地震、物理的テロ、サイバーテロが起こっても、サービスを提供し続けることができますか？サービスを継続していくために許容されるコンピュータやネットワークダウンの猶予時間はどれだけあるのでしょうか？ 3日間ですか、24時間ですか、3時間ですか？ 許容時間内にバックアップシステムを稼働させることは可能ですか？データを復旧させることが可能ですか？

事業継続計画（Business Continuity Plan＝BCP）とは、災害や障害発生時に損害を最小限にとどめ、中核となる業務を継続しつつ、早期に全業務を復旧させるために、平常時に事前に立案すべき計画のことです。平常時に行うべき予防活動と、緊急時における事業継続のための方法・手段などを取り決めておくことで、事業が中断するリスクを最低限におさえ、サービスを継続し続けることで、緊急事態が発生する前よりもお客様の信頼を高めることができます。

2001年の同時多発テロ以降、欧米では事業継続計画（BCP）を導入・運用する企業が急増しました。しかし日本では導入が遅れているというのが現状です。私たちがお会いした多くの経営者は「事業継続計画（BCP）を導入したくても、検討に手間が掛かりすぎる」「手順は作ったけど誰も実践できない」とおっしゃいます。こうした感想をお持ちになった経緯をお伺いすると、

という2つに集約されます。

インフォセックは、三菱商事の防衛ビジネスから始まったリスクマネジメントの専業会社として、国内外のBCPに対する高い知見と幅広い情報、日本のビジネスに対する深い知見と経験を有しています。私たちは、このバックグラウンドを最大限に生かし、欧米における標準的な事業継続計画（BCP）の必須事項を取り込んだ上で、日本企業にあわせて使いやすく加工し、早期に危機管理体制構築ができるよう支援する「危機管理ソリューション」を提供しております。

危機に際して現場の協力が得られなければ、対策はできません。危機に瀕してから対策を立案しても間に合いません。平時から準備しておくことの必要性を社員に十分理解させ、対策立案にも協力を得ることが必要です。このため、早い段階でトップから危機に対する全社的な取り組みであることを宣言していただくことも、必要なことがあります。

想定される危機全部対応することは、時間がかかります。その結果、対策が間に合わないということも起こりえます。会社が重視する危機を絞り込み（例えば「人命に関わること」「社会的な信用の大幅な低下」）、その危機が発生しやすい業務を優先的に取り上げて、対策を講ずることが得策です。

対策立案が業務効率を下げるということは、対策実行に当たっても負担が大きくなることを意味します。また、特定の個人に負荷が過重になることも望ましくありません。リスク分析結果と共に、業務効率も視点に加えた体制構築が重要です。

最初から完璧を目指すよりは現場の動機付けを優先し、日常活動に危機管理を意識した活動を取り入れることで、現場が学習し、現場がより効率的な対策を行えるようになります。まず、現場が受け入れられる対策から始めることが重要です。

危機はシナリオのないドラマですから、いくら精緻なマニュアルを作っても、マニュアルに書かれていないことを行わなければならないことがあります。重要なことは、マニュアルの意図することを現場が理解し、柔軟に対応することで企業として最も望ましい行動を現場が取れるようにすることです。現状把握、体制計画、対策実施計画を睨みながら、現場が機動的に動ける規定やマニュアルを、その業務に精通した有識者の意見を聞きながら、共に作っていくことが重要です。

危機管理ソリューションは、上記の考えに従って、危機や業務を絞り込み、全社的な対応組織を構築する基本計画フェーズと、より現場の実態を踏まえ、リスク毎に対応組織を構築する実施計画フェーズに分かれています。もちろん、基本計画フェーズで実施可能なものは、実施計画策定を待つまでもなく、実施すべきです。また、情報セキュリティ・マネジメントシステムなどと同様に、危機管理に関してもPDCAのサイクルにより、逐次向上していくことが求められます。