マルチハザードや複合的リスクに対応できない原因事象依存のBCP

T氏：はじめまして。ご多忙のところ事前打合せのためにご足労いただいてありがとうございます。さっそくですが、東日本大震災以降ここ数か月、事業継続計画についてセミナー開催の打診がかなり増える傾向がありまして。BCPの策定・構築支援といったリスクマネジメント全般の話題や、実務面でのポイントを説く内容でセミナーを企画しているのですが、森田さんにアドバイスをいただければと思います。

今回のセミナーは、経営管理層、CIOといったマネジメントとかIT戦略の意思決定にかかわる層を主体に想定していて、経営中枢の危機対応、ITを含めた組織的な危機対応力を主眼としたBCPということに力点を置くつもりです。

森田：ご存じかと思いますが、最近は大規模災害だけでなく事業に深刻な危機を及ぼす要因も多様化していますからね。「マルチハザード」という言葉が象徴しているように、多角的な危機状態に対しては通常の一元的な防災対策では不十分です。そのため、組織的な危機対応力という視点は非常に重要なテーマだと思います。

T氏：ありがとうございます。組織的な危機対応力といった場合、BCPと組織体制の関係についてどのようなことに力点を置いたらよいでしょうか。

森田：企業規模が大きくなったり、縦割り型の組織が増えていますが、これまでのリスクマネジメントの問題点は、部署や専門分野という単位での限定的なリスク対応体制の組織がほとんどですね。これではいくら組織的にBCPを策定したとしても、こうした組織文化が根付いてしまっているために“役に立たないBCP”を作りあげたり、再生産してしまいかねません。

T氏：“役に立たないBCP”ですか。BCPそのものに対する理解不足、認識不足という点ではいかがでしょうか。

森田：従来のBCPでは、たとえば東海地震、東南海地震がどこに震源があり、どの程度の震度、どの断層、どの沿岸地域が津波に襲われるかといった具体的なインシデント発生の状況、すなわちBCPではこのことを「原因事象」などと呼んでいますが、こうした具体的なケースを想定して組み立てていることがほとんどではないでしょうか。

ご存じかと思いますが、BCPとは、止めてはいけない業務や活動、そのために必要となる物資の調達、緊急事態で必要なアクションを起こせる人員の確保やネットワーク、代替拠点や場所、代替システムといった、企業の存続と業務を継続させるうえでどうしても必要な資源・要素をすべて洗い出し、これらについて状況の監視を行いながら逐次、緊急時の行動計画を立て、組織として共有させていくことです。しかし、具体的なケースを想定して組み立ててると、想定していなかった事象が次々と起こった場合に、現実の危機状況とは乖離した役に立たないBCPとなってしまいます。役に立たないのならまだしも、時として弊害を及ぼしかねません。

T氏：「原因事象」に依存してしまったBCPですか。その辺りをもう少し説明してもらえますか。

森田：東日本大震災はじめ、実際の被災状況をつぶさに観察すると分かるはずですが、ほとんどの場合、多様なインシデントが同時に、しかも複合的に発生してしまいます。そのため、せっかく精緻に策定したBCP、あるいは精緻に設計すればするほど現実の危機状況とは乖離していってしまいますよね。いわゆる「想定外」というやつですね。

しかし、本来BCPとは、こうした原因事象を描き出して、そうした想定状況に沿って行動計画を練るようなものではないのです。地震・津波・風水害、火災、新型ウイルス感染、停電、システム障害・停止、経済危機、テロといったインシデントはいわば映画のワンシーンのようなエピソードでしかなく、現実に起こる複合的で複雑な事象とは乖離したものです。

残念ながら、日本ではBCPに対する認識が足りないこともあって、まだこうした具体的なリスク、具体的なエピソードをもとにBCPシナリオを作り上げてしまう風潮があります。これでは、複数のシナリオに沿って複数の行動計画、複数の対策案をひねり出さなければならなくなります。それも、東日本大震災がそうであったように、「複合的な危機」ではなかなか行動計画通りにパターンマッチするのは難しいでしょう。

T氏：では実際にどのような考え方で取り組むべきなのでしょうか？

【次ページ】「原因事象」ではなく「結果事象」に焦点をあわせる