BCP(Business Continuity Plan)は、企業が自然災害やテロ攻撃などの緊急事態に遭遇した際、損害を最小限にとどめつつ、「事業継続」あるいは「早期復旧」を目的として、平常時あるいは非常時における事業継続の手段などを取り決めておく計画のことである。
2006年5月にいわゆる「新」会社法が施行され、同年7月に金融商品取引法が成立した。金融商品取引法は日本版SOX法ともいえる条項を含み、企業に対し内部統制の確立とその開示を要求している。会社法では、企業活動全般におけるリスク管理体制の整備と開示を企業に対し求めている。
両法は企業に対し直接BCPを義務付けているわけではない。だが、地震やテロなど非常時における事業継続を図るためのBCPはリスク管理の大きなテーマの一つだ。そして金融機関にとってはITと不可分の課題でもある。大手米銀、大手邦銀、日系大手証券、米大手証券の4社のBCP担当者に最新状況や課題を語り合ってもらった。司会は、野村総合研究所の三宅将之ERMプロジェクト室長。
司会 BCPについて、皆さんが取り組んでいることを可能な範囲でお話しいただきたい。
大手邦銀 銀行でBCPの重要性が再認識されたのは01 年の米国同時多発テロだ。9.11 テロは、ニューヨークのウォールストリートに近いところで起き、実際に債券の決済が滞るということがあった。03年の8月には「北米大停電」と呼ばれる広い範囲での停電が起きた。日本では地震の危機がBCP上、重視される。さらにテロや鳥インフルエンザという新しい脅威に対しても、いかに業務を継続していくかという意識が広がってきている。
日系大手証券 証券会社においても、9.11は大きかった。それまでの「防災対策」「防犯対策」から「業務継続」「危機管理」に変わり、社内体制が整備されるようになった。05年4月に経済産業省、8月には内閣府から事業継続ガイドラインが出て、06年2月には日本証券業協会が「証券市場全体のBCP構築に向けた取り組み」を発表した。このきっかけとなったのは、05年11月、12月と相次いだ東証のシステム障害や誤発注。証券業界としても、業務継続を考えなければいけないという機運が高まった。かつては証券会社にお預けいただいている資金は、生活資金であるという感覚が薄かった。オンライントレードの拡大と共に「証券取引は特定のお金持ちだけのもの」といった考えが払拭された。
一番の課題は「優先順位」
司会 BCPの対象となる業務範囲は広がる方向にあるが。
日系大手証券 金融機関は「IT装置産業」だ。つまり、業務を継続するのは、システムを動かし続けるということで、「この業務が重要だから、このシステムが重要だ」と一対一に対応付けることが難しい。システムは業務ごとに分割できないため、議論していくと「では全部」という話になる。しかし、全システムを二重化するのは、経営に大きな影響を与えるほどの投資となる。どう調整するかが一番難しい。
司会 先行して取り組み、試行錯誤されてきた大手米銀さんはどうか。
大手米銀 外資系では、危機管理が企業の文化として根付いているので、「具体的にどうするのか」という議論がやりやすい。例えば、会議で復旧する順位を話し合ったとしても、常識的なところに落ち着く。
司会 米国大手証券はどうか?
米大手証券 部門制が明確で、株式部や債券部、投資銀行部は独自のサイフを持っている。自分たちが困らないようにするために、自分たちのお金を出す。「予備システムでも東証との接続を維持してくれ」といった明確な意見が出てくる。9.11以前はBCPの「C」は「コンティンジェンシー(Contingency :不測の事態に備えること)」であり、何か起こったときの数週間を考えればいいという意識だった。それが9.11後は、「コンティニュイティ(Continuity:継続)」になった。
具体的には、私どものニューヨークの本社は2つのビルがあり、現場から離れたビルは1カ月くらいで復旧したが、現場近くのビルには半年くらい入れなかった。このことをきっかけに、数週間単位ではなく数カ月単位で考えるようになった。今本社で作っている「緊急時における人の割り振り」を見ると、ひとつのビルがダメになっても、もうひとつで完全にカバーできるくらいにまで対応策が練られている。
司会 米国大手証券さんが言うようなコンティニュイティのためには、相当投資が必要になる。やはり優先順位を設定せざるを得ない。
大手邦銀 銀行では、とにかく決済が最優先。基幹系と呼ばれる決済システムに対する要求水準は高く、瞬時にホットスタンバイと呼ばれる予備のシステムが立ち上がらないといけない。その一方で情報系や本部の業務の優先順位付けは難しい。当行のBCPは各部署で作った業務継続計画を元にすべての業務をカバーしているが、実際に何か起こったときに、何を死守し、何を捨てるのかという「優先順位付け」は依然として大きな課題だ。日本企業は部門ではなく全体を考えるため、なかなか進まない。
日系大手証券 内部統制では、「手作業でやっているもの」「システムがやっているもの」を可視化し、マッピングできれば、重要なシステムを特定でき、どこにリスクがあるか分かる。本質的にはBCPも同じだ。日本の企業はプロセスを分析することに弱く、重要なプロセスがきれいにマッピングできていない。プロセスが明らかになれば、対策しやすくなる。
大手邦銀 銀行ではシステムが相乗りになっている。例えば為替のシステムは、個人のお客様はもちろん、法人や外国為替業務も相乗りしていて、誰がオーナー(システムの所有者)なのか決めにくい。
司会 確かに外資系ではシステムオーナーという意識がある。
米大手証券 例えば、株式サーバーと債券サーバーを全社で共有するのではなく、商品部がビジネスオーナーとして、商品部のための株式と債券のサーバーを持っているという感覚で運営している。IT部門というくくりよりも、業務部門のくくりが非常に強い。
日系大手証券 日本企業では「ITはIT部門のものだろう」と言う。業務部門がオーナーという意識と決定的に違う。
外資系と日本企業の意識の違い
 |
| 図●BCPのポイント [画像のクリックで拡大表示] |
司会 BCPを推進していく上でのコツとは?
大手米銀 実験してみることだ。会議だけでモノゴトを決めていると、本当は重要ではない部署の役員の声が大きい場合、その優先順位が上がり、逆におとなしい部署は順位が下がる。そんな問題の解決に一番効果があるのは「実際にテストしてみる」こと。過酷な状態を想定してBCPのテストを行う。決済系の人たちは走り回っているのに対し、管理部門は終了してくつろいでいる。そういう状況を見れば、いろいろ言っていた人も黙らざるを得ない。これを繰り返していけば、説得力のある議論ができるようになる。
司会 役員から従業員までBCPの重要さを認識させるわけだ。
大手米銀 本部で行うマネジメント会議では、今後どうするかというテーマの中に、必ずBCPが入っている。部署ごとに予算があり、毎年テストのための費用が組み込まれている。予算の中に入っているから、われわれとしてもやりやすい。
司会 新規の顧客数や売上高、利益だけではなく、BCPテストまで予算化していると……。
大手米銀 米国の金融機関は皆同様ではないか。年に1回、当局にBCPの報告書を出さなければならない。各国の責任者が報告書に署名した上、最後に本社の社長が署名して政府に提出する。署名している以上、BCPの現状を知らないでは済まない。
大手邦銀 日本の銀行は、金融庁の検査でBCP が確認される。BCPを作っていない部署があればバツだが、全部作っていればマル。ただし、業務別の優先付けの内容まではバツが付かない。
司会 日本企業では、「大体できている」ということで終わりになる。欧米企業では、「何を求められているのか」「どこができてないのか」を認識してBCPを向上させているのが大きな違いではないか。
大手邦銀 先ほどの「テストをして問題点を洗い出す」ことについて、日本企業でもできないことはないだろう。ただその場合、想定していない問題が洗い出されることに対する恐怖感が強い。つまり「こういうことは想定してなかったのか」と咎められる恐怖とでも言うか……。
日系大手証券 会社としてBCPを作り、執行役会に報告している。BCPの本質的な議論をしようという流れになっていることは間違いない。ただBCPに誰が責任を持つのかが、なかなか固まらない。
誰がBCPの責任者か
司会 誰が責任を持つのか―。結局のところ、米国のリスクマネジメントのシンポジウムなどにおけるキーワード、「Corporate Risk hasbecome Personal」につながる。
日系大手証券 担当役員を決め、組織を決める必要がある。ただ防犯・防災管理では総務部門が対策を練っていて、それなりにできる体制は整備している。その一段上のBCPが会社として機能するかには不安があるが。
大手邦銀 日本の金融機関の良い点は、何か起きるとみんなが集まって対策を講じること。実際に災害が起きたとしても、それなりに機能はするだろう。ただそれでは暗黙知のままなので、大手米銀さんのように、BCP責任者を明確にした上でBCPテストをすることが必要だろう。
司会 外資系では、業務部門が責任を負うという話だが。
大手米銀 システムは業務部門のものという意識が強い。語弊があるかもしれないが、日本企業では業務部門から見ると社内下請け的に、システム部門へBCPを含めて丸投げする傾向がある。外資系では、自分のビジネスは自分で最後まで面倒をみる。「システムを二重化するのに何億円かかります」という話があれば、お金を出すオーナー部門が決断を下す。
SARS、テロ―新たな脅威
司会 起こりうる最悪の事態をどの程度まで考えているのか。
大手邦銀 リスクも限度があるという想定で進めている。例えば阪神大震災のような直下型の場合、被害の地理的範囲は限定的だ。実際、阪神大震災のときには2 日もすれば電力や通信は復旧した。怖いのは、オフィスとデータが壊れること。データについては基幹系はともかく、すべてをバックアップできているわけではない。オフィスの損壊はバックアップセンターで対応するとしても、影響が長期化する。
大手米銀 社会的なインフラ状況の把握ができないと、地震については、個別の企業が考えても限界がある。
司会 テロや鳥インフルエンザなど新たな脅威に対しては?
大手邦銀 重症急性呼吸器症候群(SARS:サーズ)の患者が出ると、感染の恐れのある場所がすべて閉鎖される可能性がある。それが重要なシステムメンテナンスを要する場所であったら、どうなるか。従来のBCPでは想定したことのない状況に陥る。悩ましい。
米大手証券 BCPはシステムの話ばかりになりがちだが、結局は人。人が動けなくなる可能性を想定しないとダメだ。自宅で仕事ができるかといえば、管理面やコンプライアンスを考えるとできない。そういう部分をどうするかというのが次の課題になる。
司会 話は尽きないが、お開きとさせていただきます。ありがとうございました。
