安直なBCPにもの申す！ 「だからいったじゃないですか、無理ですって……」：萩原栄幸が斬る！ IT時事刻々（2/2 ページ）

[萩原栄幸，ITmedia]

BCPが困難な理由

　なぜ筆者は、BCPは無理だと震災直後から提起しているのか。それには次の理由がある。

　BCPは「人」「物」「金」が想像以上にかかる。片手間で策定したり、初心者だけで策定したりすると必ずどこかで頓挫してしまう。そんな安易な考えや体制では完成できない。もしくは要領のいい担当者であれば、そのほとんどが深く検討はしていない、「形」だけのものを作る。どこかの企業が何年もかけて作成した資料をベースに、「形」だけをこしらえた「張り子のトラ」として作成してしまう。某自治体のように「丸投げ」で作成した組織があるかもしれない。

　いずれにしてもそこには「心」がない。全従業員が取り組んだ成果物になっていないので、ほとんど運用できないのだ。実際に想定した災害が発生すると良く分かるだろう。東日本大震災時に、せっかく策定していたBCPの大半が役に立たなかった理由は、（1）保守されていない、(2)形だけまねて作成した、（3）震災規模が想定外でBCPの活用場面がほとんどなかった――これらの要因が1つ、もしくは複数が生じたことによる。形だけのものは、必ず現場での運用には耐えられなくなる。

　BCPは慌てて策定するものではなく、じっくり腰を据えて策定し、長期間きちんと機能する組織や運用要件を組合せが必要なものになる。逆にそうでなくては、BCPとはいえないのだ。

　またインターネット上では多くの専門家が「今回の大震災を教訓に」と伝えているが、その真意が理解されていない。この大震災の規模でのBCPを策定しようとするプロジェクトがどうしても多くなってしまう。

　最初にどの規模を想定するかにおいて、その地域特性からそこまで考慮する必要がない場合は、考慮をしても（経営者や株主が納得しないケースも多々考えられる）「1000年に１回」の確率なら歩留まりを考慮して、「対策なし」でも仕方がない場合がある。経営的にマグニチュード9.0という、少なくとも日本において平安時代から地層学的にこれまでなかった震災までをBCPで考慮すべきかが難しい。東日本大震災が実際に起こった直後の現時点では微妙な時期であるからだ。

　筆者が今はBCPを策定しない方がいいという裏の本音はそこにある。どうしても心情的に取り込まれやすい（筆者もその1人になる可能性がある）。その場合におけるものとしては、「東日本大震災」という未曽有の災害を取り込んで平時の計画を策定するのではなく、緊急時の対応に焦点を絞ったコンティンジェンシープランだけをまず策定する方が極めて現実的だと思われる。

中小企業庁の「中小企業BCP策定運用指針」について

　よく質問されるのが、中小企業庁がWebサイトに公開している「中小企業BCP策定運用指針」に関するものである。この通りにすればBCPが簡単に策定できるので、筆者の指摘は正しいとは思えないというものだ。確かに、参考として、読み物としては良いと思う。

　ただし記載にあるように経営者本人だけ、もしくは2、3人の担当者を含めた上級コースまでの合計で、2週間弱でBCPができ上がるというのはよく分からない。掲載された資料だけでも項目を埋めるのに相当な議論や専門家の意見が必要なものが山のようにある。従業員が20、30人規模の組織でもBCPの作成にはゆうに2、3カ月ほど要するのが実情だ。

　しかも関係者全員（社内＋社外）を含めて善意の協力者という設定は安易である。現実はそういう事はまずあり得ない。机上や論理だけでこうした内容を掲載するのはあまりにも無責任だと思う。こういうことを指針で示してしまうと、組織の担当者は追いこまれてしまい、「形」だけの「成果物主義」に走りかねない。その結果としてでき上がったBCPは、実効力がほとんどない、資料だけが山積みとなったものになる危険性が高くなる。「読み物」としては、とても良い資料が公開されているだけに残念でならないのだ。

　また「BCP策定のためのヒント」ではストーリー1で社長自身が相当に現場目線での作業を行うように設定されている。ほとんどの項目を社長自身が作業し、あとは担当者に任せたとある。そして、ついには社長がBCP対応のセミナーを開くまでになり、めでたし、めでたし――という流れだ。この資料を作成された方は、本当にBCPの構築作業を実際に経験したのだろうか。正直に言えば、このような展開は無理だと思われる。

　仮にこうした経営者がいたとしても、BCPで最も大変なのは作成した後のことである。全職員、従業員、役員、取引先を巻き込んだ教育が不可欠であり、継続的に3年後も5年後も会社が存続する限り保守をしていないといけない。そうでないとBCPはすぐに形骸化してしまう可能性が高い。それにも関わらず2週間ほどで策定したBCPに対して、簡単に保守などできるのだろうか。疑問が残るし、現場が納得しているとは思えない。そもそも中小・零細企業の経営者はガイドのように作業できるだろうか。そんな余裕を持っている経営者を筆者はまだ見たことがない。

萩原栄幸

一般社団法人「情報セキュリティ相談センター」事務局長、社団法人コンピュータソフトウェア著作権協会技術顧問、ネット情報セキュリティ研究会相談役、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少（当時）で合格した実績も持つ。

情報セキュリティに関する講演や執筆を精力的にこなし、一般企業へも顧問やコンサルタント（システムエンジニアおよび情報セキュリティ一般など多岐に渡る実践的指導で有名）として活躍中。「個人情報はこうして盗まれる」（KK ベストセラーズ）や「デジタル・フォレンジック辞典」（日科技連出版）など著書多数。