事業継続リスク＝災害リスク？

事業継続マネジメントの重要性が上がっている？

近時では、事業継続マネジメントシステム（BCMS）についてのご相談が増加しております。一時期は、事業継続計画（BCP）策定のご相談が主だったのですが、その先にあるBCMSの構築・運用、さらにその先にある認証（ISO22301認証）の取得についてのご相談が増えており注目度が増していることが伺えます。

原因は想像するしかないのですが、サプライチェーン管理の厳格化に伴う顧客要求による取組の他、環境・労働安全・情報セキュリティといった外部から要求されることが多いテーマの対応に一通り手を付けられた組織が、本腰を入れ始められたように感じられます。

先入観や固定観念に囚われていませんか？

そのようなケースでは、ある程度BCPの策定やBCMSの構築にお取組みになった状態でご相談いただくことがありますが、どうしても地震等の災害から顕在化するリスクに目が行きがちであるという印象です。日本という国の特性上致し方ないと言えますが、固定観念に囚われてしまうのは勿体ないです。

例えば、皆さまもサイバー攻撃による被害をニュースでご覧になる機会が増え、実際にサプライヤーのサービス中断等の影響を受けているケースも有るかもしれません。また、ランサムウェアによって情報資産を利用できなくなるような状況や、ウィルスによってシステムやネットワークが機能しなくなるような状況は、大半の組織が無視できない問題であり、かつ、同じ確率ではありませんがどのような組織でも起こり得る問題です。

サプライチェーンを狙った攻撃が増えている昨今、中小企業が狙われないという保証もありません。このようなサイバー攻撃に伴うリスクも事業継続リスクのひとつです。勿論、災害から顕在化するリスクも重要ではあるのですが、それだけでは片手落ちと言わざるを得ません。厳しい言い方をすれば、災害を取り上げてBCPの形を作っただけで満足してしまっているケースが散見されます。

視野を拡げましょう

BCPの策定やBCMSにおいて特定すべきリスクは、対象とする業務において必要とされる資源に関するリスクとされています。もう少しかみ砕けば、その資源を利用することができなくなるようなリスクです。

当然のことながら、人や物理資産だけでなく、情報そのものやシステム・ネットワークなども資源に含まれます。人によっては、地震等の災害に関連するリスクよりもサイバー攻撃によるリスクのほうが、すぐそこに迫ったリスクのように感じられるかもしれません。

今回はサイバー攻撃を例に挙げましたが、事業継続リスクは他にも無数に存在します。今だと世界情勢の変化に伴う半導体などの調達リスクが良い例かもしれません。取り組まれる際には、リスク＝災害といった固定観念を捨て、それ以外のリスクにも目を向けることをお奨めします。