「止まりました」では許されない――BCP導入の「強い」ススメ：本当に大丈夫？ 災害危機管理対策（2/2 ページ）

[水野宏美，ITmedia]

遅れる日本企業のBCP策定

　日本はどうだろうか。台風や地震など自然災害に多く見舞われる日本だが、特に地震については、過去にも阪神淡路大震災や新潟県中越地震などの巨大地震によって多くの企業がその事業活動に甚大な損害を被っている。

　にもかかわらず、旧来の災害対策といえば、従業員の安全をどう確保するか、といった視点で構成されており、事業活動の継続という視点は抜け落ちていた。生産拠点を分散化することで災害対策としていたケースもあるが、効率化の観点からそれらを再び集約しているのが今日の状況だ。このことは、自然災害が発生した場合の影響度をより大きなものとしている。余談ではあるが、日本におけるBCPの策定に当たっては、自然災害のリスクを十分に考慮する必要がある、というのが筆者の考えだ。

　こうした状況にありながら、日本企業のBCPに対する取り組みは鈍い。日本企業のBCPに対する取り組みを調査したデータとして、NTT建築総合研究所と三菱総合研究所が8月に発表した「事業継続計画とITシステムの防災に関するアンケート調査」が存在する。それを見ると、事業継続計画を策定している企業は全体の2割程度にとどまっている。さらに、事業継続計画を策定済みであっても、RTO（Required Time objective）を定めている企業は全体の3割に満たない。RTOは、BCPの特徴として挙げられるもので、事故や災害などの発生時から事業の再開までの「目標とする復旧時間」を定めたものだ。日本では「目標復旧時間」と訳される。RTOが決められていないBCPは計画としては不十分であるにもかかわらず、上記のような結果となっているのは、BCPに対する理解度が低いと言わざるを得ない。

　しかし、BCPに真剣に取り組む兆しは見られる。政府レベルでも、2004年9月に経済産業省が「企業における情報セキュリティガバナンスのあり方に関する研究会」を発足させBCPについて議論している。なお、同研究会では2005年3月にガイドラインを策定している。本特集では、このガイドラインを基に解説していく。

　そのほか、2003年3月に「企業内容等の開示に関する内閣府令」などの一部が改正され、有価証券報告書に「事業等のリスクに関する情報」を記載することが義務付けられた。これを受けて自社のBCPの取り組みについて説明している報告書も多い。この動きは今後トレンドとなっていくだろう。

　また、情報開示を自主的に行うケースも見られる。例えば、東京証券取引所などが開示した「危機管理への取り組み」（PDF:62Kバイト）がそれに該当する。業態別に見た場合、金融業はBCPに対する取り組みが進んでいる。東京証券取引所のような自主的な情報開示は、今後他の業種にも広がると予想される。

BCPだけでは机上の理論

　BCPおよびBCMがなかなか進まない理由の一因として、その費用対効果が分かりにくいことが挙げられる。しかし、事業を継続できない場合、その影響は経営に直結する。また、ITへの依存度が高まっている以上、その対策を先延ばしにすることは得策でない。

　また、BCPで策定すべき要件の粒度をどの程度にするかは考え出すときりがないといったことも策定時によく問題とされる。これについては、地震などの状況ありきで考えるのではなく、その影響をまず予測し、影響を最小化するための施策を考えるといった方向性が最もスムーズに進むと思われる。

　大規模な事故や災害が発生しても短期間で事業を復旧できる企業であるか否かを証明するBCPは、危機に直面した際の「企業経営のあり方」そのものである。次回以降では、BCPの策定フローを紹介することで、BCPについての理解をより深めていこう。