あの日、動かなかったBCP 初動対応におけるBCP(事業継続計画)の落とし穴

alt

危機管理において、平時からの準備の核となるBCP(事業継続計画)の普及が進んでいます。一方で、いざ有事となるとうまく運用できなかったという声も上がっています。本稿では特に難しいといわれる初動対応の単純な落とし穴について解説します。

※当記事はFRAUD マガジン84号(2022年2月発行)にて掲載された記事を、掲載元の許諾を得て、一部改訂して転載しています。

それは1本の電話から始まるはず、だった

12月に入り、年度末に向けた監査法人との調整をいったん終えた経営企画部シミズ主任が、その日の業務報告を電子メールにて送信すると、"メールの配信に失敗しました"とPCの画面に表示された。
「今、システム障害なんでしょうか?」

隣の席の、ナカシマ部長も怪訝そうな顔で画面を見つめ、「会計システム動かないみたいだね。」

隣の席のサトウ課長も「ファイルサーバも動いてないですね。」

3人は顔を見合わせ、「まずいな...。」と無言で確認し合った矢先に、社長が部屋に飛び込んできた。
「いったい、どうなってるんだ!」
慌てて、情報システム部に電話をかけるも、通話中でつながらない。他部門にも連絡してみた結果、プロバイダーが停電(ではないか)、データセンターが火災(かもしれない)、交通事故で電柱が倒壊(という恐れもある)などなど、全く要領を得ない。その後、数時間にわたって情報収集に努めるも、結局のところ確たる情報はなく、経営企画部に事件の概要を伝える連絡はもたらされなかった。◆ポイント1

我が社にはBCPがある、はず

一方で、各部門から「物流が停止している。」、「顧客データが見られない。」、「請求書が発行できない。」など、悲鳴に近い声が次々と寄せられるようになり、3人はひとしきり対応に追われるも、具体策を求める各部門からの要請に困惑するばかりだった。

定時を過ぎようとした頃、情報部門からようやく第一報がもたらされた。どうやら、サイバー攻撃を受けたとのことだが、状況は分かっていないと言う。「どれくらいの被害ですか?」、「いつ直りますか?」、「犯人は誰ですか?」、「いったん従業員は帰らせてもよいですか?」などなど、矢継ぎ早の質問にすべて、「わかりません。」という回答を得たのち、ナカシマ部長が「まさか、内部の犯行ってことはないよね...。」と言ったところで、一同黙り込んでしまった。
状況を見るに見かねたのか、会社の"生き字引"として知られる、総務のアベ部長がそっとひと言。
「BCPがあるんじゃないのか?」
 ナカシマ部長とサトウ課長が顔を見合わせてうなずき、経営企画部に光が差した瞬間だったが、シミズ主任が申し訳なさそうに、「実は、書類一式を動いていないファイルサーバに入れたままでして...。」◆ポイント2

ようやく発見されたBCP一式、だが

そこから家探しが始まった。どこかにハードコピーに打ち出したものがあるかもというナカシマ部長の意見のもと、他部門を巻き込みながら、シミズ主任が、「ありました!」と角が折れた紙の束を経営企画部にもたらした頃には、すでに深夜になっていた。発掘されたのは『危機管理規程』なるものだった。

「まず、管理本部管掌取締役が危機検討委員会を招集してですね...。本件の事実関係に沿って、用意された適切なプランを参考に...。」
先んじて『危機管理規程』を読み込んだサトウ課長が、その内容の説明を始めるや否や、「管理本部って、3年前に無くなったのではなかったでしたっけ?」、「危機検討委員会って誰を招集するの?」、「本件の事実関係って何を指すんですか?」、「適切なプランってもうあるの?」
立て続けに出てくる問題点に首をひねりながら、ナカシマ部長は『危機管理規程』の最後のページにふと目を留めた。
「これ、最後の改定が5年前だな」◆ポイント3

アメリカ同時多発テロ事件、東日本大震災といった大規模な事件・災害を契機に、危機に際し、いかに事業継続性を担保していくかという議論が企業においても進んでいます。平時からの危機対応への準備の核となるのがBCP(事業継続計画)と呼ばれる、危機管理のための一種の計画書です。BCPは危機管理規程のような基本的な考え方と運用方針を示すものから、想定されるビジネスインパクトや具体的な復旧ガイドラインにいたるまで、複数の事前検討に基づいて作成されます。
今回の事例は、BCPの運用において、初動対応(*1)と呼ばれる、危機が起きてからの最初のフェーズにおける一幕です。

*1:初動対応に特化した計画をコンティンジェンシープラン(緊急時対応計画)として、別途計画を策定する場合もありますが、本稿ではBCPの一部分として扱っています。

◆ポイント1:エスカレーション

いかなる危機対応も、そもそもその報告が経営まで届かなければ始まりません。エスカレーションルートが混乱したり、そもそも設定されなかったりすると、会社はいつまでたっても対応が開始できません。初動対応においては、まずは正確な事実確認が重要ですが、ルートが整理されていない状況では、様々な流言飛語が飛び交う中、何が起こっているかを手当たり次第探っていくしかない状況となってしまいます。平時からの対応として、どういった場合において、どう経営までエスカレーションするかについては準備が必要です。

◆ポイント2:ファシリテーション

肝心のBCPも、いざというときにそれが閲覧できないのでは全く意味を成しません。このケースでは経営企画部における状況ですが、災害対応であれば、営業部門や工場などでも必要なファシリテーションがあります。また、事故やハラスメントなどでは従業員個別のファシリティが必要になってきます。危機管理にまつわる冊子の配布や、いざというときのハードコピーでのファイリングなど、必要な資料をすぐに参照できる状態を常に整備しておきましょう。

また、初動対応時点では、直面している課題が何かしらの不正行為によるものか、過失によるものか、事故や事件に巻き込まれたのか、といった基本的なことすら把握できないケースもあります。そういった場合は課題自体を把握するための初期調査を速やかに行う必要があります。会社の存続を脅かすIT不正やIT犯罪などのダメージに対し、CFEは不正リスクに関する専門的な知識と調査技術を応用した迅速な課題把握と調査設計を通じ、初期調査支援が可能です。

◆ポイント3:定期レビュー

環境の変化や法令対応、組織変更など、企業を取り巻く状況は変化しています。そういった内容は、BCPを構成する上での重要な前提条件です。作って終わりではなく、状況の変化に対応すべく、定期的に見直しを図る必要があります。
前提が変われば、判断も変わることもあり得ます。間違った前提のままBCPを運用すれば、結果にも影響を及ぼします。

初動対応は、危機管理全体の成否を分けるという言い方をされますが、ここでの失敗はその後の危機対応の推進のみならず、平時からの準備不足として、経営のありかた全体に対し、メディアやステークホルダーからマイナスの評価を与えられることになりかねません。事前に準備可能なものについては、平時から検討を行っていく必要があるでしょう。

デロイト トーマツ ファイナンシャルアドバイザリー

デロイト トーマツ ファイナンシャルアドバイザリーでは、多様な専門性をもとに、M&Aやクライシスマネジメントなどに係るプロフェッショナルサービスを提供しているほか、大きく変革する状況に対応するべく、我々が持つ専門性を新しい形で届けるために、プラットフォームやアプリケーションなどを介しての取り組みを開始しています。「FA Portal」はこの取り組みの1つとして展開しているWebメディアであり、社会課題や近年のビジネスキーワードなど、さまざまなトピックについて、専門家の視点からさまざまな情報を発信しています。


NEXT STORY

カスペルスキーはサイバー犯罪における「救世主」なのか?

カスペルスキーはサイバー犯罪における「救世主」なのか?

2017/06/03

カスペルスキーとは、モスクワに本社を置くサイバーセキュリティー会社です。サイバー攻撃に北朝鮮が関与している可能性が強いとの見方を示したことで、この名前をこのところ頻繁に耳にするようになりました。