事業継続の考え方から認証取得に関するノウハウ、日々のニュースの中の事業継続の話題などを網羅的に収集、提供します。
運営:ニュートン・コンサルティング(株)分かりやすくするために、少し卑近な例えで考えてみます。
F1レーシングでは他車よりも、(規定の周回数を)より速く走りきる必要があります。ただ、レースでは、闇雲にスピードペダルを”目一杯”踏み続ければレースに勝てるというものではありません。
なぜなら、そもそもマシンにはエンジン性能や燃費など体力の限界がありますし、燃費を改良したとしても、今度はタイヤが摩耗してパンクしたり、エンジンがオーバーヒートで故障してしまうなど、様々なリスクを抱えることになります。ですが、安全性を重視してスピードを落としてしまったらレースには勝てません。
レース運びの中で、その時その時のマシンの体力・性能や、走ることを阻害する様々なリスク、他車のレース展開などを加味しつつ、一方でブレーキングやピットインなどといった適切なコントロールの導入を行うことにより減らせるリスクの程度、同時に失うメリット(タイムロスなど)を考慮した上で、バランスの取れたレース運びを行うことが必要です。
この時の「リスクに関わる一連の活動」:
・タイヤのパンクやスピンアウトなどといったリスクの認識
・その規模や性質の分析
・どういったコントロールを適用するのかしないのか
・また、その適用結果の評価、および必要であれば追加対策
を「統合リスク管理」と言うことが出来ます。
逆に言えば、もし、ただ闇雲にスピードペダルを踏み続けてレースに勝てるのであれば、リスク管理は不要ということになります。
これを企業に置き換えて考えますと、当然、企業を取り巻くリスクには様々なものがあるわけで、それを包括的・画一的・客観的に見渡して、企業としての適切なコントロールをあてるための活動を行うことが企業の「統合リスク管理」ということになります。企業活動(企業価値最大化)を阻害するリスクの種類には、例えば、地震・火災、横領・強奪、インサイダー取引、株価の暴落、国の経済破綻、コンピュータウイルス、操作ミスなどが挙げられますが、一般的に(特にBIS規制などでは)こういったリスクをいくつかのカテゴリに纏めると
・信用リスク(カントリーリスクを含む)
・市場リスク
・オペレーショナルリスク
の3種類になります。
企業はこれら3種類のリスクを自社の体力や経営戦略とリスクの大きさと相談しながらリスクの管理を行うことが肝要です。
BCM Naviでは、今回、こういった文献や自身の経験から(なんとはなしに)見えてくる傾向に基づいて、各言葉の由来を追究してみようと思います。
そもそも災害対策に関連する言葉に、何故これほどの”ゆらぎ”があるのでしょうか?
大きな理由の1つとして考えられるのは「実は、同じ言葉であっても、それを使う国や地域によって、全く異なったルーツを持っているためではないか」ということです。つまり、同じ”災害対策”を言及してはいても、各言葉が生まれた背景が、国や時代によって異っており、(こうした異なった背景を持ちながらも似た意味を持つ)言葉同士が、いつしか、統合されたり、輸入されたり、輸出されたりして、少しづつオリジナルの定義を変えながら、今にいたっているためではないでしょうか?
例えば、日本であれば関東大震災に代表されるように、「災害」という言葉からまず連想されるのは“地震”でしょう。だから「防災対策」という言葉は、主として、こういった地震(あるいはそれに伴う火災)を前提として使われていると言うことができると思います。一方、アメリカなどでは、似た言葉として、イマージェンシーマネージメント(EM:緊急時対策)という言葉が使われていますが、これは、米ソ冷戦時代の民間防衛に端を発するものと言われています。
いち早くコンピュータが普及し始めたアメリカでは、コンピュータに頼る事業(金融業界など)が急激な発展を遂げ、“データの保護・復旧が欠かせない”という考え方が生まれました。そして、データなどの保護・復旧対策をさしてDRと呼んでいました。やがて、データだけではなくホストコンピュータなど情報システムに関連する機器全てを対象とした障害・災害復旧を想定するようになりました。いずれにせよ、DRがあくまでも“情報システムありき”という考え方に基づいたものであることに変わりはなく、これは言い替えるとDRが、経営レベルの思考ではなかったと言うこともできます。ちなみに情報システムの災害復旧計画書を、DRP(Disaster Recovery Plan)と呼んでいます。
ですので、「いやいや、情報システムだけではビジネスは継続できない」という考え方から、経営レベルの観点から、BCPという考え方が誕生したのは必然の流れだと思います。BCPの普及を更に加速させるきっかけとなったのは、ファースト・インター・ステートバンクにおける1988年のビル火災(ロサンゼルス)だと言われています。同社は、火災により大きな被害を被ったものの、事故発生の翌日から速やかに銀行業務を再開しました。このすばらしい対応により、同社ならびにBCPという考え方は世界中の注目を浴びたと言えます。
こういった流れと並行して、クライシスマネジメント(CM)という言葉も登場してきました。元々、クライシスマネジメントは、キューバ危機のときに米国が使いはじめたもので、軍事的事件や国際的事件をどう判断するのかを扱う政治色の強い対策を指すものであったと言われています。それを産業界に応用する中で、緊急事態が発生したときの組織的対応策やマスコミをはじめとする外部への広報対応やその技術に変わっていった可能性があります。言い替えると、イマージェンシーマネジメント(EM)という言葉には、クライシスマネジメント(CM)のような災害発生時のきめ細かい対応などについての考え方が抜け落ちていたということもできます。
ここまで、防災対策、EM、DR、BCP、CMのそれぞれの言葉が生まれた歴史的背景について触れてきました。事業継続の専門家ですら、言葉をうまく使い分けできない理由が、なんとなくおわかりいただけたでしょうか? ちなみに、本稿で述べた歴史的背景はあくまでも一部分であり、国が変われば更に異なる言葉やその言葉が生まれてきた歴史があるのだと思います。
言葉の起源がなんであるにせよ、「最終的にこれらの言葉全部の考え方を包括するものとしてBCMという考え方」が誕生したと言ってもいいのかもしれません。
いよいよ翌日の朝ストライキ決行かという日、私は当時の上司に
「明日ストライキが決行されたら会社に来ることができませんので、その場合は有給休暇扱いにしてください。」
と頼みました。すると、
「何言ってんだよ。歩いてでも出社するんだよ。歩いて来れないんだったら会社に泊まれ。」
と怒られてしまいました。
私は 「はあ、そういうものなんですか。」 と釈然としないまま答えたのですが、そのときの心境は
「自分一人くらい出社しなくても会社が潰れる訳じゃないじゃないか・・・」
というものでした。
結局、ギリギリになって労使交渉が妥結し、ストライキは決行されず、私は翌日も普段通り出社できたのですが、最近、BCM構築のお仕事をさせていただくようになり、苦笑いとともにあの時の自分の心境を思い出します。
BCMは(企業の)重要な事業を継続させるための仕組みです。
従って、策定されるBCPやIMPも、企業にとって重要な事業を継続させる、もしくは復旧させる活動になります。その活動を担う担当者はもちろんのこと、社員の方々が「自分一人くらい」とか「自分がやらなくても誰かがやってくれる」などと思ってしまったらどうなるでしょう?
せっかく策定したBCPやIMPは機能せず、恐らく継続・復旧活動はスムーズに進行しないでしょう。
そうなった時、その先に待っているものは大変な結果かも知れません。
ですので、BCMを構築する際には経営陣やプロジェクトメンバーのみならず、一般社員の方々にも、BCMの重要性を周知・徹底することをお勧めします。
自分一人くらい、と思う人が一人いることにより、会社が潰れてしまうかも知れないのです。
とあるイギリスのホテルで、ある晩、夜半過ぎに火災警報器が鳴り響きました。
館内アナウンスで火災が告げられ、ホテルスタッフは避難マニュアルに従って宿泊客を誘導し、ホテルの外に避難させ、全ての宿泊客及びホテルスタッフの安全が確認された後で、ホテルの責任者が全員の前でこう言いました。
「皆さん、当ホテルの避難訓練にご協力くださりありがとうございました。」
つまりこのホテルは、ほとんどのホテルスタッフと全ての宿泊客に対し、事前連絡なしの避難訓練を(しかも大勢が寝静まった夜中に)実施したのです。
面白いのは宿泊客の反応でした。
イギリスのホテルなので、多くの宿泊客はイギリス人だったのですが、彼らは皆一様に抜き打ちの避難訓練を実施してホテルの避難体制・手順の有効性を確認したホテル責任者に対して好意的でした。
「これで次からもこのホテルに安心して泊まれる。」
「ホテルスタッフが日頃から訓練されているのがよく分かった。」
などなど。
そのような中、とある日本人宿泊客は大層怒っていたそうです。
「こんな夜中に避難訓練をするなんて、客を何だと思っているんだ。」
・・・
テロに悩まされているイギリス人は、緊急時の対応の重要性を肌身で感じているため、上記のような反応だったのでしょう。かたや日本では、避難訓練といえば事前連絡は当たり前、参加者にもほとんど緊張感はなく、避難終了後に消火器のデモンストレーションや消防署の方の訓話をぼんやりと流し、訓練終了後は「やっと終わったよ」と業務に戻っていく。
さらに 何度も発生する大地震からも教訓を得ることなく、大地震のたびに同じような過ちを繰り返しています。
BS25999にも「演習」が要求事項として挙げられていますが、どうせやるなら有効性・実効性があるほうがいいとは思いませんか?