大震災と事業継続管理第6回「BCP策定状況と災害時復旧事例」

特集特集

2011年10月6日（木） 08時00分

事故や災害に備える事業継続管理(BCM)が十数年前から議論され、国際標準化に向けた作業も進められています。日本でも都市圏の直下型地震の発生が懸念される中、ガイドラインが制定され、企業や行政機関において事業継続計画(BCP)を立案するところも増えてきたところです。

そんな中、未曾有の大地震である東日本大地震が発生しました。今回の地震は、関東から東北にかけた極めて広い地域で被災してしまったことが、想定外の状況だったと言えます。コラムでは、何回かに渡って災害発生時における事業の継続性に焦点を当てて報告しています。今回は、BCPの策定状況やBCMの新しい視点について触れていきます。

事故や災害に備える事業継続管理（BCM）が十数年前から議論され、国際標準化に向けた作業も進められています。日本でも都市圏の直下型地震の発生が懸念される中、ガイドラインが制定され、企業や行政機関において事業継続計画（BCP）を立案するところも増えてきたところです。

そんな中、未曾有の大地震である東日本大地震が発生しました。今回の地震は、関東から東北にかけた極めて広い地域で被災してしまったことが、想定外の状況だったと言えます。

本連載では、何回かに渡って災害発生時における事業の継続性に焦点を当てて報告しています。今回は、BCP策定状況やガイドラインについて触れていきます。

●BCPの策定の状況

（1）全体状況
内閣府の調査による防災計画の策定状況をみると、大企業では55%が防災計画を策定しています。他方、「策定予定なし」とする企業が9%あり、「策定予定あり」とする企業8%と合わせると、現在防災計画を持たない企業は17%に達します。

中堅企業では、防災計画を策定している企業は36%と半数に満たないのが現状で、「策定予定あり」とする企業が16%、「策定予定なし」とする企業が30%となっています。

信金中央金庫の中小企業を対象とした調査によると、BCPを策定（予定を含む）している企業は、9.7％にとどまっています。策定のきっかけとしては、「業界団体からの薦め（3.7％）」の割合が比較的高く、逆に策定していない理由としては「よくわからない（36.7％）」が最も高かったようです。今後、周知が進めば、BCP策定に向けた動きが広がる可能性も考えられます。また「当社にはBCPは必要ない」との回答も17.7％ありました。

企業規模別にみると、規模が大きいほど策定予定の割合が高まっています。また、各県によると、中小企業のBCP普及率は岩手が1割強、宮城は3割弱にとどまる程度であると言われますが、実際には、宮城県の調査BCP策定率は10％程度、80％以上の人がBCPを知らなかった、BCPの意味を知らないとの統計もあります。

（2）業種別・県別防災計画の策定状況
業種別に防災計画の策定率をみると、金融・保険業が51%と最も高く、次いで運輸業49%、情報通信業44%、製造業43%、となっています。

企業の事業継続及び防災の取組に関する実態調査（内閣府防災担当）
http://www.bousai.go.jp/kigyoubousai/jigyou/keizoku08/08_shiryo03.pdf

第137回全国中小企業景気動向調査（信金中央金庫総合研究所）
http://www.scbri.jp/PDFtyuusyoukigyou/release/release137.pdf

●BCPによる復旧の好事例

（1）メリルリンチの例
9.11テロの後、筆者は情報セキュリティを中心とした米国調査を実施しましたが、BCPの模範例として良く出てくる例がメリルリンチです。米国投資銀行のメリルリンチでは、崩壊した貿易センタービル（WTC：ニューヨーク・ワールド・トレードセンター）に入居していたため、9.11テロに見舞われてしまいました。BCPを既に作成し、事件前の5月に本社機能停止に備えた2日間におよぶ全社大規模模擬訓練実施していたことから、テロの際には指令センターの立ち上げや従業員避難行動が極めて円滑に実現できたようです。その結果、攻撃翌日には公債市場を再開したとのことです。もともと飛行機を衝突させるというテロを想定していたわけではなく、基幹サービスの事業継続に不可欠な重要要素の喪失を想定していました。想定しうる最悪の状況設定ができていたことから、BCPの対象とすべきリスクであるかどうかに限らず、あらゆるリスク（異常事態）が発生した場合の緊急時対応を判断できるシステムを構築しておいたことが、柔軟なBCP運用につながったということでしょう。

（2）リケン精密の例
2007年新潟県中越沖地震の地震でリケンの新潟県柏崎工場が1週間生産停止したため、主要自動車メーカー12社すべてが生産をストップさせてしまいました。1週間で復旧できたのは、トヨタをはじめとする各自動車メーカーのBCPがあったからとの指摘もあります。被災翌日から自動車メーカー、オートバイメーカーや関連業者らが支援を実施しました。支援活動は、地域の病院や避難所にも及びました。これは、市民の多くがリケンやそのグループ会社に勤めている中で、地域の復興なくしてリケンの復興はあり得ないことを理解していたから、ということでした。このリケンの対応は、結果としてBCPがうまく達成できていたからでしょう。

リケンの挑戦～BCPの本質を問う～（リスク対策.com）
http://www.risktaisaku.com/Home/jishin-bcp/article146

（3）宮城沖電気の例
2003年の三陸南地震と北部連続地震で約30億円の損害を蒙った経験から、同年BCMチーム発足してBCPを作成しました。その後、2005年に宮城地震発生。工場はストップしたものの、大きな損害はなく、24時間で1ライン復旧、わずか6日でフル稼働状態にできました。

●上場企業200社緊急アンケートを実施「今回の震災後」

情報セキュリティやIT政策に詳しいHH News ＆ Reports誌では「策定したBCPが今回の震災で機能したか」「ITが役立った点はどこか」「見えた課題は何か」等に関するアンケート調査を実施しています。企業の策定したBCP・BCMがどの程度機能したのかがわかります。

BCP・BCMを策定していた企業は全体の8割以上の25社。このうち約6割が、策定したBCP・BCMについて「かなり機能はしたが、課題点もあった」としています。一方、BCPを策定していない、もしくは策定中だった企業では「無我夢中で対応し、その場その場で発生する事象に対処していた」ということで、効果的に迅速な対応が困難であったことが伺えます。

ITを利用することでBCP・BCMに役立った点に関する質問では、「災害時などの安否確認・連絡手段にメール等を利用」が全体の8割以上、次いで上位に入ったのは「イントラネットなどによる情報共有」「TV会議システムなどシステムを利用した緊急時の意思決定」となりました。メールを含めたネットワークの活用が必要不可欠になっていることがうかがえます。

次に、今回の震災でITを活用したことによる課題に関する質問では、「データセンターが神奈川県にあり、（計画）停電の影響は非常に大きかった」「電力の問題については店舗POPに課題があった」など、「電力の問題で利用に課題があった」と答える企業が3割以上ありました。

通信形態の課題としては、「今回の震災を踏まえ、IT関係においても現状の対策の再評価と必要な見直しを実施予定」「安否確認では携帯メールが到達するのに時間がかかった。被災地付近では携帯が全く使えず、キャリアメール（ショートメールなど）のみが通じた期間があった」など、ITを含め、通信形態に課題を見つけていることが判明しました。

東日本大震災とIT（HH News & Reports）
http://www.hummingheads.co.jp/reports/feature/1105/110523_01.html

セキュリティ対策コラム
http://security.intellilink.co.jp/article/

（林誠一郎）

《ScanNetSecurity》