シナリオ型BCPの欠点と次世代型BCPであるオールハザードBCPの必要性について
2024.4.19
シナリオ型BCPとオールハザードBCPの違い
多くの日本企業はこれまで「地震リスク」を最大の事業中断リスクとして「どこで」「どのような災害が起きて」「どのような被害を受ける」という、「被災シナリオ」を作成して、BCP(事業継続計画)をはじめとする各種事前対策を実施してきました。確かに地震や水災は日本企業にとって最大のリスクの1つであることは間違いありませんが、これを被害想定シナリオにおくと、定量的な被害情報に基づくことになるため、国や自治体が公表する被害想定データを基に作成していくことになります。そうすると、いやおうなしに1つの最悪の被害状況を想定してしまうことになってしまいます。
しかし、近年、感染症、ブラックアウト等リスクが多様化してきたことで、この「地震」に偏重した「従来型」のBCPは2つの課題を露呈しました。1つ目は、さまざまなリスクごとにBCPを作成しなければならない点、2つ目は「被災シナリオ」とは異なる「想定外」の事態に対応できない点です。そこで、日本では改めて、地震以外の水災、感染症等を含む非常事態を対象とした「オールハザード型」BCP整備の必要性が叫ばれています。
「オールハザード型」BCPとは、個別の災害や特定のリスクといった非常事態発生の「原因」ではなく、非常事態発生によって「結果」として生じる、例えば、要員の不足、停電、機器の故障、工場全体の操業停止、輸出入制限やサプライヤー被災による部品調達不足などの「経営資源(リソース)の毀損」に着目して考察するBCPです。この考え方に立てば、想定外の事象(原因)で非常事態が発生した場合でも、「リソースの毀損」を前提に戦略・対策を立てている限り、これらの戦略・対策は有効に機能します。
オールハザードBCPの作成はどのように進めれば良いか?
それでは、「オールハザード型」BCPはどのように構築すれば良いのでしょうか。
MS&ADインターリスク総研は、既に「従来型」BCPがある企業においては、それを廃止して一から作り直すのではなく、「オールハザード型」の考えを「付加」することで、これまでのBCPを見直す・ブラッシュアップすることを推奨しています。その際重要となるのが、避難誘導や安否確認など人命に関わる「初動対応」と、重要な業務の継続、復旧を優先する「事業継続・復旧対応」を分けて整理することです。
具体的には、リスクが顕在化した直後の「初動対応」においては、地震や水災、感染症等の「原因」によって対応内容が異なること、また、人命安全確保に関連した非日常的な対応を求められることから、個別のリスクごとに想定されるシナリオに応じた、具体的な対応内容を記した手順・マニュアルを定めておくことがむしろ有効です。したがって、「従来型」BCPで定めた「初動対応」部分は、そのまま活用する方向でブラッシュアップすると良いでしょう。
また、「事業継続・復旧対応」においては、「リソースの毀損」を前提に、現地復旧戦略、代替拠点戦略、在庫の積み増し戦略、他社との連携戦略等の事業継続戦略や、これら戦略を実現するための事前対策を講じていくことになります。この際「従来型」BCPで想定していた「リソースの毀損」を前提に構築した戦略や事前対策はそのまま活かしながら、他の「リソースの毀損」が発生する可能性や、「リソースの毀損」の発生状況が変わった場合に既存戦略のままで問題ないか等を検証・ブラッシュアップしていくと良いでしょう。
前述のそれぞれのリソースごとに結果としての損害程度をいくつかのパターンで想定し、対応策を検討しておくことで、実際に災害が発生した際の結果の程度に応じて、あらかじめ定めておいた計画のどのパターンに近いかを確認したのちに計画を実行していくことになります。この方式は、従前のシナリオ型による最悪の状態のみを想定した場合よりも柔軟な対応が可能となる可能性が高いです。