災害やリスク全般への備えとして注目される「BCM/BCP」
整備や社内への浸透に人事はどう関わるべきか

「想定外」の事態に弱い日本企業

日本企業の緊急事態対応の現状や課題についてお聞かせください。

企業によって違いは大きいのですが、全般的な傾向でいうと、日本企業は「繰り返し発生する事態、過去に経験のある事態」に対して、比較的準備ができていると言えるでしょう。例えば火災や地震、交通事故や工場内での事故などへの対応は事例が豊富にあるので、起きたときには何が必要かといった知見が蓄積されています。定期的な避難訓練などもできており、海外とくらべても優れていると言えるでしょう。

逆に、「はじめての事態、経験が非常に少ない事態」については、判断や対応に苦慮する傾向が見られます。近年でいえばパンデミック、いわゆるコロナ禍がそうでした。日本国内では発生頻度が低い犯罪やテロ、地政学リスクなどにも十分な備えがあるとはいえません。サイバー攻撃にも比較的弱いと思います。

危機にもさまざまな種類やレベルがありますが、企業はどこからが危機と考えて準備すればよいのでしょうか。

狭く考えれば災害や事件、事故、戦争やテロなどですが、広く考えれば資金ショートやコンプライアンス違反なども、大きな危機と言えます。「重要な意思決定の場面で、トップと連絡がつかない」といったことも危機にあたるかもしれません。「何が危機になるか」は、企業によって異なるため、「危機の定義」も変わってきます。

ただし、危機対応・リスクマネジメントの原則はあります。危機は「想定外のことが起きた」「想定より規模が大きかった」「対応がうまくできなかった」といった場面で現実の危機になります。そのため、まずは想定外のものを減らすことが重要です。

一方で、想定外をゼロにすることはなかなか難しい。そこで有効なのが、普段から「代替」を用意しておくことです。設備や機材が壊れても、予備があれば状況は大きく改善します。例えば火災のとき、避難経路が複数あれば逃げられる可能性が高まります。コロナ禍では対面での仕事がしにくくなりましたが、代替手段としてリモートワークがあったことで、効率は落ちましたが何とかなりました。

そうした企業のリスクマネジメントの文脈で、近年「BCM」「BCP」が注目されていると聞きます。あらためて基本的な考え方をお教えください。

「BCM」はBusiness Continuity Management（事業継続マネジメント）、「BCP」はBusiness Continuity Plan（事業継続計画）であり、詳しくは内閣府のガイドラインにその考え方が示されています。ひとことで表現するなら、「組織のあらゆるリスクに対して重要業務を継続できるようにするマネジメント、またはプラン」です。どちらも意味するところは同じですが、プランよりもマネジメントとした方が継続的な取り組みであることを表しやすいと言えます。危機対応は常に更新されていくべきものと考えると、今後はBCMの方が広く使われていくのではないでしょうか。

BCM/BCPの特徴をお聞かせください。また、近年注目されるようになった背景には何があるのでしょうか。

従来の日本企業のリスクマネジメントは、火災対策や労災対策など、「特定のリスクに対してどう対応するのか」という視点で組み立てられてきました。いわばリスク中心の考え方です。それに対してBCM/BCPは、「あらゆるリスクに対して重要事業を守る」という事業中心の考え方をベースにしています。ここに大きな違いがあります。

どんな事態が起きても重要業務を継続する、あるいは一時的に中断しても許容時間内に許容水準まで回復させる。そのためには何が必要なのかをあらかじめ考え、準備しておく。そのために欠かせないのが「守るべき事業、業務の絞り込み」です。すべてを守ろうとすると危機対応のリソースが分散してしまいます。優先順位をつけて、本当に重要な事業を高い水準で守るのがポイントです。一時的に止まってもいい業務は、後回しでかまいません。特に社会インフラを担っている企業の場合、いつまでに回復させないと社会にダメージがあるのかを考え、対策を練っておくことがきわめて重要です。

BCM/BCPは、従来の日本企業のリスクマネジメントに足りなかった部分を補う考え方なのでしょうか。

はい。冒頭でも触れましたが、日本企業の場合、すぐに思いつくようなリスクへの対応はある程度できています。ただし、それ以外のリスクへの対応も欠かせません。すべてのリスクを洗い出すことができない以上、想定外の事態が起きた場合は「事業を維持するための経営資源を、いかに守るか」という発想で対処するしかありません。結果的にそれがリスク全般への対策につながります。

「危機管理」は研究開発や人材育成に近い投資

日本企業がBCM/BCPに取り組むべき理由をお教えいただけますか。

第一に、「想定外への対応」があげられます。日本企業はリスクごとの対策は進んでいますが、それだけでは想定外の事態が起きたときに対処できないからです。

そこで有効なのが、BCM/BCPの「実際に危機が起きたときに、自社や顧客、社会へのダメージをどう抑えるか」という発想です。被害の詳細は事態によって変わりますが、事業への影響はヒト・モノ・カネなどの経営資源が不足することを経由します。すでに海外では、経営資源を守ることで、想定外も含めたあらゆるリスクに対応するという考え方がリスクマネジメントの中心になっています。

第二に、危機対応の基本である「人命最優先」のためにも、BCM/BCPで事業を守ることが欠かせない、ということです。特にインフラや医療・介護など、サービスが途絶えると人の生死に直結するような業種では、「想定外だったから」という言い訳は許されません。物流業なども、食料や医薬品のサプライチェーンに組み込まれている場合、人命を左右していることを自覚する必要があります。命を預かる重要な事業を守るには、オールリスク対応が必須です。

企業は自社の従業員だけでなく、顧客や社会も含めてどう対応するのかを考えなければいけないのですね。

いずれも大切な命だということです。逆にいえば、緊急事態において一時的に止まっても人命に影響がない事業の場合、従業員に無理をさせる必要はないとも言えます。災害時などは「従業員の英雄的な働き」が美談とされがちですが、冷静に判断するべきでしょう。

個別のリスク対策を積み重ねるよりも、BCM/BCPで全てのリスクに対応する方が、結果的にコストが少なくて済む、といったメリットはありますか。

対策の多くは複数のリスクに使えるので、個別リスクだけを対象にするより兼用にする方がコストを削減できます。業務のオンライン化のように、平時にも使えるのがベストです。また、個別リスクで費用対効果を計算すると効果を過少評価してしまいます。

リスクマネジメントのコストは、費用対効果でメリットを説くよりも、研究開発や人材育成、労災対策などと同じく「やらなくてはいけないもの」と言った方が、経営者には理解してもらいやすいと思います。研究開発も人材育成も、イノベーションにつなげることが目的ですが、費用対効果を事前に算出できるものではありません。労災対策も「対策をしているから、労災が起きてない」とは言えますが、事故が起きてない中で厳密な効果を算出できません。「それでもやった方がいい」のがリスクマネジメントであり、その経費は「すぐに効果が目に見えなくても、途切れさせてはいけない投資」と捉える必要があります。

企業経営者の間に、そうした認識は広まってきているのでしょうか。

業種によって異なるとは思いますが、一定額をリスクマネジメントに使っていくべきだという認識はあると思います。ブランドを守る上でも効果的です。緊急時にきちんとした対応ができることで、ブランドの評価が保てるからです。ブランドマネジメントに「毎年の売上の●●パーセントを使う」という企業は多いと思いますが、その中にBCM/BCPも含むと考えても良いのではないでしょうか。

「ボトムアップ」を主導できる人事の強み

企業内でリスクマネジメントを管轄するのは、どういった部署が多いのでしょうか。

BCM/BCPを進める際は、事務局のような組織をどこかの部署に置くことになります。多いのは総務、広報、経営企画などでしょう。グローバル企業では本社のCEO直属で専任チームを置くこともありますが、日本企業では兼任がほとんどだと思います。

人事部門にも、リスクマネジメントの重要性に着目する人が増えています。BCM/BCPの策定や構築、実際の運用に人事はどう関わっていくべきでしょうか。

事務局がどこに置かれるかにかかわらず、全社でのリスクマネジメントの会議は各部署の代表が参加して行われます。その中には当然、人事も入ってきます。特にBCM/BCPを組織に根づかせるうえで人事の役割は三つあります。

一つ目は「リスクの洗い出し」です。現場からのボトムアップで進めるのが理想的。緊急事態にどうやって業務を回復させるのか、そのために何が必要で、何が支障になるのか。こういった具体的なことは現場でないとわかりません。ボトムアップで意見をくみあげるノウハウを人事なら持っているでしょう。現場主導でつくった対応策であれば、みんなが納得して取り組むことができます。逆にやらされ感があると、うまくいきません。ここはとても重要なポイントです。

二つ目は、「現場への浸透」です。BCPをつくっただけでは、いざというときに体が動きません。避難訓練を定期的に行うように、BCPの対応訓練もやるべきです。効果的なのは初動対応訓練。対策本部の立ち上げ、安否確認システムのテスト、徒歩での参集や帰宅、通勤経路の安全確認といったことです。実際に人やシステムを動かして訓練することで、危機対応意識の醸成にもつながります。

初動以後の訓練は、たとえば被害をシナリオに書き出して、決められた時間内に復旧するにはどう動けばいいのかを、現場の人に考えてもらう。実際に人やモノを動かさなくてもシミュレーションできます。シナリオは各部署からキーパーソンを集めて作ってもらうと良いでしょう。毎年テーマを変えて行うことで、各現場にリスクマネジメントのキーパーソンが育ちます。研修や人材育成のノウハウを持つ人事が主導すれば、円滑に進められるはずです。

三つ目は、「見直し」です。2024年1月の能登半島地震の記憶も新しい現在は、「自社で同じことが起きたらどうなるのか」を考える良い機会でもあります。事前にしっかりとリスク対策を行っておけば、緊急事態が発生しても、事態の深刻化を大きく軽減することができるでしょう。

経営者の中には、「いざというときは自分が陣頭指揮する」という人も少なくありません。しかし災害などの危機では、経営者が不在であったり通信が途絶えたりすることが多々あります。そのような場合でも社員のだれもが適切な行動ができるよう、総務や人事が経営者に対して、BCPを作成しておくことを提言することも必要でしょう。

実際に危機が発生し、被害が生じた場合に留意すべきことを教えてください。

緊急時には、必要な情報が十分に得られるとは限りません。地震を例にすると、最初に入る情報は被害が少なかった地域のものです。すると、危機を過小評価しやすくなりがちですが、甚大な被害を受けた地域では、情報発信そのものができないくらいダメージを受けている可能性もあります。そうした想像力を働かせることが大事です。

また、情報が集まるのを待っているようでは対応が遅れます。重要なのは、後から入ってきた情報をうまく生かせるように余白を残しながら、すばやく判断を下していくこと。「少ない情報に基づいた決定なので、今後変更もありうる」と、現場で動いている人に伝えておくことも欠かせません。

情報がない場合は待つだけでなく、こちらから収集に動くことも必要です。ただし、被害を受けている現場に問い合わせが集中すると、その対応に貴重なリソースが割かれてしまうので、窓口を一本化するなどの効率化を考えなくてはいけません。そのためにも、事前にBCPを用意しておくことは大きな意味があるのです。

まずは「地震対策」からはじめてみる

これからBCM/BCPに取り組む企業は、何からはじめるといいのでしょうか。

あらゆるリスクに対処するのがBCM/BCPの考え方ですが、最初はできるところからで十分です。はじめてBCPをつくる場合は、たとえば「地震対策」から入ると良いと思います。

地震はあらゆる危機の中でも、対応の難易度が高い危機といえます。設備が壊れる、インフラが止まる、人的被害が出るといったように、全方位からダメージを受けます。一方、コロナ禍では人的なダメージだけで、設備やインフラは無事でした。地震対策を考えておけば、その応用で幅広い危機に対応できます。また、日本では地震が絶対発生しないという地域はないので、どんな企業でも対策しておく意義があります。

具体的にはまず、自社の経営資源がどこまで傷むのかを想定する必要があります。設備が動かない場合はどうするか、誰も出社できない場合はどうするかなど、経営資源の面から考えると良いでしょう。行政などからも地震の被害想定は出ていますが、社会全体を対象にしたざっくりしたものです。自社内で何が起きるのかは、現場と意見交換しながらまとめていくしかありません。どんな対策を考えるにしても、まず被害を想定する必要があります。

地震対策がある程度できたら、サイバー攻撃を受けたらどうするかなど、自然災害とはまた違う危機を想定してBCPを拡充していきます。そういった流れを積み重ねていくことで、幅広い危機に対応できるようになります。

BCM/BCPに関するさまざまなノウハウは、どこで入手できますか。

事業継続に関する各種マニュアルは、内閣府の防災担当から提供されています。ホームページからPDFをダウンロードできるので、参考にしてください。

緊急時には、現場にさまざまな部署から応援の人が集まると思います。普段あまり接点のない人たちが集まったとき、どう動けば効率的かといったノウハウは、「ICS（インシデント・コマンド・システム）」という米国標準のプロトコルが役立つでしょう。山火事対応で急遽集まった複数の消防隊をどう動かすとよいかという経験から編み出されたもので、日本でも救急医療などに応用されています。日本語に翻訳したものも市販されているので、手に入りやすいと思います。

BCP/BCMに取り組む・見直したいと考えている方へメッセージをお願いします。

緊急時にも冷静さを保てるように、日頃から意識的に訓練しておくことも大切です。危機に直面して気が動転してしまうのは仕方のないことですが、それでは正しい判断ができません。緊急時に私は「これからもっと大変なことが起きる」と考えることにしています。「今の事態はまだ楽なのだ」と自分に言い聞かせることで、冷静になれるからです。人それぞれにいろいろな方法があると思うので、工夫してみてください。

取材：2024年2月15日