事業継続と社会のレジリエンス

渡辺研司氏は、事業継続の未来は個別組織ではなく、社会のレジリエンスを確保することであると議論しています

現代社会においては、商品・サービスの提供過程のすべてを単独の組織のみで担うことは極めて稀です。そのプロセスの多くは組織のネットワークやサプライチェーンで分業し、それぞれが担当する分野やプロセスで付加価値をつけることで成り立っているのです。

このようなネットワーク型社会において、BCMは個別組織が単独で取り組むだけでは、自然災害やテロ攻撃などの混乱に対するレジリエンス(弾力性のある回復力)を確保することは難しいでしょう。社会的レジリエンスを確保するためには、外部組織との相互依存性や、更には行政、地域コミュニティなどの相互影響を各組織が意識して取り組むことが不可欠です。

このような社会的なレジリエンス強化へのニーズを受けて、様々な組織がBCM体制の構築に取り組み始めています。その動きはサプライチェーンや地域といった、同じようなリスク要因を共有するステークホルダーやコミュニティ間にも広がりつつあります。

事業継続認証

相互依存性を意識する組織が自らのBCM体制を構築する際には、その組織と依存関係にある外部の組織のレジリエンスやBCM体制の状況を確認する、というモチベーションがはたらくことになります。このようなニーズに応えるために出てきたのが、認証の考え方なのです。

個別組織がBCMの実効性を外部に実証する方法として、SLA(サービス・レベル・アグリメント)といった契約に落とし込む方法が挙げられます。SLAにより、災害や事故があった場合でも、商品の在庫量、サービスの供給量や質などを決められたレベル以上に保つことが可能になります。しかし、このアプローチの有効性は、内容を数値化できる対象にしか適用できない、あくまで契約を結んだ相手にのみ有効である、といった事由により、限定的なものです。また、このような契約は、通常の契約より高額になるという事由もあります。

次の段階である認証は、大きく第一者認証、第二者認証、第三者認証に分けられます。第二者認証については、大手のメーカーなどは数千から数万のサプライヤーを抱えており、主要なサプライヤーに限定したとしても、認証のプロセスを定期的にこなすためには相応のコストと時間もかかり、非効率です。第三者認証は、このような状況を解決する認証方法です。しかし、現在、事業継続の第三者認証規格は、BS 25999(2007年11月発行)の1規格のみです。

現在、英国のみならず、特に米国や日本も含めた他国においても、組織が第三者認証を取得するケースが増加しています。その増加ペースはゆっくりとしたものであり、その背景には、ISOや米国が必ずしもこの規格と同一の概念や方法論で動いていないため、様子を見ている組織が多いことなどがあることも考えられます。また、BCMに係わる技術的な部分を審査できる要員が少ないという事由もあります。

米国は2001年の米国同時多発テロの後、国全体のレジリエンス強化を図ってきました。米国政府主導により、特に社会保障に焦点を当てて進められています。2007年以降は、民間企業の自発的なレジリエンス強化を支援するため、任意認証プログラムの開発を進めています。

このプログラムの骨子はほぼ固まりつつあります。BS 25999との違いは、組織のレジリエンス強化のアプローチの多様性を認め、第三者認証をするにしてもその規準とする規格やガイドラインを複数の選択肢として認めるというものです。対照的に、英国のアプローチは、単一の規格で標準化を図ろうとするものです。現時点では、米国では、緊急時対応、事業継続マネジメント、セキュリティ、リスクマネジメントの分野からの4つの規格・ガイドラインを採択すべく関係者を集めての議論が進行中です。

しかし、日本でも、BCMSの導入が先行する欧米諸国の組織と取引があったり、それとは別に自らの企業価値の向上や社会的責任を果たす取組みとしてBCMSを導入しBS25999-2に基づく認証を取得する企業が出てきています。しかし、日本独自のBCMS認証制度の実証運用も開始されています。

将来

個々の組織のBCMに注目することも重要ですが、組織が所属するサプライチェーンや地域コミュニティのことも考慮すべきです。外部組織との依存性を勘案し、その組織群と協業することによって、社会的なレジリエンスも強化されるのです。個別組織が良いBCMをもっていても、必ずしも社会全体のレジリエンス強化にはつながらないのです。

個別組織におけるBCMの標準化という部分については、先述のBS25999や米国、日本などで開発中のプログラムなどが整備されつつあります。しかし、これから最も重要なのは、異なる組織や地域コミュニティが協働して社会的レジリエンスを作り出すために、組織をまたがって運用可能なアプローチを標準化することです。これにより、異なる組織や場合によっては国家をまたがって事件・事故に対応できるようになるのです。

著者について

渡辺研司氏は、長岡技術科学大学大学院の准教授です。同氏は、ISO事業継続マネジメントワーキンググループの常任委員であり、NPO法人事業継続推進機構の副理事長でもあります。
Online Forums logo