みなさま、こんにちは!サニーリスクマネジメントです。
本日よりブログを開設いたしました。このブログでは国内外でのクライシスに対するサニーリスクマネジメントの見解やInstagramで紹介しているトピックに関する詳細な解説を不定期で投稿する予定です。
危機管理という一つの軸で、社会のできごとを様々な切り口で見つめていきます。今後ともサニーリスクマネジメントの広報活動にも注目していただけると幸いです。今回は初回の投稿ということで、サニーリスクマネジメントの業務の軸にもなっているBCP及びBCMをトピックに挙げました。ぜひご覧ください。
現代の企業活動において欠かせない要素のひとつとして危機管理が挙げられます。多くの企業はこれまで、有効性の高い危機管理を実現するための手法として「BCP」の活用を進めてきましたが、今や時代は「BCP」から「BCM」の推進へ移行しつつあります。
「BCP」とはBusiness Continuity Plan(ビジネスコンティニュイティプラン)の略称であり日本語では「事業継続計画」と呼ばれ、企業活動を脅かす危機にどのように向き合っていくかについて経営方針をもとに定めるものです。そして「BCM」はBusiness Continuity Management(ビジネスコンティニュイティマネジメント)の略称であり、日本語では「事業継続マネジメント」といいます。このBCMは先述のBCPの策定・運用・効果の検証・改定を含めた再策定という4つのプロセスからなる危機管理の手法の一つです。BCMはただBCPを策定するだけでなく、その適切な運用とシミュレーションや訓練等を通したBCMの効果の検証、検証結果を踏まえた改定、改定後のBCPの運用というPDCAサイクルのような連続的な運用プロセスをもっていることが特徴となっています。
企業活動におけるBCMの必要性が認知された背景として2011年の東日本大震災が挙げられます。東日本大震災では東北をはじめ関東などを含めた広域的な被害が発生しました。例えば東北の太平洋沿いでは震度7という非常に大きな揺れを観測し、高さ十数メートルにも及ぶ大規模な津波も発生したほか、津波の被害によって原子力発電所で爆発事故が発生し地震と津波に加えてさらに多くの人的被害と物的被害が生じました。当時BCPの策定が広まり始めていた大企業をはじめとする国内企業では地震の対策はある程度できていましたが、津波や原子力発電所事故については想定外でした。つまり一度BCPを策定するだけでは想定外の事態に対応することが難しいということで、BCMの過程を通してより多くのリスク(危機が発生する可能性)を検討することによって想定外の事態を減らし、またそれに対する対応力を向上することができるのです。東日本大震災の発災以降、それまでBCPを策定していた企業の多くがBCPからBCMへと移行し、今後発生しうる災害により強固に備えていく姿勢を見せました。
現代の企業活動にBCMが必要な理由は他にも挙げられます。危機管理の対象である「リスク」は時とともに変化する生き物のようなものです。サイバー攻撃のひとつとして知られるランサムウェアがその一例でしょう。ランサムウェアはコンピュータ等に侵入してコンピュータ内部に保存されている情報を削除したり窃取したりした上で身代金を要求する悪質なプログラムです。ランサムウェアによる被害を防止するためにしばしばコンピュータへのセキュリティソフトの導入などを通したセキュリティ強化が行われますが、まさにこれはコンピュータのセキュリティ強化とランサムウェアを使用した犯罪の手口の巧妙化のいたちごっこのような状態を生み出しています。つまり、セキュリティソフトがより強固なものになればそのセキュリティを突破することができるように強化されたランサムウェアが開発され、そのランサムウェアによる攻撃を防ぐためにセキュリティソフトが強化され、またランサムウェアも強化されるというお互いの強化の連続が発生するのです。このとき、企業はBCPを策定しただけで危機管理が十分であると言えるのでしょうか。ランサムウェアのように日々新しく開発され強化されているリスクが存在するように、BCPにおいてもより多くのリスクを認知し、そのリスクに対応できるようにアップデートしていく必要があります。
BCMを運用するということは、BCPにおける想定外を最小化しBCPの質を向上するということであり、信頼性の高い危機管理の基礎を築くことに繋がります。また訓練等を行うことによって全社的な危機管理意識の醸成も可能となります。これからは、BCPを策定するだけでなく、その運用・検証・改定を含めたBCMが企業の危機管理の鍵を握る時代となるでしょう。
