解説」カテゴリーアーカイブ

「想定外」とはどういうことか?

このエントリーをはてなブックマークに追加

巷で「想定外」という言葉が使われる場面が本当に増えたと思います。個人的な感覚としては特に 2011 年の東日本大震災以降、特に使われる頻度が増えたように感じています。しかも BCM や災害対策に関する仕事をしているので、一般の方々よりも「想定外」という言葉を耳にする機会は多いのではないかと思います。

しかしながら一方で、私自身は「想定外」という言葉を極力使わないようにしています。また、理由は後で述べますが、むやみに使うべきでない用語だと思っています。

そこで本稿では「想定外」という言葉についての問題意識を共有させていただきます。あくまでも私自身の個人的な考えですので、よろしかったら皆様もぜひ考えてみていただきたいと思います。

 

1. 「想定外」の意味もいろいろある

人が「想定外」という言葉を使っているのを聞いた時、ちょっと気をつけなければならないと思っています。というのは、どうも「想定外」という言葉の使い方が、人によって異なると思われるからです。

私が聞いた範囲での「想定外」は、だいたい次の 2 つのどちらかの意味で使われていると思います。

  • a) そういう事が起きるとは全く思っていなかった
  • b) そういう事が起きる可能性もあると思っていたが、そこまでは対策できないので検討対象から外した

(稀に、ご自分の中で上の a、b が混ざっている方もおられます。)

もちろん、どちらの用法が正しい(もしくは間違い)などと断じるつもりはありません。厄介なのは、上のような 2 通りの意味で使われているということと、相手がどちらの意味で使っているかが、前後の文脈を踏まえて考えないと分かりにくいことです。これはもちろん、私が「想定外」という言葉を使った時に、どちらの意味で受け止められるかが分からないということでもあります。

雑談ならば別に構わないのですが、ちょっと真剣な議論や仕事上の会話でお互いの用法がズレていると、誤解を招いたり議論がかみ合わなくなったりする可能性があります。

このような理由から、私自身は「想定外」という言葉を極力使わないようにしていますし、真面目な議論の中で相手が「想定外」という言葉を使ったら、上の a、b どちらの意味なのか確認するようにしています。

 

2. では事業継続マネジメント(BCM)ではどう考えるのか

ここから先は、私の個人的な考え方というよりは、標準的な方法論に基づく説明です(注)。

事業継続マネジメント(BCM)においては、「事業活動に必要な資源が使えなくなったらどうするか」を中心に考えます。資源とは例えば人材、設備や装置、建物、IT システム、情報、材料や部品、業務委託先などです。

例えばある建物に対して、「何らかの理由でこの建物が使えなくなったら、どのような方法で代替するか」を考えます。代替方法としては、「他の建物に移る」という方法もあるでしょうし、業務の内容によっては在宅勤務に切り替えるとか、その建物で行われていた業務を社外に委託するという方法も現実的かも知れません。

ここで、この建物が使えなくなる原因として、どのようなものが考えられるでしょうか?

地震、火災、洪水、停電、放火、テロ、飛行機の衝突、建物の欠陥、戦争…….実際に起こる可能性がどの程度かは別として、考えるだけなら無限にあり得ます。つまり「地震が起きたらどうするか」、「洪水が起きたらどうするか」、…….を考え始めたら、どこまで考えても終わりません。そして、もし「テロが起きたらどうするか」を考えていなかった企業がテロに遭遇したら、「想定外でした」ということになってしまいます。

一方で、事業活動に使われている資源は有限です。したがって「この建物が使えなくなったらどうするか」、「この設備が使えなくなったら…..」という検討には必ず終わりがあります。もちろん、会社中の全ての資源に対して検討するのは大変なので、検討対象を優先順位の高い事業活動に限定するなどの工夫は必要です。

そして、それらの「有限の資源」に対して網羅的に代替策を検討できれば、「まさか○○○が使えなくなるとは想定外でした」ということは起こりません。

つまり、BCM において資源を中心に代替策を検討するという考え方は、地震や火災などの原因を考えることに時間や労力を使いすぎず、かつ「想定外」になることを防ぐという意味でも有効だということになります。

 

2001 年に発生したニューヨーク同時多発テロ事件では、複数の企業(主に金融業)が事業を短期間で再開させました。当時 BCP という名称を使っていたかどうかは分かりませんが、オフィスが使えなくなった場合の代替策として、臨時オフィスや PC を確保するための準備がされていました。

恐らく彼らも「ビルに飛行機が突っ込んでくる」ことを想定していたのではなく、「ビルが使えなくなる」ことを想定して準備していたのだろうと思います。このような準備ができていれば、「まさか飛行機が突っ込んでくるとは想定外だった」というような言い訳をせずに済むでしょう。

 

3. (オマケ)原因事象型/結果事象型

日本では、前述のように「地震」、「火災」……などの原因から考えて事業継続計画(BCP)を作るのを「原因事象型」、資源から考えるのを「結果事象型」などと呼ぶ方が多いようです。

もし、これらの呼び方に合わせて言うならば、標準的な BCM の方法論は最初からもともと「結果事象型」だということになります。

BCP を作る際に「原因事象型」で考え始めると、前述の b のような意味での「想定外」が増える可能性が高くなるので、標準的な BCM の方法論のとおり「結果事象型」で取り組むのが合理的です。

 

ただし、災害などが発生した直後の対処手順(「初動対応」もしくは「インシデント対応」などと呼ばれます)の部分は、当然ながら事象ごとに異なりますので、この部分は事象に合わせて個別に作る必要があります。この点は区別していただければと思います。

(そのあたりは下記の書籍に詳しく書かせていただきました。)

 

【注釈】

  • 本稿で「標準的な方法論」とは、ISO 22301 に代表される国際規格や、世界で広く参照されている BCI Good Practice Guidelines で体系化されている方法論を指します。

–   –   –   –   –

事業継続マネジメント(BCM)に関するガイドブックを出版させていただきました。特に中小企業の皆様が自力でに取り組まれることを想定して執筆させていただきましたので、お役立ていただければ幸いです

田代邦幸(著)『困難な時代でも企業を存続させる!! 「事業継続マネジメント」実践ガイド』(セルバ出版)1,980 円(税込)

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加

事業継続マネジメントにおける IT の継続性をどう考えるか

このエントリーをはてなブックマークに追加

多くの組織にとって、事業継続マネジメント(BCM)に取り組むうえで IT の継続性は重要なテーマのひとつだと思います。俗に「IT-BCP」などと呼ばれたりしていますが、IT が多くの組織にとって非常に重要な資源となっている現状において、IT システムが稼働停止しないように、もしくは停止した場合に短期間で稼働再開できるようにするための対策は、避けて通れない分野と言ってもいいでしょう。

そのようなニーズに対して、IT システムに関しては、冗長化やバックアップなど、トラブルや災害などによる稼働停止を予防したり、被害を軽減するためのテクノロジーや製品・サービスが豊富に提供されています。これは BCM の概念が形成される前から、「IT Disaster Recovery」、「fault tolerant」、「redundancy」などといったキーワードとともに開発が進められてきましたが、BCM の概念や方法論が体系化され、日本でも「BCP」という用語が普及してきたことに対応して、「IT-BCP」という言葉が使われるようになってきました(注 1)。

しかしながら、IT の継続性に関してどの程度の対策を講じるべきなのかを、どう決めればよいか分からないと思われる方もいらっしゃるかも知れません。

–   –   –   –   –

一般的に、対策のために必要なコスト(または投資)と、その対策を行ったことによって稼働停止をどれだけ短く出来るかは、トレードオフの関係にあります。もちろんこれは IT に限った話ではなく、BCM においては全ての資源に対して当てはまります。

したがって、BCM の方法論から考えると、事業影響度分析(BIA)の結果から目標復旧時間を決め、それに間に合うような対策方法を選ぶべきだということになります。

このような考え方は、国際規格 ISO/IEC 27031(注 2)でも具体的に示されています。この規格は和訳されていないこともあって、日本ではあまり知られていないと思いますが、BCM の中で IT の継続性をどのようにマネジメントしていくべきかという観点で、様々な指針が示されています。

下の図は、ISO/IEC 27031 で示されている図のひとつですが、障害が発生してからユーザーがそのシステムを利用できるようになるまでの時間が製品・サービスの目標復旧時間(RTO)として示されているのに対して、障害発生から対応作業の開始までにかかる時間や、対応作業が完了してからユーザーが動作確認する時間を考慮して、ICT サービスの RTO を設定すべきであることが示されています。

(出所:ISO/IEC 27031:2011 の Figure A.1 に一部追記)

このような関係になることを踏まえ、BIA の結果から製品・サービスの RTO を決め、それに見合うように IT システムの RTO を決めたうえで、それに間に合うような対策方法を選ぶというのが本来の考え方です。

–   –   –   –   –

しかし一方で、BCM に取り組まれる前から、既に IT 部門の方で何らかの対策が講じられている場合も少なくありません。

その場合には IT 部門と相談しながら、もし目標復旧時間に対して現在の対策方法が不足であれば、より短期間で稼働再開できるような対策を導入できないか、検討していただく必要があります。

逆に、現在の対策方法が過剰だったとしたらどうでしょうか?

例えば(少々極端な例ですが)3 日程度で稼働再開できれば十分なシステムが、ほぼノンストップで稼働継続できるような常時完全二重化で運用されていたとしたら、その対策方法は目標復旧時間に対して過剰(=お金をかけすぎ)ということになります。

もし運用コストがあまり問題にならないのであれば、今後のシステム更新時期までそのまま維持されてもいいかもしれませんが、運用コスト(作業の手間なども含みます)を削減したいような状況であれば、対策方法をダウングレードすることも選択肢に入るでしょう。実際にはダウングレードのためにかかる費用や手間との兼ね合いも含めて、IT 部門と一緒に慎重に検討する必要があります。

もちろん実際には、組織内で複数のシステムが稼働していて相互に依存関係があったり、ひとつのシステムが複数の製品・サービスに関与していたりしますので、これらの事情を考慮して総合的に評価・判断する必要があります。ぜひ IT 部門の方との間で、本稿のような考え方を共有した上で、十分相談し、協力関係を築きながら、組織全体として事業継続に関する対策コストの最適化を目指していただければと思います。

–   –   –   –   –

余談ですが、巷でよく使われている「IT-BCP」という呼び方は正しくありませんので、お使いにならない方が良いと思います。この件については別の記事にしましたので、下記の記事をご参照いただければ幸いです。

弊社 Web サイト:「IT-BCP」という言い方は間違い https://office-src.com/archives/3298

【注釈】

  1. 多くの IT ベンダーがそのような用語を使って活発にセールスプロモーションを行っているという事情もあります。
  2. ISO/IEC 27031:2011 Information technology — Security techniques — Guidelines for information and communication technology readiness for business continuity

–   –   –   –   –

事業継続マネジメント(BCM)に関するガイドブックを出版させていただきました。特に中小企業の皆様が自力でに取り組まれることを想定して執筆させていただきましたので、お役立ていただければ幸いです

田代邦幸(著)『困難な時代でも企業を存続させる!! 「事業継続マネジメント」実践ガイド』(セルバ出版)1,980 円(税込)

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加

「IT-BCP」という言い方は間違い

このエントリーをはてなブックマークに追加

事業継続マネジメント(BCM)に関する話のなかで、IT システムの災害対策などを指して、「IT-BCP」という言葉が使われることがあります。つまり「IT の BCP」という意味ですね。

ところが、この「IT-BCP」という言い方は正しくありませんので、お使いにならないことをお勧めします。これが正しくない理由は、基本的な用語の定義に照らし合わせれば明らかです。

以下、国際規格「ISO 22301」の 2019 年版、およびそれを和訳して作られた「JIS Q 22301」の 2020 年版を拠り所として説明します。本稿の中で「規格」とはこれらの 2 つの規格を指します。

まず、「IT-BCP」というのは「IT-Business Continuity Plan」の略ですから、「IT 事業継続計画」という意味になります。つまり「継続」の対象として「IT」と「事業」の 2 つが含まれています。IT に対する継続性のことを言いたいのであれば「事業」は邪魔であって、「IT-Continuity Plan」(IT 継続計画)と呼ぶ方が自然でしょう。

これだけでも「IT-BCP」という言い方が正しくないことの説明としては十分だと、個人的には思うのですが、中には「これは IT-BCP という言い方が《不自然》だと言っているのであって、《間違い》とは言い切れないのではないか?」と思われる方もいらっしゃるかも知れませんので、もうひとつ説明を加えます。

まず、「事業継続」という用語は規格で次のように定義されています。

事業継続
事業の中断・阻害を受けている間に、あらかじめ定められた範囲で、 許容できる時間枠内に、製品及びサービスを提供し続ける組織の実現能力

(JIS Q 22301:2020 より引用/下線は筆者)

そして、「製品及びサービス」については同規格の中で「組織によって、利害関係者に提供されるアウトプット又は結果」と定義されています。つまり組織内部の業務のために運用されている IT システムは、「製品及びサービス」には含まれないことになります(注 1)。

「製品及びサービス」に含まれない以上、事業継続の対象ではありませんので、「IT-BCP」という言い方はすべきでないのです(注 2)。

一方、規格では BCM において検討すべき資源(resources)について、次のように例示されています。つまり BCM においては、IT システムは資源のひとつとしてとらえるのが正しいということです。

  • 情報及びデータ
  • 建物、職場、その他の施設などの物理的インフラストラクチャー、及び関連するユーティリティ
  • 設備及び消耗品
  • 情報通信技術(ICT)システム
  • 交通手段及び輸送手段
  • 資金
  • パートナー及びサプライヤ

 

一方、IT の分野では昔から(注 3)「IT Disaster Recovery」(IT 災害復旧)、「Redundancy」(冗長性)などという用語が使われていました。また事業継続との関連では「IT continuity」(IT の継続性)という用語が使われることもあります。したがって、「IT-BCP」などという言い方はやめて、これらのいずれかを使われることをお勧めしたいと思います。

 

【注釈】

  1. クラウドサービスなど、IT サービス業の企業が顧客に対して提供しているような IT システムは「製品及びサービス」に含まれます。
  2. 本稿の説明は前述の規格に基づいていますので、筆者個人の主張ではなく、国際的に認められている標準的な考え方だとご理解いただければと思います。
  3. BCM という概念や用語が生まれる前から、これらの用語は普及していました。

–   –   –   –   –

事業継続マネジメント(BCM)に関するガイドブックを出版させていただきました。特に中小企業の皆様が自力でに取り組まれることを想定して執筆させていただきましたので、お役立ていただければ幸いです

田代邦幸(著)『困難な時代でも企業を存続させる!! 「事業継続マネジメント」実践ガイド』(セルバ出版)1,980 円(税込)

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加

ランサムウェアには本当に身代金を払わない方がいいのか

このエントリーをはてなブックマークに追加

本稿は、最近『リスク対策.com』の連載記事を執筆するために、ランサムウェアに関する資料をいくつか読んで学んだ結果をまとめたものです。私自身の専門分野から若干外れますが、興味深いデータがいくつかあったので、こちらにまとめておきたいと思います。

ランサムウェアとはマルウェアの一種で、コンピューターの操作をロックしたりデータを暗号化してデータへのアクセスができないようにし、これらの解除と引き換えに身代金を要求するものです。2017 年ごろから被害例が急増し、世界的に注目されるようになりました。

JPCERT コーディネーションセンター(JPCERT/CC)は、次のとおり「ランサムウエア対策特設サイト」を設けていますが、こちらではランサムウェアに感染した場合の対処法として、身代金を支払わずにデータの復旧を行うことを推奨しています。

JPCERT/CC「ランサムウエア対策特設サイト」
https://www.jpcert.or.jp/magazine/security/nomore-ransom.html

そうは言っても、データのバックアップがとられていなかった場合など、身代金を支払ってでも何とかデータを取り戻したいと思われるかもしれません。そのような判断をする際に知っておくべきデータがあります。

米国を本拠地として調査やマーケティング、出版などを手がける CyberEdge Group が 2020 年 6 月に発表した「2020 Cyberthreat Defense Report」(注 1)によると、身代金を支払った場合のうち 33.1% は、支払ったにもかかわらずデータを取り戻せなかったそうです。

また、IoT ネットワークのセキュリティー対策などを専門とする Nozomi Networks が 2021 年 7 月に発表した「OT/IoT Security Report」(注 2)によると、ランサムウェアの犯行グループに対して身代金を支払った組織のうち、データを完全に復旧できたのはわずか 8% だったそうです。

つまり、身代金を支払ったとしてもデータを取り戻せるとは限らないということです。

また「OT/IoT Security Report」には、身代金を支払った組織の 80% が再びランサムウェア攻撃を受けており、しかもその半数は同じ犯罪グループからの攻撃だったというデータも記載されています。つまり、身代金を支払うことが次のランサムウェア攻撃を誘発するということです。このような観点からも、身代金を支払うべきではないと考えられます。

したがって、やはり JPCERT/CC が推奨しているとおり、身代金を支払わずにデータの復旧を目指すべきだと言えるでしょう。そして、ランサムウェア対策という観点からもデータのバックアップの重要性が増したと考えられます。

もちろんランサムウェアを含むマルウェアの侵入・感染を防止することが第一ですが、犯罪グループの手口は日々進歩していますので、侵入されてしまった場合を想定して準備しておくことが重要です。

–   –   –   –   –

(注 1)次の URL にアクセスして氏名やメールアドレスなどを登録すれば、無償で入手できます。 https://cyber-edge.com/cdr/

(注 2)次の URL にアクセスして氏名やメールアドレスなどを登録すれば、無償で入手できます。 https://www.nozominetworks.com/ot-iot-security-report/

–   –   –   –   –

事業継続マネジメント(BCM)に関するガイドブックを出版させていただきました。特に中小企業の皆様が自力でに取り組まれることを想定して執筆させていただきましたので、お役立ていただければ幸いです。

田代邦幸(著)『困難な時代でも企業を存続させる!! 「事業継続マネジメント」実践ガイド』(セルバ出版)1,980 円(税込)

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加

BCP をつくることには極力手間をかけずに済ませよう

このエントリーをはてなブックマークに追加

本稿は、拙書『困難な時代でも企業を存続させる!! 「事業継続マネジメント」実践ガイド』(セルバ出版)の一部に手を加えたものです。

別の記事で、BCM に継続的に取り組むことの重要性について述べましたが、もちろん BCP が不要という意味ではありません。

事故や災害などが発生した際の行動をわかりやすくしておくために、BCP を文書化しておくことは重要です。また、BCM における検討結果が BCP という形になっていないと、演習や教育訓練などの活動がやりにくくなりますし、改善すべき部分もわかりにくくなります。

しかしながら、BCP をつくる作業そのものは、できるだけ少なく済ませ、他の活動により多くの時間を割いたほうが合理的です。BCP に最低限含むべき内容については、別の記事で詳しく説明したいと思いますが、これらを網羅した簡潔な BCP をできるだけ手間をかけずに作成し、経営層の承認をもらいましょう。

また、経営層の皆様におかれましては、部下から上がってきた BCP 文案が当初期待していたレベルに達していなかったとしても、今後の改善に期待して、まずは承認していただきたいと思います(もちろん期待と現状のギャップや、それらを今後どのように改善していくのか、などといった確認や議論は必要です)。

また、読者の皆様の中には、顧客から「御社の BCP を見せてください」と要求されることを想定して、BCP の体裁を整える必要があるとお考えの方もいらっしゃるかもしれません。しかしながら、BCP は高度な企業秘密を含むはずですので、たとえ顧客から要求されたとしても、BCP そのものは開示すべきではありません。

顧客に対する説明の仕方については、別の記事で説明したいと思いますが、BCP とは別に御社の BCM に関する説明資料を作成し、そちらの資料の体裁を整えるようにしたほうが合理的です。

 

BCP の雛形を有効に活用しよう

読者の皆様の中には、BCP をどのような形で文書化すればいいかわからないという方も少なくないでしょう。そのような方々は、ぜひ、BCPの雛形(テンプレート)を入手してください。

インターネットで検索していただければ、様々な形の雛形が公開されているのが見つかると思いますが、ここでは筆者の知る範囲で、使いやすそうなものを 3 つ紹介します。いずれもサイトにアクセスしていただくと、BCP の雛形だけでなく記入例も掲載されているので、出来上がりのイメージも掴めるのではないかと思います。

 

BCP の雛形を上手に活用するポイント

まず、前提として、これらの雛形は、BCP の正解や理想形を示しているものではない、ということを忘れないでいただきたいと思います。

前節でご紹介した 3 つのサイトは、いずれもより多くの企業に BCP を作ってもらうことを目的としています。したがって、これらのサイトで配布されている雛形は、できるだけ多くの企業にとって使いやすいように配慮して作られています。例えるなら既製品の服のようなものです。

これをそのまま使っても良いのですが、御社にとって都合の悪いところは遠慮なく手を加えていただいて構いません。また、3 つのサイトで配布されている様々な雛形を見比べて、御社のニーズに合う部分だけ「いいとこどり」してもよいでしょう。

雛形は、あくまでも素材、もしくは参考資料と考えていただき、使えるところは上手に活用しながら、御社にとって使いやすい BCP を目指してください。

 

–   –   –   –   –

本稿は、拙書『困難な時代でも企業を存続させる!! 「事業継続マネジメント」実践ガイド』(セルバ出版)の一部に手を加えたものです。是非拙書もお読みいただければ幸いです。

 

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加

他者の力も借りて合理的な事業継続を実現しよう

このエントリーをはてなブックマークに追加

本稿は、拙書『困難な時代でも企業を存続させる!! 「事業継続マネジメント」実践ガイド』(セルバ出版)の一部に手を加えたものです。

倒産リスクの高い中小企業の BCM 戦略

頻発する大規模災害の例を見るごとに、もし自社があのような災害で被災したら企業の存続にかかわるのではないかと懸念されている方も少なくないでしょう。

特に、中小企業の皆様におかれましては、災害で倒産・廃業に追い込まれるリスクを切実に感じておられることかと思います。実際、過去に発生した大規模災害の影響で倒産した企業の大半は中小企業だったという現実もあります。多くの人的資源を抱えており、財務基盤もしっかりしている大企業に比べれば、一般的には中小企業のほうが倒産リスクがより高いと考えられます。

このような厳しい現実を踏まえつつ、それでも諦めずに大規模災害から生き残る可能性を見出すために、いかにうまく他者の力を借りて事業継続を実現するかという観点も、BCM における有効な戦略として考えていただきたいと思います。

他の企業が持つ資源を活用する

売上収入が途絶えて資金が回らなくなれば、最終的には倒産に追い込まれます。資金繰りに関しては、損害保険や融資などといった財務的な対策も必要ですが、BCM の観点からは、いかに事業活動を再開させて売上を生み出すかを考える必要があります。

災害によって事業中断が発生してしまうのは、事業活動に必要な「資源」が、破損や流失などによって使えなくなるからです。ここでいう「資源」には、事業活動のために必要な従業員(人的資源)、設備や装置、建物、原材料や部品、商品在庫などが含まれます。そして、BCM において考えることを大雑把にまとめると、災害などで使えなくなってしまった資源の代わりをどうやって用意するか、ということに尽きます。

これが特に中小企業だと、もともと最小限の資源しか保有しておらず、代わりの資源を用意することが難しい場合が多いので、事業活動を再開することが難しく、結果的に倒産に至ることが多いということです。

そこで、事業中断に陥った後に、いかに他者の資源を利用するかということも含めて考えていただきたいと思います。具体的には、同じような資源を持っている企業の協力を得るということです。

既にこれを実践された事例もあります。2011 年の東日本大震災では、宮城県の廃棄物リサイクル事業者が津波で被災し、同社唯一の事業所が壊滅的な被害を受けました。同社の主要な事業の 1 つは、顧客の工場から廃油を回収し、これを再生して燃料として使える「再生重油」を精製し、販売する事業ですが、精製に必要な設備の大半を津波で失いました。

そこで同社は、廃油精製処理を他県の同業者に一時的に委託することで、部分的ではありますが、被災後 1 週間で事業再開を果たしました(注 1)。もちろん、業務委託費を支払う必要がありますが、それを上回る価格で再生重油を販売できたため、これは同社にとって被災直後の貴重な収益源となりました。

同社がこのような短期間で業務委託できたのは、委託先の同業者との間で被災前から申し合わせができていたからです。契約書の締結までには至っていなかったようですが、もしどちらか一方が災害などで被災したらお互いに助け合うことを、災害が発生する前から申し合わせていたそうです。

もし、被災した後に、災害発生後の混乱した状況のなかで委託先を探して交渉していたら、このような短期間での事業再開はできなかったでしょう。

 

競合する企業の協力を得られるか?

読者の皆様の中には、災害発生前の平常時からこのような協力関係をつくっておくのは難しいとお感じになった方も多いと思います。自社の業務の一部を委託できるような相手とは、自社と同じような資源やノウハウを持っている企業であり、その多くは競合関係にあると思われるからです。

災害発生後とはいえ、競合他社に業務を委託したら、自社のノウハウを盗まれたり、自社の顧客が横取りされたりするかもしれません。そこで、このようなリスクをできるだけ小さくしながら、被災時に助け合うことができるような関係づくりを実現した例をご紹介します。

神奈川県メッキ工業組合と新潟県鍍金工業組合は、大規模災害時に両組合の企業どうしで代替生産などの相互連携を行う協定を締結しました(注 2)。この例では、被災した企業から一時的に業務を受託する場合の品質保証、品物の所有権の帰属、秘密保持、お互いの取引先への営業活動および受注の禁止などを含む契約書が用意されており、これに基づいて委託側と受託側との間で契約を締結することになっています(注 3)。

また、経済産業省の中部経済産業局が 2012 年に発表した『地域連携 BCP 策定ポイント集 工業団地編』には、工業団地など地域内の企業どうしが連携して事業継続に取り組まれている事例が多数掲載されています(注 4)。

競合他社に助けを請うことに対しては、ためらいを感じられるかも知れませんが、大規模災害から生き残るために、あらゆる可能性を模索していただきたいと思います。

 

(注)

  1. 新建新聞社「リスク対策.com」Web サイト「津波被害から 1 週間で事業再開 – 工場壊滅の被害を乗り切る」(https://www.risktaisaku.com/articles/-/99)(アクセス日:2021 年 2 月 28 日)
  2. 中野明安「緊急事態措置と企業の事業継続」『NBL』No. 1169, p.8-12, https://www.shojihomu.co.jp/documents/10452/11653592/NBL1169-008.pdf (アクセス日:2021 年 3 月 4 日)
  3. 「契約文書に込められた想い」『リスク対策.com』vol. 16, 2009/11, p.26-29
  4. https://www.chubu.meti.go.jp/b52bousai/data/BCP_point.pdf (アクセス日:2021 年 3 月 4 日)

–   –   –   –   –

本稿は、拙書『困難な時代でも企業を存続させる!! 「事業継続マネジメント」実践ガイド』(セルバ出版)の一部に手を加えたものです。是非拙書もお読みいただければ幸いです。

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加

BCM にはどこで手を抜けるか考えながら取り組みましょう

このエントリーをはてなブックマークに追加

本稿は、拙書『困難な時代でも企業を存続させる!! 「事業継続マネジメント」実践ガイド』(セルバ出版)の一部に手を加えたものです。

このたび執筆させていただいた拙書『困難な時代でも企業を存続させる!! 「事業継続マネジメント」実践ガイド』では、できるだけ多様な読者の皆様にとって役立つ本にするために、できるだけ網羅的に細かく解説させていただきました。これは読者の皆様の立場から見ると、自分(または自社)にとって不要なことも、それなりに含まれているということです。

したがって、実際に BCM に取り組まれるときには、本書に書かれている個々の作業が自社にとって必要かどうか、そこまで細かくやる必要があるかどうか考えながら、取捨選択していただきたいと思っています。

しかし一方で、適切に取捨選択できるようになるには、ある程度の経験が必要なのも事実ですので、初めて BCM に取り組まれる方に「取捨選択していただきたい」というのも、われながら勝手な話だと思います。

そこで、まずは「本書の内容を全てそのとおりに実施する必要はない」という前提をご理解いただき、必要かどうかわからない部分はとりあえず飛ばして進めるくらいの気持ちで、手を抜きながら進めていただいてもいいと思います。そして、もしうまくいかない部分や、少し深堀りする必要があると思われた部分が見つかったら、その時に少し戻ってみればいいのです。

–   –   –   –   –

本稿は、拙書『困難な時代でも企業を存続させる!! 「事業継続マネジメント」実践ガイド』(セルバ出版)の一部に手を加えたものです。是非拙書もお読みいただければ幸いです。

 

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加

事業継続マネジメントの活動を普段の商売に活かしましょう

このエントリーをはてなブックマークに追加

本稿は、拙書『困難な時代でも企業を存続させる!! 「事業継続マネジメント」実践ガイド』(セルバ出版)の一部に手を加えたものです。

事業継続マネジメント(BCM)に関する仕事は「掛け捨ての保険」にたとえられることがあります。これは、BCM はあくまでも万が一の時に備えるための活動であって、事故や災害などが発生しない限り、これらの活動に費やした労力や費用は役に立たないという考え方によるものです。そのような認識のもとで BCM に取り組むのは難しいのではないかと思います。

ところが、BCM の成果を普段の商売に活かす方法があります。主な方法を以下に説明しますので、事故や災害などが発生しなくても価値を生み出す BCM を目指していただきたいと思います。

 

御社のセールスポイントとしてアピールする

もし御社が主に企業を相手に取引をしている、いわゆる B to B のビジネス形態であれば、御社における BCM の取組状況を顧客(および見込み客)にうまく説明できれば、これが御社のセールスポイントになる可能性があります。

特に最近は災害が頻発していることもあって、多くの企業が災害によってサプライヤーや業務委託先で事業中断が発生することを懸念しています。MS&AD インターリスク総研株式会社が国内上場企業を対象として実施したアンケート調査(注)によると、回答した企業の約 9 割が「サプライヤーが BCP を持つことは必要」だと回答しています。また回答した企業の約半数、製造業に限ると 8 割近くが、顧客から災害対策・BCP 整備に関連して何らかの要請をされたと回答しています。

したがって特に B to B の企業では、BCM に取り組んでいることが競合他社との間で差別化要因になる可能性があります。

もしかしたら読者の皆様の中には、「当社の BCM はまだまだレベルが低いから・・・」と躊躇する方がおられるかもしれません。しかし、完璧な BCM を実現できている企業など、まずありません。逆に、BCM に取り組み始めた企業すら少ない現状においては、取り組み始めただけでもアドバンテージになる可能性さえあります。BCP がまだ作成されていないとしても、「当社では社長を責任者として組織的に BCM に取り組んでいます」というような説明ができて、今後のロードマップを示すことができれば、顧客にとっては好印象です。

ぜひ営業部門や広報部門、マーケティング部門などとも協力して、御社における BCM への取り組みを売上アップや既存顧客との関係向上に役立ててください。売上に繋がる可能性が期待できれば、これらの部署からの協力も得られやすいのではないかと思います。

もちろん、その後の活動が続かなければ、逆にかなり印象が悪くなるリスクもありますので、頑張って活動を続けていただきたいと思います。

 

国際規格のネームバリューを利用する

前項で述べた、顧客に対する説明の中で、国際規格のネームバリューを利用することも一案です。これは特に海外の企業と取引がある企業にとっては有効な方法です。

BCM に関しては「ISO 22301」という国際規格があります。日本ではこれが和訳されて、日本産業規格「JIS Q 22301」となっています。この規格は世界中から BCM のエキスパートが集まって議論を重ね、彼らの持つノウハウや経験を反映させて作られたもので、世界各国で広く活用されています。

そこで、国際規格に書かれている基本的な部分を自社の BCM に採り入れ、社外に対して「当社は国際規格 ISO 22301 に基づいて BCM に取り組んでいます」と説明することができれば、BCM に関して決して場当たり的ではなく、組織的かつ計画的に取り組んでいるという印象を持ってもらえます。

しかしながら、規格に書かれている要求事項を全て実施するのは大変です。そこで、まずは以下に説明する 2 つのポイントを押さえることをお勧めします。

1 つめは用語の定義です。残念ながら日本では、「事業継続計画」、「訓練」、「演習」などといった基本的な用語に関しても、多様な定義が入り乱れているのが現状ですので、まず規格に記載されている用語の定義を確認し、正しい用語を使うようにしてください。

2 つめは活動全体の枠組みです。規格では BCM に必要な活動の全体像(別記事にて説明しています)が説明されています。これら全体をどのくらいのスケジュールで進めていくのか、大枠で構わないので計画を作り、経営層の承認を得て進めてください。

これら 2 つができていれば、社外に対して「当社は国際規格に基づいて BCM に取り組んでいる」と胸を張って言うことができます。

なお、この規格に書かれている要求事項を全て満たしていることを、外部の審査機関に確認してもらい、認証を取得できるという制度があるのですが、これは少々ハードルが高いと思います。したがって認証を取得するかどうかは、BCM の活動がある程度軌道に乗った後に検討されると良いと思います。

 

業務プロセスの効率アップに役立てる

BCM に欠かせない作業のひとつとして「事業影響度分析」があります。事業影響度分析においては、社内の業務プロセスや経営資源の状況を調べていきます。

ここで思わぬ副産物として、日常業務において改善すべき課題が見つかることがあります。

かつて筆者が担当させていただいた大手サービス業のお客様で、事業影響度分析のためのヒアリングを実施した時に、不思議な帳票が見つかったことがありました。複数の部署から業務プロセスのフローチャートを見せてもらい、前工程の部署と後工程の部署との連携を確認していたのですが、前工程で作成された帳票のうち、後工程で使われていないものが一つ見つかったのです。

最初はお客様も半信半疑だったのですが、よくよく調べてみると、後工程の業務改善で手続きが変わったという情報が、前工程の部署に伝わっていなかったことが分かりました。試しに前工程の部署で、その帳票の作成を止めて 1 ヶ月様子を見てみたのですが、業務に全く支障がないことが確認できたため、その帳票は正式に廃止されました。

事業影響度分析では、業務プロセスの最初から最後まで通して確認していきますので、日常業務の中では見落とされているような問題やムダが見つかる場合があります。このような成果が得られる可能性もあることを含めて、経営層や各部署の方々に説明していただくと、協力を得られやすくなるのではないでしょうか。

 

損害保険の見直しにつなげる

多くの企業で建物の火災保険などの損害保険を契約されていると思いますが、御社にとって現在の契約内容は十分でしょうか?また、逆に、手厚く保険をかけ過ぎているものはありませんか?

これまで保険会社や保険代理店から様々な損害保険を勧められたと思いますが、残念ながら御社にとって必要な保険と、保険会社が売りたい保険とが常に一致しているとは限りません。

事業影響度分析の中で、製品やサービスの優先順位や資源の状況などを調べていくと、事業継続という観点から考えて必要な損害保険と、現在の契約内容とのギャップが見えてくることがあります。もしそのようなギャップが見つかった場合は、それをもとに保険会社や保険代理店と相談することをお勧めします。結果として従来の保険で不十分だった部分がカバーされるようになったり、過剰にかけすぎていた部分を減らして保険料の支払額を削減できる可能性があります。

企業によっては BCM と損害保険とでは担当部署が別かもしれませんが、その場合でも部署間で協力しあって、BCM と損害保険との相乗効果を発揮できるような取り組みを目指してください。

 

(注)
MS&AD インターリスク総研株式会社(2019 年 2 月)『第 8 回 事業継続マネジメント(BCM)に関する日本企業の実態調査 報告書』 https://www.irric.co.jp/pdf/reason/research/bcm/bcm_8.pdf (アクセス日:2021 年 3 月 15 日)

–   –   –   –   –

本稿は、拙書『困難な時代でも企業を存続させる!! 「事業継続マネジメント」実践ガイド』(セルバ出版)の一部に手を加えたものです。是非拙書もお読みいただければ幸いです。

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加

「できるだけ早く復旧させる」ことが事業継続マネジメントの目的ではない

このエントリーをはてなブックマークに追加

本稿は、拙書『困難な時代でも企業を存続させる!! 「事業継続マネジメント」実践ガイド』(セルバ出版)の一部に手を加えたものです。

より早く復旧させるには、より多くのお金がかかる

事故や災害で事業活動が中断されてしまった場合(例えば製造業であれば工場で製品を作れなくなった、など)、「一日でも早く復旧させたい」と誰もが考えると思います。事業中断が一週間、二週間と続いた場合に、損害や各方面への悪影響がどれだけ大きくなるかを考えると、少しでも早く事業活動を元通りに再開させたい、と思わずにはいられないでしょう。

しかしながら、事業活動をより早く再開させようと思ったら、それなりのお金が必要になります。例えば、工場が大規模な地震や火災などで致命的な被害を被った場合でも、「一日で」製品の生産を再開させたいとしたら、どのような準備が必要になるでしょうか?同じような設備を有する工場をもう一ヶ所建設しておかないと無理かもしれません。もちろんそのためには膨大な設備投資が必要になります。

ところが、もし「一ヶ月以内で」、「三ヶ月以内で」、「半年以内で」再開させたいという条件だったらどうでしょうか?御社ならどのような方法で実現できそうか、想像してみてください。「一日で」再開させるための準備に比べたら、より少ない投資で済むのではないでしょうか。

 

BCM の目的は投資対効果のバランスを最適に保つこと

一般論として、より早く事業を再開・復旧させようと思ったら、事前の投資や事後の費用により多くのお金が必要になりますが、もし事業継続のための投資にお金をかけすぎて、災害が発生する前に経営状況が悪化してしまっては本末転倒です。したがって事業継続マネジメント(BCM)においては、どのくらいの期間で事業を再開・復旧させるのが自社にとってちょうど良いかを見極めていくことが重要です。

もし仮に、一ヶ月以内に事業を再開できれば十分だという会社があったとしたら、一週間以内に再開できるような対策方法はその会社にとっては過剰です。BCM の目的は、自社にとって必要な事業継続を、お金をかけすぎずに実現できるよう、事業継続に関する投資対効果のバランスを最適に保つことなのです。

 

これは国際的に受け入れられている考え方

ちなみに前述のような考え方は国際的に合意され、受け入れられているものです。

BCM に関して「ISO 22301」という国際規格があります。これは BCM に関する用語や概念、方法論などについて、世界中のエキスパートが議論を重ねて作られた国際規格で、日本ではこの内容を忠実に和訳したものが、日本産業規格「JIS Q 22301」として発行されています。この中で「事業継続」という用語は次のように定義されています。

事業継続(business continuity)

事業の中断・阻害を受けている間に、あらかじめ定められた範囲で、許容できる時間枠内に、製品及びサービスを提供し続ける組織の実現能力 (出典:JIS Q 22301:2020/下線は筆者)

これをご覧いただければ分かるとおり、「できるだけ早く」とは書かれていません。「あらかじめ定められた範囲で、許容できる時間枠内に」再開できるための能力だと定義されています。

そして、この範囲をどのように定めるか、自社にとって許容できる時間枠というのがどのくらいなのかを見極めた上で、事業継続のための能力が自社にとって最適な状態になるようマネジメントすることが「事業継続マネジメント」ということになります。

ここでいう「範囲」や「許容できる時間枠」については、事業影響度分析というプロセスの中で見極めていきます。これについては別の記事であらためて説明していければと思いますが、まずは「闇雲に早く再開・復旧させるのが良いとは限らない」ということを覚えておいていただければと思います。

 

–   –   –   –   –

本稿は、拙書『困難な時代でも企業を存続させる!! 「事業継続マネジメント」実践ガイド』(セルバ出版)の一部に手を加えたものです。是非拙書もお読みいただければ幸いです。

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加

非営利組織はどのように事業継続マネジメント(BCM)に取り組むべきか

このエントリーをはてなブックマークに追加

本稿は、拙書『困難な時代でも企業を存続させる!! 「事業継続マネジメント」実践ガイド』(セルバ出版)の一部に手を加えたものです。

当サイトにアクセスしてくださった皆様の中には、政府や自治体などの公的組織や NGO などといった、非営利組織の方々もおられるかと思います。そこで非営利組織における BCM についても触れておきたいと思います。

結論から申し上げると、BCM の基本的な考え方や方法論は非営利組織に対しても同じです。ただし次項で説明するとおり、営利企業と非営利組織との間で事情が異なる部分が二点ありますので、これらに留意すべきかと思います。

 

営利企業の BCM と非営利組織の BCM との違い

一つめの違いはお金に関することです。営利企業と非営利組織とでは収益や資金繰りなどの構造が大きく異なります。特に公的組織であれば倒産や破産の心配がありません。

二つめの違いは、これは非営利組織の中でも特に自治体や政府機関などの公的組織に関して言えることですが、大規模な災害が発生したときに、自組織の事業継続だけでなく災害対応のための業務が発生するということです。特に自治体においては、自組織が被災して通常通りに業務を遂行できないような状況の下で、地域防災計画に規定されている大量の災害対応業務を遂行しなければなりません。このような事情を踏まえて、内閣府(防災担当)から地方自治体向けに、BCM に関する手引や参考資料などが多数発表されています(詳しくは内閣府の Web サイトをご確認ください)。

 

BCM は非営利組織にも通用する方法論

BCM の「B」はビジネスの頭文字であり、ビジネス=営利目的の活動という認識から、BCM は営利企業のためのものだと思われる方も多いのではないかと思います。ちなみに内閣府(防災担当)から発行されている地方自治体向けの手引などでも、対象が非営利組織であることを考慮して「事業継続」の代わりに「業務継続」という表現が用いられています。

一方で筆者の知る限り、外国では非営利組織に対しても BCM という用語がそのまま使われているようです。これまで英国など英語圏における消防や自治体、議会などの事業継続に関する事例を、文書やプレゼンテーションなどでいくつか見てきましたが、いずれも非営利組織でありながら Business Continuity と表現されいました。

BCM に関する国際規格「ISO 22301」も、非営利組織が対象に含まれることを明らかに考慮して書かれています(※)。このような状況を見ても、BCM の考え方や方法論が非営利組織に対しても適用できることが分かります。したがって、前に述べた二つの違いに留意していただければ、当サイトに掲載している内容や、BCM に関する多くの参考書などに書かれている内容は、非営利組織の皆様にとっても参考になるはずです。


※)ISO 22301 では「組織」(organization)という用語の定義に次のような注釈が付けられており、BCM に取り組む主体のことが一貫して「組織」と記述されています(下の引用部分は JIS Q 22301:2020 より)。

組織という概念には,法人か否か,公的か私的かを問わず,自営業者,会社,法人,事務所, 企業,当局,共同経営会社,非営利団体若しくは協会,又はこれらの一部若しくは組合せが含まれる。ただし,これらに限定されるものではない。

–   –   –   –   –

本稿は、拙書『困難な時代でも企業を存続させる!! 「事業継続マネジメント」実践ガイド』(セルバ出版)の一部に手を加えたものです。是非拙書もお読みいただければ幸いです。

 

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加