このシリーズを続けてきた６ヶ月の間にも，ＢＣＰの考え方が少しずつ世間に浸透してきたようで，たいへん嬉しいことです。最後に，エッセンスを整理しておきたいと思います。

 

お話してきましたように，ＢＣＰは，わが国の従来の言葉で言えば『緊急事態対策規定』と同じですから，本来は，どんな組織でも，家庭でも，個人でも，平時から持っておくべき心構えと対策のことです。ところが，わが国の多くの組織には，安全や防災の対策は定められていますが，いざ「起こったときの対策」は非常に貧しいのです。敢えて言えば，さまざまな保険に加入することが唯一の一般的に採用されているものでしょう。

なぜこういう状態なのかについて，第一回で，大泉博士（日本大学）の「日本人の危機意識」についての見解をご紹介しましたが，わたしたち日本人というのは，未来予想が下手なのではないかと思います。

 

わたしたちは，どうしたことか「未来」という言葉に希望や夢という明るいイメージを重ね合わせてしまい，未来に起こりうる不幸な出来事には，知らず知らずに目を瞑ろうとする傾向があるようです。ですから，不幸な出来事に対する事前の対策は保険ぐらいにして，そのほかはなりゆきまかせのような安穏な暮らしをしてきました。

 

一部の公共的使命を有する企業や組織を除いては，企業でも，個人でもみんな同じことでした。もし，不幸なできごとが起こったら，「公（誰か）が助けてくれる」という気持ちが深く浸透しているのです。その信頼が脆くも打ち破られたのが，阪神淡路大震災だったことはご承知のとおりです。助けるべき公共機関も大きな被害に打ちのめされたのです。

 

そのあたりから，わが国でもＢＣＰを必要だと認識する土壌ができてきたのですが，もうひとつのＢＣＰが必要とされる要素は，現代の産業社会が，巨大なネットワークの連環によって成り立っていることです。その中の一企業の被災や操業停止によって，まるでドミノ倒しのようにネットワークの他の企業まで大きな影響を受けることになるのです。

 

まず，大きな災害に遭遇した米国企業の４３％が業務を復旧することができず，２９％が２年以内に廃業に追い込まれるという恐ろしい調査結果をご紹介しておきましょう。（　http://www.nri.co.jp/opinion/it_solution/2003/pdf/IT20030605.pdf　）

 

ところで，企業がＢＣＰを策定するについては，それぞれの事業の脆弱性を分析して，どのパートの事業をどのレベルまで（ＲＰＯ：Require Point Objective），そして，何時まで（ＲＴＯ:Require Time Objective）にリカバリーするのかが定められます。この作業を通じて，自分たちの事業とは，何を通じて，どのような社会貢献をしているのか，また，広範なサプライチェーンの中で，どのような位置にあるのかが問われます。これは，ＢＣＰを策定することの副次的効果ですが，今後の企業経営にとって非常に重要なことだと考えています。

 

すなわち，自分たちの企業の真のコア・コンピタンスとは何かが，あらためて自覚できるはずです。また，自社の事業プロセスの脆弱点やクリティカル・ポイントはどこか明確になります。なお，この優先的リカバリーパート（これはわたしの造語）の判断には，創業者やトップの強い思いもあるでしょうが，マーケティング理論に基づいた，冷静な外部環境と内部環境の分析（ＳＷＯＴ分析）とＰＰＭ（プロダクト・ポートフォリオ・マネジメント）による資源配分の手法が有効だと思います。

 

このように考えていくと，優れたＢＣＰの遂行によって，企業が再生したり，今まで以上に市場の信頼を獲得したりすることのカラクリもよくご理解いただけるでしょう。クライシス発生に備えてＢＣＰを策定することが，実は，肥大化や多角化によって方向性を見失いつつある現代企業の経営理念の確認や経営資源配分の見直しにも大いに役立つのです。

 

さて，e-Japan重点計画における、情報セキュリティ分野の取り組みは「高度情報通信ネットワークの安全性及び信頼性の確保」を目的として，次の八項目が決められています。（http://www.kantei.go.jp/jp/it/network/dai3/3siryou40.php）

 

• • 情報セキュリティにかかわる制度・基盤の整備
  • 政府部内における情報セキュリティ対策
  • 個人情報保護
  • 民間部門における情報セキュリティ対策および普及啓発
  • 重要インフラのサイバーテロ対策
  • 情報セキュリティにかかわる研究開発
  • 情報セキュリティにかかわる人材育成
  • 情報セキュリティにかかわる国際連携の強化

そして，『事業継続計画（ＢＣＰ）策定ガイドライン高度ＩＴ社会において企業が存続するためにー』（経済産業省商務情報政策局情報セキュリティ政策室編，２００５）には，『情報セキュリティガバナンス』という新しい概念のもとで「情報セキュリティ対策を，単なるコストではなく，企業価値を高めるために積極的に取り組むべき投資対象として位置づけることが必要不可欠である。…』と謳われています。

 

最後に，これを読み解いておきましょう。

ＢＣＰにとって，情報セキュリティ問題は，地震や洪水などの自然災害，トップのトラブルなどとまったくかわらないフェーズの対象です。それが，政府のＢＣＰ策定ガイドラインに，わざわざ副題として，情報セキュリティに言及してあるわけはどう考えればよいのでしょうか。

 

言うまでもなくＩＴ化は国策です。しかし，ＩＴ化には，さまざまな課題があります。前回も触れましたがＩＴ化の脆弱性は，企業の近代化，合理化や効率化と表裏一体の関係です。情報流通の促進は，情報漏えいにもその道を拓きかねません。また，高度で複雑な情報システムの構築は，一方でトラブル発生時の迅速な復旧や，その技術の組織的な承継を困難にします（例えば，２００７年問題）。

 

そこで，ＩＴ化には，それらを担保するための仕組み（すなわち，情報セキュリティ）が必要なのです。ただし，留意するべきは，ＩＴ化についてのクライシス・マネジメントは，必ずしもＢＣＰの策定によってのみ達成されるものではなく，情報システム自体の設計における思想も大きな要素を占めると思います。

 

そこが，地震や洪水のような自然災害とは大きく性格を異にする点です。わたしは，人間が，その意思で情報クライシスのレベルや範囲を左右することが出来るはずだと信じたいのです。もちろん，激しい競争社会では，なかなかそういうところまで斟酌するのは困難かもしれませんが，情報セキュリティにおける課題とは，ＢＣＰの策定とともに，システムに内包する脆弱性のカイゼンも必須だと言えないでしょうか。

 

つまり，「情報セキュリティは，コーポレートガバナンスの一貫であり，企業価値を高める」ということの意味は，ひとつには，情報システムの高度化との抱き合わせとして，ＢＣＰも含めた情報セキュリティ確保という手立てが必要だと言うことです。さらに，情報システム化は，そもそもコーポレートガバナンスや内部統制に寄与する方向で設計されなければならないと言うことでもあります。

 

現代の企業経営上の問題点のひとつであるＢＣＰについて，６回を通してお読みいただいたみなさんは，「なんだ！そういうことか」とお感じになられたのではないでしょうか。ＢＣＰという考え方は，よくよく考えてみれば，何時の世もその時代を生き抜く人間の至極当然の智恵のような気がしています。

 

その昔，武士たるものは，布団の中で片足を折って眠ったと聞きます。何か異変のあるとき，すぐに飛び起きるための備えです。いつの間にか，平和と他者依存に慣れきって，生きることへの緊張感が弛んでしまったような感があるわたしたちには，そんな祖先の心構えをあらためて学ぶべき時代がやってきたのです。

 

長い間お付き合いいただき，ありがとうございました。 ―折りしも，ブルーのユニフォームを着た現代のサムライたちのドイツでの活躍を祈りつつ・・・。（おわり）