前回は、富士通が提供する安心安全ソリューション「SafetyRing」の中のIT全般統制を支える「セキュリティソリューション」について、概要から具体的な製品までを紹介した。今回から2回は、「SafetyRing」のもう一つの柱である「事業継続ソリューション」について、富士通自身の取り組みを軸に、富士通総研 第三コンサルティング本部 BCM事業部長（兼）富士通 BCM推進室員 伊藤毅氏に話を聞く。

　ビジネスのグローバル化、複雑化に伴い、自社だけで完結するビジネスはあり得なくなっている。調達先や納品先はグローバルかつ複雑になり、一社の製品やサービスの供給がストップするだけで、サプライチェーン全体の活動がストップしてしまう。
　2008年には事業継続のISO化も予定されており、社会的要求がより一層強まることは必至である。国内でも、経済産業省から「事業継続計画策定ガイドライン」が、内閣府から「事業継続ガイドライン」が出されており、取引先を評価する基準として、事業継続マネジメント（BCM）が求められ始めているのだ。もとより日本は地震国であり、数十年以内には首都圏、東南海などでの大地震が予想されている。これは今に始まったことではないが、その備えに対する要請は一段と高まっていると言えよう。

　伊藤氏は、「富士通も、グローバルなサプライチェーンに組み込まれており、ビジネスを止められないという非常に大きな危機感がありました。もちろん、顧客からの要請も強まっており、いち早く2004年からBCMに取り組み始めました」と語っている。

　BCMを推進するためには、まず体制の整備が必要だ。そしてプロジェクトがスタートしたら、ビジネスリスクの把握から着手する。そもそもリスクを可視化しておくことは、経営者の責任である。伊藤氏は、「リスクがあることを理解した上で、費用対効果や優先順位が高くないことから、あえて対策をせずリスクを背負うという判断をすることはあり得ると思います。しかし、何がリスクかもわからないようでは、経営者失格と言われても仕方ありません」と指摘する。
　また、BCMは事業継続計画（BCP）を一回策定すればそれで終わりというものではない。常にPDCAのサイクルを意識しながら持続して行うことが大切である。そもそもBCMは、セキュリティ対策と同様完全な対策はありえず、一度にすべての対策を網羅できるという性質のものでもないため、不足部分を意識しながら、徐々に強固な体制にしていくことが大切だ。
　さらに考えておくべきは、BCMは、これによって利益が上がるという活動ではないため、往々にして現場が面倒に思い、継続した実行がなおざりになってしまいがちという点である。そこで、現場が継続して取り組めるよう、なるべく現場の負担を減らし、段階的に行うといった現実的な視点を持って取り組むことが大切である。
　BCMの全体像は、以下の図の通りである。まずは戦略策定フェーズについて、富士通の取り組みを紹介しつつ、その中で明らかになった重要ポイントを紹介していく。なお、実施運用フェーズについては、次回紹介する。

　2004年からBCMに取り組み始めた富士通は、2005年には日本で初めてBCP/BCM専門の組織を構築した。今現在でも、それだけを行う専門組織を持っている企業は極めて珍しく、その取り組みの真剣度がわかるだろう。
　富士通は取り組みにあたって、日本を代表するITベンダーとして、次の3つの目標を掲げ、活動を通して顧客に提供するソリューションとすることを目指した。

　（１）自社の事業継続能力を高めることで、自社の企業価値を向上させる。
　（２）上記の活動で培われたノウハウを用いて、顧客に価値の高いサービスを提供する。
　（３）標準化活動などにも積極的に参加し、自社の取り組みを通して公共に貢献する 。

　この3つを目指すために、その取り組みは、極めて大規模かつ詳細となり、以下のような体制で取り組んだ。

　図にもある通り、富士通のBCP策定は約50にも及ぶ本部単位で行った。全社で単一のものを作ってしまうと、理念だけで終わってしまい詳細に踏み込めないからである。特に富士通は、製造、SI、アウトソーシングなど本部によって業務の形態が大きく異なる。それぞれの事業においてキーとなるリソースも、製造では生産ライン、SIでは人、アウトソーシングではデータセンターとまったく異なり、同じ考え方では推進できない。
　伊藤氏は、「どういう単位でBCPを策定するかが非常に重要です。われわれもコンサルティングを行う際、お客様がどの部署でどのようなビジネスを行っているかという概略を把握するところから始めます。ひとつのポイントはマネジメントの単位で考えるということです。ただし、当社の場合でも同じ本部で異なった形態のビジネスを行っている場合もあり、その場合は複数策定しています。この単位を間違うと、煩雑になりすぎたり、詳細が決められないことにもなりかねないので、ここが非常に重要です」と力説している。
　また、一社で複数のBCPを策定する場合、問題となるのが整合性である。富士通内部でもサプライチェーンは動いており、ある部門で製造したパーツがコンピュータの製造に使われ、そのコンピュータがSIやアウトソーシングに利用されるといったように、連鎖している。そこでの目標復旧時間（RTO）の整合性がとれていないと、ほとんどの本部は復旧しているのに、ひとつの本部が復旧していないためビジネス全体が回らないといったことになってしまう。
　そこをカバーしたのが、全社を把握するBCM推進室である。一般企業では、専門の組織を作ることはなかなか難しいが、プロジェクトチームが事業や部門ごとの対策状況を把握し、整合性をとれるようにすることが重要だ。

　BCPを策定する前に、事業構造分析、ビジネス影響度分析、リスク環境分析など各種分析を行う。リスク環境分析では、業務復旧に必要なリソース・プロセスを積み上げ、現状の復旧時間を顕在化させる。その上で、RTOに対するギャップを認識し、復旧に大きく時間を要するボトルネックを理解して対策を考える。たとえば、以下の例では、RTOである10日以内に復旧するためには、データのバックアップを行い、予備の製造設備を確保しておき、代替拠点を用意しておく必要があることがわかる。

　現状の分析ができたら具体的なBCP策定を行う。その際富士通は、本部長など経営層を交え、ワークショップ形式で策定を行った。そこで、収益への影響、コンプライアンス、重要顧客への影響、従業員の雇用などの観点から経営へのインパクトを分析。話し合いの中で、策定していった。
　伊藤氏は、「参考となるデータは出しますが、それによって決定することはしません。あくまでも最終的に決定を下すのは経営者です。分析を数値化して決定しても、経営者は納得しません。それよりも極めてアナログ的ですが、経営者が自ら決断を下すことで、対策を取らないリスクの責任を自覚してもらったり、対策のための投資をする覚悟をしてもらうことの方が重要です」と語る。
　富士通は、各本部のBCPを策定するという活動のなかで、さまざまなケースを想定した約40のリスクシナリオを作成した。それをテンプレート化し、ナレッジデータベースとして蓄積している。これはまさしく同社のノウハウの結集であり、現在富士通が顧客に対してコンサルティング活動を行う上でのベースとなっているものである。
　「コンピュータを使って各種分析を行うといったことは、やろうと思えば誰でもできます。それに意味がないとは言いませんが、それよりも、BCM活動を行っていく中で、困難にぶつかりながら得た知識や経験、ノウハウの方がもっと重要です。それを、DB化して現在コンサルティングに役立てています」（伊藤氏）。
　このような活動を元に「SafetyRing 事業継続ソリューション」に、BCP策定から運用改善に至るまでのBCMプロセス全般に渡る「BCMコンサルティング」と、情報システムの継続性強化を目的とした「IT-BCPコンサルティング」をメニュー化。顧客の事業価値を明らかにし、BCの目標や施策、具体的なアクションプラン策定を支援している。

参考リンク：富士通総研「BCMコンサルティング」「IT-BCPコンサルティング」

企業の事業継続・戦略策定フェーズのポイント
・ビジネスリスクを確実に把握。
・現場が継続して取り組めるよう、なるべく現場の負担を減らし、段階的に行うといった現実的な視点を持って取り組む。
・どういう単位でBCPを策定するかが非常に重要。
・一社で複数のBCPを策定する場合、各BCPの整合性を取ることが重要。
・BCP策定の最終的な判断は経営者が下し、行った判断に対する責任を持つ。

次回は、事業継続の実施運用フェーズでの富士通の取り組みとポイントおよび、「SafetyRing 事業継続ソリューション」について紹介する。