オールハザードアプローチでのBCP/BCMのススメ ー複雑化するリスク環境で企業に求められるリスク対策とはー

※ BCM（事業継続管理: Business Continuity Management）：BCP（事業継続計画: Business Continuity Plan）策定や維持・更新、事業継続を実現するための予算・資源の確保、対策の実施、取組を浸透させるための教育・訓練の実施、点検、継続的な改善などを行う平常時からのマネジメント活動。経営レベルの戦略的活動として位置付けられる。

※※ 事業影響度分析（BIA: Business Impact Analysis）：事業の中断による、業務上や財務上の影響を確認するプロセス。
重要な事業・業務・プロセス及びそれに関連する経営資源を特定し、事業継続に及ぼす経営等への影響を、時系列に沿って分析する。例えば、①重要な事業の洗い出し、②ビジネスプロセスの分析、③事業継続に当たっての重要な要素（ボトルネック）の特定、④復旧優先順位の決定、⑤目標復旧時間・目標復旧レベルの設定の手順を踏む。

3. What｜オールハザードアプローチとは何かーBCP/BCMにおける位置付けと特徴

オールハザードアプローチとは、地震、風水害、感染症、サイバー攻撃など、特定の災害やリスク要因（ハザード：原因事象）そのものを起点に対策を立てるのではなく、事業にどのような影響が生じるかを起点に、横断的な備えを構築する考え方です。

従来型のBCPでは、「地震」「風水害」「感染症」といったハザード別にシナリオを想定し、それぞれに対策を整理するアプローチが多く見られました。一方、オールハザードアプローチでは、例えば以下のような、事業継続に直接影響する状態（結果事象）に着目し、対策を整理します。

• 拠点が使えなくなる
  
  
• 要員が確保できない
  
  
• システムや通信が使えない
  
  
• 電力・水・燃料などのインフラが止まる
  
  
• 物流やサプライチェーンが途絶する

原因事象ではなく結果事象に着目することで、原因が自然災害であっても、感染症であっても、サイバー攻撃であっても、同様の事業影響に対しては、共通する対応方針や対策を整理しやすくなります。

内閣府の事業継続ガイドラインでも、BCMは自然災害に限らず、大事故、感染症のまん延、テロ、サプライチェーン途絶、サイバー攻撃など、事業中断をもたらす可能性があるあらゆる発生事象に適用可能とされています。特にBIAでは、原因を問わず、事業が停止した場合の影響を評価することが重視されています。

もっとも、オールハザードアプローチは、個別の災害想定を不要にするものではありません。地震、風水害、感染症、サイバー攻撃などは、それぞれ発生の仕方や影響の広がり方が異なるため、個別ハザードに応じた分析や対策も必要です。重要なのは、個別の想定に過度に依存するのではなく、複数の危機に共通して必要となる対応能力を整備し、想定を超える事態にも柔軟に対応できる事業継続能力を高めることです。

4. Gap｜オールハザードアプローチの必要性は高いが、結果事象型への転換はまだ進んでいない

しかし、オールハザードアプローチの必要性は高まっていますが、企業の実務として十分に浸透しているとは言い難い状況です。

企業は、大地震等の自然災害、感染症のまん延、テロ等の事件、大事故、サプライチェーン（供給網）の途絶、突発的な経営環境の変化など不測の事態が発生しても、重要な事業を中断させない、または中断しても可能な限り短い期間で復旧させるための方針、体制、手順等を取りまとめ、BCPとして策定しています。

しかし、その中で「災害を特定せず、災害から生じる結果への対応」を対象としている企業は14.7%にとどまっています。¹  依然として多くの企業では、地震、水害、感染症といったハザードごとに対策や担当部署が分かれているため、拠点停止や人員不足といった結果事象で横断的に捉える視点が組織的に成立しにくいという実態があります。

また、リスク対応を実施していく上での課題としては、「自社従業員への取組の浸透」が86.2%、「取組時間・人員の確保」が48.4%と高く¹ 、個別リスクごとの計画を増やすほど、更新や訓練の負荷が高まり、結果として実効性が損なわれやすいことが示唆されています。

すなわち、オールハザードアプローチが進まない本質的な要因は、対策手法そのものの不足ではなく、リスクを原因事象で管理する思考と、それに基づく組織・運用にあるのです。

5. How｜オールハザードアプローチをBCMに組み込むには、小さく始めて横展開する 

オールハザードアプローチをBCMに組み込むに当たっては、全社のBCMを一度に全面改定する必要はありません。まずは、影響の大きい重要業務を1つか2つ選び、「その業務を止めないために何が必要か」という検討から着手することが現実的です。

次に、その業務を停止させる要因を、地震や感染症といったハザードではなく、拠点停止、人員不足、インフラ途絶、物流停止といった結果事象で整理し、どこに共通ボトルネックがあるかを特定します。

そして最後に、そのボトルネックに対して、代替拠点、要員の多能化、バックアップ、複線調達など、複数リスクに共通して有効な対策を設計し、BCMも災害別ではなく状態別の対応として再整理します。

内閣府ガイドラインも、BCMは最初から完璧を目指すのではなく、できることから開始し、継続的改善によって事業継続能力を高めていくことを推奨しています。

この考え方は、既に実務の中でも実装されています。

内閣府が示す企業事例⁴ では、災害種別ごとに対応を分けるのではなく、初動対応、要員確保、資源確保、顧客対応といった機能単位で体制を整理し、どのような事象が発生した場合でも共通して機能する仕組みを構築しています。

例えば、株式会社白謙蒲鉾店では、災害時の役割を「製造・工場復旧」「営業」「資金・保険」のように整理して初動対応を明確化するとともに、サプライチェーン企業まで視野を広げて、遠隔地工場での代替生産を検討しています。⁴ 

また、株式会社広域高速ネット二九六では、全社員参加のインパクトベースのBCP訓練を繰り返し行い、その振り返り結果を継続的にBCPへ反映しています。⁴ 

さらに、内閣府の簡易パンフレット⁵ でも、仕入先の確認、仕入先の複数化、企業内の代替、企業間連携といった対策が、特定の災害に依存しないサプライチェーン対策として整理されています。

つまり、オールハザードアプローチとは、災害別に計画を増やすことではなく、機能別・影響別に再構成することによって、既存BCMを強化する取り組みです。

6. So what｜オールハザード型BCMは、「想定外」に強い経営基盤をつくる

近年のリスク環境を踏まえると、結果事象に着目するオールハザードアプローチの必要性は高まりつつあります。また、このアプローチは、原因が地震であっても感染症であっても、あるいはそれらの複合事象であっても、同様の結果事象であれば共通の枠組みで対応することが可能になるため、企業経営にとっても大きな便益を持ちます。

従来のハザード別対策では、想定していない事象が発生した場合、計画そのものが機能しないおそれがあります。しかし、結果事象を起点に対策を設計することで、想定外の事象に対しても、既存の戦略・対策を一定程度活用することが可能になります。

このことは、単なる効率化にとどまらず、「想定外」への対応力を高め、計画の汎用（はんよう）性と持続可能性を向上させます。

内閣府ガイドラインでも、さまざまな発生事象に共通して有効な戦略・対策が望まれること、さらにBCMへの取り組みが、新たな顧客獲得や取引拡大、投資家からの信頼性向上といった平時の企業価値向上にもつながりうることを示しています。

すなわち、オールハザード型BCMとは、不確実性に強い経営基盤を構築するためのアプローチなのです。

サマリー 

リスク環境が多様化・複雑化する中、企業は従来のハザード別対策から結果事象起点のオールハザードアプローチへ転換することで、不確実性に強い経営基盤を構築できます。