Vol.4　今、企業が求められる事業継続管理（BCM）の実態 （１）

企業が直面するリスク

　 リスクというと、普通は火災、地震などの災害を想起してしまいがちだが、現代の企業にとっては、人為ミス、ＩＴシステムの不具合、情報漏洩など、身近なところに多くの重大なリスクが存在している
　 企業活動の健全な発展を脅かす｢リスク」は多種多様である。原則的には、企業はそのすべてを事業継続計画（ＢＣＰ）の対象として考えていかなければならない。

内閣府と経済産業省の動向

　経産省は2005年3月、「企業における情報セキュリティガバナンスのあり方に関する研究会（2004年9月〜2005年3月）」の成果として情報セキュリティに関する報告書を発表した。この報告の柱の一つに「事業継続計画（ＢＣＰ）策定ガイドライン」がある。
　 経産省はＩＴを「事業活動の『神経系』となった」と捉え、ソフト・ハード両面のＩＴ資産の保全を中心としたＢＣＰ整備の方向性を示した。
　 このガイドラインでは、「ＩＴ事故を主に想定した事業継続計画（ＢＣＰ）」とされ、これに対する脅威を「大震災」、「火災」、「サイバーテロ」、「通信インフラの障害」、「ウィルス」としている。
　 経産省の「ＢＣＰ策定ガイドライン」および「企業評価手法」は、情報セキュリティ対策のためにガバナンスの概念を導入し、管理、統制を推進する。ＢＣＰの国際規格化（ＩＳＯ）の動向を踏まえ、欧米型ＢＣＰの導入、普及に力を注ぐ姿勢が経産省案では強い。

　 一方、内閣府は2005年8月1日、「わが国企業の減災と災害対応の向上のために」という副題を添えた事業継続ガイドラインを作成し、パブリック・コメントを経て「事業継続ガイドライン第一版」 として公開した。「民間と市場の力を活かした防災力向上に関する専門調査会」で2004年１月から話し合われてきたものである。
　 こちらでは「まず地震に備えよ」と「災害」を中心として、より現実感のあるＢＣＰを推奨している。
　 内閣府（防災担当）の使命が国民の安全と生活を守ることにあるから、従来型の防災活動をより発展させ、企業のリスク管理、ＢＣＰの柱にしていこうとするものである。
　 「企業の防災投資や防災マネジメント⇒企業の社会的責任（ＣＳＲ）」という記述もあり、近隣住民の救済、地域復興への寄与がチェックシートの評価項目に含まれている。 　

外部からの規制

　これら「災害」を主原因とするものとは異なる「リスク」として内部統制上の問題がある。今、もっとも影響力が大きいのはエンロン、ワールドコム事件を契機として、財務報告の適正性を確保するために制定された米ＳＯＸ法（Sarbanes-Oxley Act ： 企業改革法）など、規制環境への適応に関わる問題である。
　日本においても2006年3月に、上場企業に対して内部統制の構築を義務付ける「日本版SOX法」（通称）を含む、「金融商品取引法案」が閣議決定され、2008年度の施行に向けて審議が続いている。
　 金融庁が「金融改革プログラム −金融サービス立国への挑戦−」でも、内部統制と並んでＩＴの活用をあげているように、日本版ＳＯＸ法ではＩＴシステムの評価・監査が明記されているところが特徴となっている。もちろん、米ＳＯＸ法もその日本版も「財務報告に関する内部統制」が主眼であり、ＢＣＰを直接の目的とするものではないが、同法への適応条件を整えていくと、企業活動の継続性の保証としてＢＣＰの整備は当然の課題となってくる。
　 ＳＯＸ法に類する動きは日本はもちろん、英国、カナダなどの国々にも見られる。国内法に定めのない国であっても、ＳＥＣ（The Securities and Exchange Commission ： 米 証券取引委員会）に登録している企業はＳＯＸ法の適用を免れない。同法への違反が発覚すれば経営者は罰せられ、企業活動は大きく制約を受ける。したがって、逆に、ＳＯＸ法の求める経営情報の保全、企業統治体制の構築・維持が業務継続要件でもある。

　 施行後2年を迎えた個人情報保護法は、ほとんどの企業が規制の対象となるために印象が強いが、同法にとどまらず、従来からある様々な業務活動にかかわる法規制と、これに準ずる業界慣習などを遵守することが、コンプライアンス上の課題である。

　 一方、リスクを管理する手法としては、「ＪＩＳＱ２００１：リスクマネジメント」をはじめとしてＣＯＳＯ ＥＲＭモデルを採用するケースが多い。

地震からの着手

　　当社のお客様のなかでも、規制が厳しい金融系のお客様をはじめとして、危機管理意識の高い企業からＢＣＰ策定コンサルティング、その具体策としてのバックアップシステム、バックアップオフィスをご要求いただくケースが目立って増えてきている。

　 内閣府は、その防災計画において金融系と上場企業のすべてと中堅企業の1/2がＢＣＰを策定することを目標にしている。しかし、これだけ多くのリスクを挙げられると、ＢＣＰ策定にあたってまず最初に対策すべきものはどれなのかということが悩みの種になる。
　 この答えは一つではない。業界によっては、米ＳＯＸ法に至急対応しなければいけないだろう。しかし、株式公開していない国内の流通業などなら、最初の選択は地震対策であっても、ＩＴシステムのバックアップであってもよい。
　 ひとつの実際的なアプローチとしては、危機管理の観点から、内閣府が推奨するように、「まず地震に備えよ」と切迫する災害に備えることである。災害対策であれば、特に日本企業では、被害想定や対策がこれまでの取り組み−予防・復旧の枠組みの中でではあるが−の延長と捉えることもできるし、消防法などで定められた人員配置、設備もある。

　 ＢＣＰはトップダウンでしか成功しない。これは、全社的な統一意思の下で社内体制を整え、予算を組む必要があるからである。このため、一般的には、全社的なＢＩＡ（Business Impact Analysys ： 業務影響度分析）を実施し、包括的なポリシーから組み上げていく方法がとられる。
　 しかし、ＢＣＰは、そのときどきの経営環境、事業構造、規制などにあわせて見直しをするＰＤＣＡサイクルを前提としている。最初から完全かつ包括的なものを目指さずとも、まず、地震対策など特定の問題から始め、次年度以降に対策範囲を広げていくことも、リスクの多様さの前に手をこまねいているよりは、よほど効果的だと考える。経営層の決断の後、まず始めやすい部分を選定して整備していく。この過程で、捉えにくかった他のリスクの姿も見えてくるし、着手してみなければ見えなかったリスクも見つかる。

　 当社は創業以来、具体的な災害対策ソリューションを提供してきた中で、実際に被災されたお客様の復旧を支援し、ＢＣＰの実践に立ち会った経験から、ＢＣＰ策定をこのように捉えてご案内している。

　 「リスク」を網羅的に考えて身動きが取れなくなるくらいなら
　 まず、目前に迫った最大のリスク、地震災害の対策から始めてみてはどうだろうか。

【執筆：弊社コンサルティングサービス部　太田 究三郎】
内容に関するお問い合わせ　営業企画部　TEL：03-5425-5300