第1回 リスク特定が変えるオペレーショナルレジリエンス

第1回：リスク特定が変えるオペレーショナルレジリエンス（構築フェーズ）

現代の企業経営において、オペレーショナルレジリエンスの強化はますます重要になっています。自然災害やパンデミックのみならず、高度化するサイバー攻撃やシステム障害、さらにはサプライチェーンの寸断、地政学リスクなど、多様なリスクに耐え得る体制を構築する必要があります。私たちが考える「リスクベースのレジリエンスジャーニー」の第一段階（構築フェーズ）では、まず「リスク特定」を最初のステップとして位置づけています。

なぜリスク特定が出発点なのか

オペレーショナルレジリエンスは、多様なリスクを把握・特定することが前提となる戦略的な取り組みです。リスク特定が不十分であると、不測の事態が発生した際に適切な対応策が打てず、何らかの形で事業への影響が表面化するおそれがあります。リスク特定は単なるリスクの洗い出しではなく、重要業務の継続に影響を与え得るリスクの発生可能性・影響度の評価につながる重要な取り組みであり、後続の対応策や資源配分を最適化する上での基盤となります。

ここで重要なのは、従来のBCP策定時などによく見られたリスク特定との違いです。従来は「何が起きるか」という発生事象起点での洗い出しが中心でした。しかし、オペレーショナルレジリエンスのリスク特定では「何が止まるのか」「その停止はどこへ連鎖するのか」「どこまでの停止なら許容できるのか（Impact tolerance）／許容する範囲に収まるのか」といった、重要業務起点への視点転換が求められます。すなわち、オペレーショナルレジリエンスにおけるリスク特定とは、「何が起きるか」ではなく「何を止めてはならないか」から逆算し、重要業務を停止させる可能性のある内部・外部要因を体系的に洗い出すプロセスであると言えます。

多くの企業では自然災害、システム障害、サイバー攻撃、サプライヤー停止等のリスク一覧は整備されているものの、それらが「どの重要業務に、どのような影響を与えるのか」と十分に紐付いていないケースが見受けられます。重要業務への影響というサービス起点でリスクを再整理することこそが、オペレーショナルレジリエンス強化の出発点となります。

リスク特定における見落としがちなポイント

これまで多くのクライアントを支援してきたPwCの知見より、リスク特定において企業が見落としがちなポイントを5点ご紹介します。

1. 業務プロセス全体を俯瞰してリスク特定をしていない

多くの企業では業務の粒度が部門単位で区切られており、部門ごとに業務単位でBCPを作成しているケースが見られます。オペレーショナルレジリエンスでは業務プロセス全体を俯瞰し、前後工程を含めた連鎖的な影響を踏まえてリスクを特定することが求められます。ある1つの部門での業務に与える影響は軽微に見える事象であっても、プロセス全体で見れば重要業務の停止につながる可能性があるためです。

したがって、組織内部の機能単位ではなく「顧客にサービスが提供されるまでの一連の流れ」全体を対象として業務を整理し、リスクを特定する必要があります。

2. 対象リスクが自然災害に偏重している

日本企業の場合、その地理的特性からこれまでBCPが自然災害を意識したものに偏重する傾向がありました。近年は、ランサムウェアなどのサイバー攻撃やクラウドサービス停止による業務中断、サプライチェーンの途絶などに加え、AIの活用に伴うリスクも無視できません。企業の社内IT環境や顧客向けのサービスなどが高度にデジタル化している現代においては、何らかの理由でそれらのデジタル環境が利用できなくなってしまうと、一時的に紙と電話のアナログな業務プロセスに逆戻りさせて対応することはできても、現代と同じ業務処理量とスピードを維持することは不可能です。数年後は今よりもさらにAIの利用が進むことを考えると、インデント発生時の問題は一層深刻になるでしょう。今こそ、こうした多様化するリスクに対してオペレーショナルレジリエンスの観点から包括的に見直し、対応策を強化することが求められています。

3. 「複合シナリオ」への備えを検討していない

多くの企業において自然災害、IT障害といった単一リスクは想定されています。しかしながら、単一リスクではなく、複数のリスクが同時・連鎖的に発生する「複合シナリオ」への備えも重要です。例えば、大規模地震により企業が利用するデータセンターが被災し、さらに同じタイミングで災害復旧（DR）拠点のハードウェア障害が発生した場合、重要業務の停止が長期化する可能性があります。単一リスク前提で設計されたBCPでは、このような状況に十分対応できないことも想定されます。したがってシナリオを検討する際は、リスクが複合的に発生することも考慮する必要があります。

4. 影響許容度（Impact tolerance）が形式的になっている

オペレーショナルレジリエンスでは、業務中断は起こり得るとの前提に立ち、重要業務が停止した場合でも「どの水準までの影響であれば許容できるのか」という影響許容度（Impact tolerance）を定義することが求められます。

影響許容度の検討にあたり、従来のBCPで設定していた目標復旧時間（RTO）を活用することは有効であるものの、その設定が形式的になっているケースも少なくありません。例えば、RTOが明確な根拠もなく「24時間以内」といった慣例的な数値を横並びで設定している例です。その水準が本当に顧客影響や社会的影響の観点から妥当なのか、十分に検証されていないことがあります。影響許容度は単なる復旧目標ではなく、「それを超過した場合に重大な影響が発生する水準」を基準に設定されるべきものです。したがって顧客への影響、市場への波及、法規制対応などを踏まえて定義する必要があります。

さらに最も重要なのは、その水準が実際に達成可能かどうかです。社内のシステムの実務的な復旧対応、外部委託先、クラウド依存などを考慮せずに設定されたRTOは、インシデント発生時に容易に破綻します。

5. グローバル拠点や事業固有のリスク考慮が不十分

グローバルに拠点を展開し、多様な事業を行っている企業において、各拠点や事業の特性ごとに主要リスクを特定し、BCPや関連手順を整備できているでしょうか。多くの企業では、本社で定めた共通のリスク管理方針や危機対応ポリシーを全社一律で適用することがあり、拠点や事業の特性に即したリスク管理が十分に行き届いていないケースが見受けられます。日本を本社とする企業であれば、国内の地震リスクは念頭に置いているものの、それ以外の各地域特有のリスク、例えば中国拠点における政策変動リスク、欧州拠点におけるデジタル法規制リスクなど、関連する動向を本社が正確かつタイムリーに収集しきれていないケースがあります。グローバル企業においては、こうした海外の規制環境や社会情勢、文化的背景を踏まえたリスク評価が不可欠です。

欧州のサイバーセキュリティ規制であるNIS2指令（Network and Information Systems Directive）では、重要インフラ産業を中心とした企業に対して、サイバー攻撃を受けた際にインシデントの発覚から24時間以内の早期通知、インシデントの発覚から72時間以内にインシデントの重大性や影響に関する評価の通知、さらに1カ月以内にインシデントの原因や緩和措置策、影響範囲など、インシデントの詳細に関する最終報告を義務付けています。違反時には高額な罰金を科せられることもあり、本社としても現地法規制やその対応状況を把握し、実際のインシデント発生時には当局コミュニケーションにも関与することが求められるなど、場合によっては本社と海外拠点におけるガバナンス態勢の見直しや、関連するサイバーBCPの見直しが必要です。

最後に

オペレーショナルレジリエンスの基盤となるリスクの特定は、企業が将来的な不確実性に立ち向かうための最初の、そして最も重要なステップです。

オペレーショナルレジリエンスを構築することは、単に事業を守るだけでなく、危機下でも重要業務やサービスを継続できる企業としての競争優位や、ブランド価値向上にもつながります。

危機は起きないことを前提とするのではなく、「起きる前提」で備える。その第一歩として、まずはリスクの見直しから、始めてみませんか。

次回、第2回では実践的なサイバーBCP作成方法のポイントをご紹介します。