最近、縁あって「ISO 22301」を読んでいます。ISO 22301は「事業継続マネジメントシステム(Business Continuity Management System: BCMS)」に関する国際規格です。
ところで、BCMやBCMSというと、あまり聞きなれないかもしれませんが、BCP(Business Continuity Planning:事業継続計画)といえば、2011年の東日本大震災で大きくクローズアップされたので、思い当たる節のある方もいらっしゃると思います。また、同時期に「コンティンジェンシープラン(緊急時対応計画)」というものを耳にした方も多いと思います。これらは、BCMSの成果物の一種と考えることができます。そういえば、ISO 22301の発行は2012年ですから、東日本大震災の翌年ですね。このタイミングで発行されたのも、何かの縁なのかもしれません。
東日本大震災当時、私は企業の中で環境管理を主たる業務としており、その流れもあって、震災後に社内で発足した「BCP委員会」の責任者として、事業継続計画の策定を進めていました。
まだ震災の記憶が生々しく、かつ、原料メーカー被災に伴う原料の供給ストップや、輪番停電に伴う基幹システムや工場の稼働停止などの困難がまだ続いている時期でしたので、私としては「震災後に社内で行った活動を標準化すれば、計画書作成はそれほど難しくない」目論んでいました。でもそれは、とても甘い見通しでした。
実際に活動を開始すると、「震災の経験を生かして”より緻密な計画”を」と望む工場・研究サイドと「計画なんて、作っても役に立たない。その場その場で適切な判断をすればいい」とする営業サイドの対立を解消できずに活動は停滞。そして、震災対応の是非をめぐって経営陣の派閥争いが勃発して頓挫して、計画は骨子しか作れませんでした。震災で全く役に立たなかった「電話での緊急連絡網」をメール配信システムへの置き換えや、本社・営業部門の「災害時の初期対応マニュアル」の作成、サーバー類のデータセンターへの移設など、検討段階で明らかになった個別課題に対応できたのが、せめてもの幸いでした。個人的にはサラリーマン時代の苦い経験の一つですが、あの時にISO 22301があれば、もしかすると違う結果になっていたかもしれませんね。
その経験を生かし、海外出張・駐在やパンデミック、機密漏えい、PCのウィルス感染などの際のリスクマネジメント、2014年に施行された改正労働安全衛生法に基づく化学物質のリスクアセスメント実施体制構築などを行ってきました。
私の考える重要ポイントは以下です。
・リスクの範囲を決める・絞る。(一つの活動で”あれもこれも”やろうとすると、収拾がつかない)
・「想定外」を極力なくすこと。(社内の衆知を集める)
・責任と権限を明確にすること。(派閥抗争には注意)
・責任者に必ず連絡が取れる体制を作ること。(小学校の電話連絡網のような連絡体制は役に立たない)
・決めただけでは役に立たない。(定期的な訓練を継続して行う必要)
災害に限ったことではなく、企業は「事業のリスクを認識し、それを管理することがどこまでできているか」が、企業の存続を左右する可能性があると思っています。
例えば、アルジェリア人質事件の時の日揮の対応は、素晴らしかったのではないかと思います。
そんな折に、最近テレビや新聞で注目を集めている某スポーツでの事件があり、リスク発生時の行動の難しさを改めて感じていています。
皆さんの会社は、リスクが発生した際に、適切に行動することができますか?