BCP（事業継続計画）の策定状況（2022年）／後編

東日本大震災にCOVID-19のパンデミックなど、ここ10年を振り返るとさまざまな緊急事態に遭遇してきた。その時々で得た教訓をBCPに反映できているのだろうか。

[キーマンズネット]

　自然災害や感染症、セキュリティインシデントや内部不正など、われわれは常にリスクと隣り合わせにある。ビジネスを停滞させないためにも、“有事の際のマニュアル”であるBCP（事業継続計画）を策定し、必要に応じて見直すことが必要だ。

　COVID-19のパンデミック後におけるBCPの策定状況を知るために、キーマンズネットは「BCP（事業継続計画）の策定状況」に関する調査を実施した（実施期間：2022年1月26日〜2月4日、有効回答件数：223件）。前編ではBCPの策定状況や、全体の3割が業務中断レベルのインシデントに遭遇したことがあることなどを紹介した。後編となる本稿では、BCPに対する意識の変化や従業員が感じるBCPの課題について紹介する。

数々の緊急事態に遭遇するも、IT周りの対策予算は「変化なし」

　前編で紹介した結果の中で、押さえておきたいポイントが2つある。COVID-19発生前である2018年に実施した同様の調査と比較して、復旧に24時間以上要する障害が増加傾向にあることと、その原因が「ネットワーク障害」だとした割合が1.5倍に急増したことだ。その背景にはテレワークの採用など、ワークシフトが関わっていることが考えられる。

　実際に、「システムの事業継続計画を策定、あるいは見直としたらどの点を重視するか」と尋ねた項目では、「テレワークを前提とした事業継続体制の整備」（56.5％）が過半数を占めた（図1）。

図1　システムの事業継続計画を策定あるいは見直す際の重視項目（n=223）

　COVID-19によって世界的影響が出始めた2年前と比較して、BCPにおけるIT関連の予算が「増えた」とした割合は17.5％、「減った」は4.5％となり、まだ苦境が続くのか「ほぼ変わりはない」（66.4％）が多くを占めた（図2）。

図2　過去2年間でのシステム継続計画におけるIT予算の変化の有無（n=223）

　IT予算の使途としては「業務端末を従業員に配布し、ネットワーク環境を見直した」「在宅ワークの環境整備」といったテレワークの整備に関するものと、「リモートアクセス環境のセキュリティ強化」など、ネットワークセキュリティの強化に集中する結果となった。

「当社は問題だらけです」勤務先のBCPに関する課題16項目

　BCPは、「何をもって緊急事態とするか」「経営層、役職者、一般社員など職位別の対応項目」「ケース別の対応」など定めるべき項目が多い。策定時には想定していなかった事態が発生する可能性もあり、策定して終わりではなく適切なタイミングで見直しを加えることも必要だ。

　しかし、回答者のコメントを見ると東日本大震災やCOVID-19のパンデミックなどを経験してきたにもかかわらず、見直されることなく放置状態の組織もあるようだ。勤務先のBCPに対する課題を聞いたところ「策定」と「運用」における課題が集中した。

BCPの「策定」における課題

• 主要担当者や管理者が出勤不可能な場合には機能しない内容になっている
• 在宅勤務を考慮したBCPになっていない
• 本社と近隣拠点の対応しか策定されておらず、全国の拠点に展開されていない
• 地震と火災、津波のみで、その他の緊急事態に関する計画がない
• どこまでを緊急事態とするかが分からない
• 想定外の事象に対してどこまで対応するかの判断が難しい
• データセンターにサーバを預けて運用しているが、データセンターの稼働が停止した場合のことが考えられていない
• 現場従業員の行動計画や手順書がない

BCPの「運用」における課題

• 第一版の状態のままであり、内容が旧態化・陳腐化している
• 事業継続計画の見直し周期を検討する必要性がある
• 訓練を実施していないため、実際に計画が機能するのか不安
• 従業員が出社することがないので訓練が実施できない
• 率先するリーダーがいない
• 経営陣がBCPの全体像をイメージできていない
• 適切なデータバックアップがなされていないなど問題だらけ
• いざというときの危機管理体制が全社で周知されていない

コロナ禍を経験し、BCPに対する考え方に変化はあったのか

　最後に、BCPに対する意識の変化と今後の対応について尋ねた。

　勤務先のBCPについて、直近2年間で考え方や対策に変化があったかを聞いたところ「変化は特に感じない」（45.3％）、「変化があった」（42.2％）、「どちらとも言えない」（12.6％）と、感染症後も変化はないとした回答が半数に迫った（図3）。

図3　直近2年間で勤務先のBCPに対する考え方や対策に変化があったか（n=223）

　「変化があった」と回答した人からは、「感染症以外にも幅広い事象への対応を検討する必要がある」「テレワークに関する理解が進んだ」といったコメントが寄せられた。

　関連して、今後1年以内にBCPの見直しや修正、改善を行う予定があるかと聞いたところ、「予定はない」（53.6％）、「予定がある」（46.4％）となった（図4）。

図4　今後1年以内にBCPの見直しや修正、改善を行う予定があるか（n=153）

　BCPを修正、見直す「予定がある」とした人にその内容を尋ねたところ、「毎年1回はBCPを見直しているが、見直す中で修正や改善が必要であれば対応する」「感染症やサイバー攻撃に関する内容を更新する」「セキュリティ分野では日々新たな攻撃手法が発見され、固定したBCPでは時代遅れになるため、今後対応を検討する」といったコメントが寄せられた。

　反対に、BCPを見直す「予定はない」とした人からは、「状況に応じて都度改訂する」「BCPに対する経営陣の認識が甘い。見直す意識がない」といった経営層の認識の甘さを非難する声があった。

　振り返ると世界規模でのパンデミックや、地震、噴火、水害といった自然災害など、2018年9月に実施した前回の調査から4年もたたない間にわれわれは多くの事態に遭遇した。そしてテレワークなど新たな就労環境への切り替えを進めるも、環境変化を狙ったサイバー攻撃など、リスクに直面する機会が増えた。

　企業活動の継続において重要なのはそうしたリスクや変化を認識し、リスクを最小限に抑える仕組みを整え、整備することだ。企業が危機に直面した場合でも、事業継続という社会的使命を果たせるかどうかはまさに経営課題であり、今後重点的に取り組むべき優先課題だ。