、災害事象(原因事象)だけが複合的に発生して、発生事象(結果事象)は複合的に発生しない等ということはあり得ない。結果事象であっても複合的に生じうることは疑いのない事実である。例えば、本社の機能が停止し、さらに社員が出社できないとか、サーバーも損傷したとか、発生事象(結果事象)とて、複合的に生じうることは過去の事例をみても明らかである。

 とすれば、原因事象型BCPは複合事象に対応できないから、結果事象型BCPが有効であるという論理そのものが、そもそも成り立たないことになる。原因事象型BCPより結果事象型BCPが必ずしも優れているとは、言い切れないのである。

 したがって、震災等の対応の実態を踏まえれば、特段結果事象なる概念を持ちなくてもよく、実際の対応では、種々の複合的な被害、支障が発生するため、やるべきこと、できることに大差はないもの考えられる。

 それよりも、看過してはならないのは、BCPを考える上で、インシデント別の差異をしっかりと認識しておくことである。概念の違いではなく、原因となる事象により、生じうる社会環境や事業環境は異なることを認識しつつ、それらの要因を勘案したBCPを構築・整備していくことが求められるのである。

 具体的に見ていこう。BCPを考える上で、重要な要素は次の3点である。

 まず、予測可能かどうかである。予測可能であれば、早めの防災・減災・被害軽減策も行える上、予測を踏まえた軌道修正や対応を早い段階から行うとができる。事業継続準備段階があるかどうかで、BCPの内容は異なる。

 次に、社会インフラの被害状況である。ここでは、電気・ガス・水道等のライフラインの他、通信・交通機能、社会的な物流ネットワーク機能を総称して社会インフラと定義するとして、社会インフラの状況で、事業継続の可能性は大きく異なってくる。社会インフラの被害が少なければ、通常の社会環境・事業環境に近い状況であることから、事業継続への影響はそれほど大きくないが、社会インフラが大きく損なわれていれば、事業継続はままならない。したがって、インシデント別に社会インフラへの影響を考慮しておく必要がある。

 最後に、従業員への影響である。どこの企業・組織においても、防災あるいは事業継続時の最優先は、人命尊重・従業員等の安全確保とされているものと考えられるが、それは、同義的法的責任の観点以外にも、やはり、事業活動には、人的資源が重要であり、不可欠の要因となるからである。人材不足が社会的にも深刻になっているが、事業や企業の発展には、人材が重要であることはいうまでもなく、事業継続の局面においても同様である。したがって、BCPを考える上でも従業員への影響を考慮しておく必要がある。

 これらを踏まえて、災害を中心として、種々のBCPで考慮していく要因を考えていくと下記のようになるものと考えられる。

自然災害(地震、台風、水害、噴火)

 自然災害については、第一の基準である予測の可否に関して、台風・水害のように一定程度、規模や発生が予測しうるものと、地震のように規模や場所の予測の難しいものがある。噴火は、ある程度の予知は可能だが、未知の要素を含むものもある。

bcpfig01

 第二の基準である社会インフラへの影響については、社会インフラの機能障害が生じる可能性が高く、従業員の参集や情報収集・共有、各方面との連携に支障が出る可能性が高い。

 第三の基準である従業員等への影響については、従業員の生命をおびやかす事態も生じうる他、身体・精神両面において、種々の影響が生じうることから、事業継続に関しての人的資産毀損のリスクはある。

 以上を踏まえて、事業継続対策の大枠を概観すると、

防災対策(平時準備)

  • 施設強化対策:耐震補強や什器の固定等
  • 防災教育研修:避難訓練等も含む、安全確保のためのノウハウ共有
  • 設備補強・冗長化:予備電源の確保・移設等
  • 安否ルール整備・情報管理対策:安否確認システム整備、データ保存

 まず、平素からのリスクマネジメントとして、減災に向けた施設強化対策、設備補強・冗長化、防災教育・研修、安否ルールの整備や情報管理対策が必要になる。施設・設備等のハード面だけではなく、教育研修やルールの整備等のソフト面の対策も重要であることを忘れてはならない。

災害対応(予測可能災害)

  • 従業員の安全確保:従業員の安全確保、行動指針の明示等
  • 被害回避行動・被害軽減措置:予測を踏まえた各種減災対策等
  • 災害動向把握:情報収集や各方面への指示・連絡
  • 事業中断・事業継続措置:予測を踏まえた戦略的判断・対応

 そして、予測可能災害の場合は、何よりも、災害動向把握や被害回避行動・被害軽減措置が重要になる。事業継続を考える上では、事業へのダメージを可能な限り小さくすることが重要であり、その意味では、事前の防災対策だけではなく、予測を踏まえた災害対応も、事業継続上重要なマネジメントとなる。固定的かつ事前の段階でのリスクマネジメントとしての事業継続対策のほかに、リスク要因をその影響力の小さいうちに察知・分析し、重大事象の回避に最善を尽くすミドルクライシス・マネジメントの考え方は、防災・BCPの局面でも有用な指針である。

災害対応(予測可能災害)

  • 従業員の安全確保:従業員の安全確保、行動指針の明示等
  • 被害軽減措置・二次被害防止対策:早めの避難や安全確保行動徹底
  • 初動対応・危機対応:発生した事象と被害を踏まえた危機対応
  • 広報体制整備・事業継続判断・事業継続措置:状況を踏まえ判断

 予測不可能災害の場合は、防災対策以上の事前の準備は難しいことから、発災後の対応に重点が置かれる。ただし、事業へのダメージを可能な限り小さくすることが重要であることは予測可能災害の場合と変わらないから、従業員の安全確保と被害軽減・二次被害防止措置は極めて重要である。そして、被災を前提として対応せざるを得ない以上、被災状況と被害を踏まえた戦略的な危機対応が重要となる。災害の規模が大きくなればなるほど、現場は混乱を極め、できることは限られるにしても、状況を踏まえて、できることは確実に実行していく危機対応が求められる。

感染症(インフルエンザ)等

 次は、インフルエンザ等の感染症のBCPについてである。

 まず、感染症については、発生初期は予測不可能ではあるものの、事業継続が危ぶまれる流行期については、それまでの罹患状況や発生地域、毒性、感染力等のデータ分析が相当程度行われ、被害予測等は一定程度可能である。

bcpfig02

 感染症に関して、第二の基準である社会インフラへの影響については、社会インフラの機能障害が生じる可能性は低く、従業員の参集や情報収集・共有、各方面との連携に支障が出る可能性は高くない。但し、感染者も通院等で交通機関等を利用する可能性があるため、参集や移動は罹患リスクを高める場合があることに注意が必要である。

 第三の基準である従業員等への影響については、感染症によっては従業員の生命をおびやかす事態も生じうる他、段階的に相当数の罹患者を生じさせるリスクがあり、罹患時は、数日~相当期間会社等を休む必要が出てくることから、事業継続に関しての人的資産毀損のリスクはある。

 以上を踏まえて、事業継続対策の大枠を概観すると、

防災対策(平時準備)

  • 施設内対策:空調設備や音湿度調整、殺菌・消毒等の対応・対策
  • 研修・情報発信・訓練・マニュアル化:予防に向けた環境づくり
  • 感染予防対策:予防にむけたルール化、周知・徹底、備品準備
  • ルールの整備:健康管理・記録、体調不良時の対応要領など

 感染症に対する事前対策としては、何よりも感染リスクの低減に向けた各種対策と、従業員等を巻き込んだ、予防活動の実施が重要となる。事業継続対策においては、事業へのダメージを可能な限り小さくすることが重要であることは自然災害の場合と同様である。

発生時対応(蔓延時)

  • 従業員の健康管理対策:予防措置および健康管理ルールの徹底
  • 感染者・感染源の隔離:予防・被害拡大の最重要事項。強制休日等
  • 感染拡大防止・勤務体制変更:シフトや勤務体制変更(在宅含む)
  • オペレーション変更、拠点の縮小・変更:罹患状況に合わせて対応

 感染症について、蔓延期の発生時対応としては、被害の拡大防止措置の徹底と罹患者の存在を前提とした、通常のオペレーションを変更しての業務運営が求められてくる。特に蔓延期については、相当数の従業員が罹患している可能性があり、各部門や業務プロセスにおける人員不足が深刻化してくることから、それを前提としたオペレーションの変更等の対応が重要となる。

発生時対応(終息時)

  • 従業員の健康管理対策:予防措置および健康管理ルールの徹底
  • 被害軽減措置・衛生対策:シフトや勤務体制変更(在宅含む)
  • 代替要員確保・感染拡大予防:欠員分の補充
  • オペレーション変更、拠点の縮小・変更:罹患状況に合わせて対応

 終息期の発生時対応としても、被害の拡大防止措置の徹底と罹患者の存在を前提とした、通常のオペレーションを変更しての業務運営が求められてくることは、蔓延期と同様である。蔓延期と比べて、各部門や業務プロセスにおける人員不足は解消されているものの、依然として感染拡大のリスクや欠員発生のリスクがあることから、罹患者の存在を前提とした業務運営を行わざるを得ない。

サイバーテロ(システムの乗っ取り)

 自然災害とは異なるが、BCPの関連で、サイバーテロも含むIT-BCPについても合わせて検討することとしたい。

 サイバーテロやシステムダウンについては、個別のインシデント発生を事前に予測することはなかなか難しい。システム面での各種のログや兆候は監視・分析できるものの、事態の発生まで具体的に予測していないというのが、実状ではないだろうか(兆候を掴むためのシステム的な手当ては種々対策されるが、実際に稼動しているシステムが止まることの影響が大きいため、システムが止まることを前提としにくい情報システム特有の難しさがある)。

bcpfig03

 第二の基準である社会インフラへの影響については、社会インフラの機能障害が生じる可能性は低く、従業員の参集や各方面との連携に支障が出る可能性は高くない。都市機能を狙う大掛かりなサイバー攻撃等の場合は、社会インフラの機能が停止する場合がある。また、地震等による停電による使用不能のリスクは決して低くないことに留意が必要であるが、地震等に比べれば、社会インフラが受ける制約は少ない。

 第三の基準である従業員等への影響についても、医療機関や医療機器、化学プラントや原子力発電所を狙うテロ等の場合を除いて、基本的には、従業員等の多くが罹患したり被害等を受ける事態は、考えにくい。仮にあったとしても、大地震や感染症の場合と比べて限定的である。

 以上を踏まえて、事業継続対策の大枠を概観すると、

防災対策(平時準備)

  • セキュリティ対策・脆弱性対策:サイバーセキュリティ
  • 最新情報の収集・知見の蓄積:サイバーテロに関する情報収集
  • システムモニタリング:攻撃等の兆候の把握とシステム強化
  • データのバックアップ:データ保存等、攻撃を前提とした対策

 サイバーテロについては、既に各社において相応のシステム面での対策が行われているものの、外部からの攻撃手法も多様化しており、また個々の端末を操作するのは、従業員であり、意識やスキルにおいて個々人で差もあることから、攻撃を受ける可能性を視野に入れた事前対策が重要となる。

発生時対応(発生初期)

  • 被害拡大防止措置・WEBサイト:ウイルス等への感染拡大防止措置
  • 被害状況の把握:自社のシステム、データ等のダメージの把握
  • 危機管理広報・事態告知・顧客等への対応:利害関係者への事態周知
  • システム復旧・セキュリティ対策:正常回復に向けた対応

 サイバーテロに対する発生時の対応(BCP)としては、当該インシデントに基づく影響が自社のみに留まらない可能性を視野に入れておくことが重要であり、WEBサイト経由やメール経由での、他社や利用者への感染(影響)拡大を最小限に食い止める必要がある。

 BCPというと、事業継続という言葉に影響されて、「継続」を最優先に考えてしまいがちであるが、サイバーテロの場合は、一旦止める発想も求められることに注意しなければならない。

 そして、一旦システムを止めることを前提とした場合、あるいは、他に影響が及ぶ可能性のある場合については、利害関係者への告知や注意喚起が重要であることから、適時適切な危機管理広報が必要になる。

 ただし、危機管理広報の実施に際しては、次の点に留意が必要である。

  • システム会社など、社内各部門が全体的にシステムに関する知識を有している場合は、システムの不具合の内容を比較的短時間で、わかりやすく説明できるケースもあるが、通常の事業会社等では、システム担当部門があったとしても、危機管理広報を行う広報担当部門やシステム停止の判断を行う経営幹部に相応の知見・知識がない場合は、危機対応や危機管理広報に時間がかかる、あるいはそもそも適切な対応がなされないリスクが在ることに注意が必要である。特に情報システムの多くを外部に委託している企業等においては、対応や委託業者との連携がうまくいかない可能性があることに留意しなければならない。
  • WEBサイトを停止した場合、通常の自社ホームページ等によりリリース等もできない場合が生じることを想定し、その場合のリリース、告知の方法を検討・精査・準備しておく必要がある。この点は、地震等で、自社のサーバーがダウンする等して、自社のWEBサイトでの情報発信ができなくなった場合も同様の事態になることから、BCPの一部として、あらかじめ検討しておく必要がある。
  • 発生時対応(復旧準備期)

    • システム復旧・セキュリティ対策:正常回復に向けた対応
    • 危機管理広報・顧客等への対応:他社影響がある場合は先方都合あり
    • データの復旧・脆弱性対策:データ復元、正常稼動確認
    • 担当部門等のオペレーション変更への対応:人事・労務対策等

     復旧準備期についても、対応は基本的は変わらないが、特に他社に影響がある場合については、自社のシステムの復旧だけではなく、場合によっては、当該他社のBCPにも影響を及ぼしかねないことを忘れてはならない。

     今回は、BCPを整備・強化していく上で、従来の原因事象か結果事象かというアプローチとは別の角度から、事業継続に影響を及ぼしかねない要因を踏まえたそれぞれの特殊要因を考察した。

     BCPを考える上で、今回分析に用いた3つの基準、(1)予測可能性(可否)、(2)社会インフラへの影響、(3)従業員への影響は、特に被災後に求められるクライシスマネジメントの領域で重要な要素となる。

     国内のBCP構築実務においては、ややもすると、事前の準備やリスクマネジメントが重視され、過酷状況下におけるクライシスマネジメントの視点が軽視されがちであるが、実際の実効性を確保する上では、クライシスマネジメントの視点は欠かせない。内閣府の事業継続ガイドライン(第3版)において、BCPが発災後の対応にフォーカスされた点も、この点を裏付けるものである。

    上記3つの視点から実効性が担保できているか、あらためて、自社の現状のBCPの脆弱性を検討・精査・検証して見ることも有意義ではないだろうか。

     次回は、水害・火災等の個別の事象への対応やその他、BCPの整備・強化に当たって留意しておくべき項目について、考察したい。

    以上

    ページ先頭へ

Back to Top