昨今のリスク認識の変化について振り返ってみると、2019年以前で多くのマネジメント層が重大なリスクと認識していたのは、「サイバーセキュリティ」と「テクノロジーの進展による人材不足」でした。
しかし、2019年12月初旬から新型コロナウイルス感染症(COVID-19)が世界的に流行して以降、「パンデミック」が重大なリスクとして認識されています。さらに2022年2月24日のロシアのウクライナ侵攻以降、「地政学リスク」や「サイバーセキュリティリスク」への関心が高まりました。
このように現在、企業を取り巻く環境は急速に変化しており、想定外の事象が起きるなど、将来の予測がますます難しいVUCA※1時代に突入しています。こうした状況下では、想定外の事象をコントロールしつつ、「レジリエンス」を高めていく必要があります。
「レジリエンス」という言葉にようやく耳が慣れてきたという人は多いのではないでしょうか。この言葉は「しなやかさ」「適応力」「回復力」「弾力性」という意味だと言われています。本稿では「適応力」と「回復力」に着目し、デジタル時代に必要なレジリエンス(デジタルレジリエンス)の観点について考察していきます。
なお、文中の意見に係る記載は筆者の私見であり、PwCあらた有限責任監査法人および所属部門の正式見解ではないことをお断りします。
最初に、昨今の企業の「事業継続計画(Business Continuity Plan、以下BCP)」の策定状況について振り返ってみましょう。
2022年3月に内閣府が公開した「企業の事業継続及び防災に関する実態調査結果」※2によると、BCPを「策定済」と回答した企業の割合は、大企業70.8%、中堅企業40.2%でした。2020年の同調査の結果※3では、大企業68.4%、中堅企業34.4%だったので、2年間でそれぞれ2.4ポイント、5.8ポイントしか増加していないことになります(図表1)。
さらに、「策定済」と「策定中」と回答した企業の割合を合わせると、大企業85.1%、中堅企業51.9%で、大企業は前回調査と同程度、中堅企業に至っては、前回調査を下回る結果となっています。
これまでの政府からの指導では、2020年まで(ただし、2021年に達成期限が2025年に変更)に大企業のBCP策定率を100%にすることが掲げられてきましたが、企業側がついていけていない状況がうかがえます。
なぜ、このような状況になってしまっているのでしょうか。単純に企業側にCOVID-19対応で余力がなかったことが原因なのでしょうか。
図表1:大企業および中堅企業におけるBCPの策定状況
企業規模 | 2022年 | 2020年 | ||
「BCP策定済」と回答 | 「策定済+策定中」 | 「BCP策定済」と回答 | 「策定済+策定中」 | |
大企業 | 70.8% | 85.1% | 68.4% | 83.4% |
中堅企業 | 40.2% | 51.9% | 34.4% | 52.9% |
出典:内閣府「令和3年度 企業の事業継続及び防災に関する実態調査結果」「令和元年度企業の事業継続及び防災の取組に関する実態調査」
原因の1つとして考えられるのが、日本企業のBCPのほとんどが地震をベースシナリオとして組み立てられているため、企業は昨今の危機事象に対応することができなかった、ということです。すなわち、「地震」というシナリオ単体に対してBCPを策定しているために、昨今多発している地震以外の自然災害(台風等)による物流遮断や停電による工場の稼働停止、COVID-19をはじめとするパンデミックに現行のBCPでは対応することができなかったのです。前述した内閣府の調査の中でも、災害時にBCPが役に立った(とても役に立った+少しは役に立ったと思う)と回答している企業の割合は約5割にとどまっています。
事業継続、レジリエンスを考えるときには「シナリオ(原因事象)ベース」ではなく、「リソース(結果事象)ベース」が有効なアプローチだと言われています。リソース(経営資源。以降、全てこの意味で用いる)は経営戦略・事業活動の前提条件となるため、事業継続力を高めることとリソースのレジリエンスを高めることは、ほぼ同義になることは自明です。そのため、多くの企業はシステムを二重化するなど重要な経営資源への投資を行ってきましたが、上述の状況を考えると、レジリエンスを高めることができたとは言い難い状況が続いています。
多くの企業がバックアップセンター/オフィスの設置、代替人員/業務の設計、リソースの冗長化や再配置などに取り組んでいます。しかし、このような事業継続のために不可欠となる「誰もが納得のいく経営資源の強化」は整備できているものの、実際に事業を継続していくために「どこまで何に投資するべきか」を明確に把握できているケースは多くありません。「年に1回程度の危機対応訓練を実施し、PDCAサイクルによってレジリエンスを向上させていく」。そのようなスピード感で、この変化の激しい時代についていけるのでしょうか。
2011年3月11日に日本を襲った東日本大震災で、最も役立ったものは「いつ、誰が、何を決め、対応するべきか(意思決定すべき事項)」がまとめられていた阪神・淡路大震災での記録だったそうです。
有事の際にレジリエンスを発揮するためにはリーダーの意思決定の速さが重要になります。マネジメントの意思決定が速く、的確なものであることが、レジリエンスを高めるためのキーファクターになります。
マネジメントの意思決定には、「①有事の意思決定」と「②平時の意思決定」の2種類があります(図表2)。
これら2種類のマネジメントの意思決定を可能にするために、経営資源の状況を整理・把握していくリソースベースアプローチこそが、レジリエンスを高めるために重要な取り組みとなります。
2022年2月24日、ロシアによるウクライナ侵攻が開始されてからの日本企業へのサイバー攻撃は、侵攻前の直近3カ月と比べて約25倍に増加していると言われています。この状況が、サイバーセキュリティリスクを再びマネジメントの最優先課題に引き上げている一因となっているのではないでしょうか。サイバーセキュリティを想定シナリオとしたBCPの構築・見直しや、サイバーレジリエンスを高めることを経営課題と認識し、対応を強化していく動きが再び活性化しつつあります。
サイバーレジリエンスを向上させるために企業が対応すべきポイントは、NIST(米国国立標準技術研究所)がSP 800-160 Vol. 2でも定義している「予測力」「抵抗力」「回復力」「適応力」の4点があります(図表3)。
このサイバーレジリエンスの考え方は、サイバーセキュリティだけにとどまらず、自然災害を含む従来のBCPのレジリエンスを高めるための要素と本質的には同じです。この4つの力がどの程度自社に備わっているかが、事業継続力を示すパラメーターとなります。日本企業が整備に取り組んできた自然災害向けのBCPは「予測力」や「抵抗力」の強化に目が行きがちで、「適応力」「回復力」の向上に取り組めているケースはまだまだ少数派と言えます。
VUCA時代と言われる経営環境の激しい変化、さらには各企業がこぞってデジタル化を進める変革の時代において、デジタル化を進めつつ、レジリエンスを向上させる「デジタルレジリエンス」に取り組むことは、企業の競争力強化のための両輪となります。
デジタルレジリエンスを実現するためには対応すべき課題が3つあります(図表4)。
1つ目の課題は、デジタル化の推進、サイバーセキュリティ対応、従来のリスクに対するBCPの整備が分断され、それぞれ個別の課題として対応されていることです。デジタル化の推進は企画部門(DX推進室)、サイバーセキュリティはIT部門やCSIRT(Computer Security Incident Response Team)、従来のリスク(地震などの自然災害)に対するBCPは総務や危機管理室が別の組織として管轄している状況にあり、連携されていないことがほとんどです。
前述したように、サイバーレジリエンスの考え方と自然災害に対するBCPの考え方は基本的には同じです。例えば、サイバーセキュリティではよく「エンドポイントマネジメント」が重要と言われています。エンドポイントマネジメントとは、通信ネットワークの末端に接続されたデバイス、あるいは利用者が直に触れて操作するデバイスを把握し、セキュリティやサイバーセキュリティへの耐性を強化していくアプローチです。
この考え方と、BCPの中で必要な経営資源を把握するアプローチは同様のもので、全社横断的な対応が必要なため、各組織が個別に対応することは二重投資に他なりません。
また、AIによるインシデント検知機能を使ったモニタリングによる早期発見/予兆管理など、テクノロジーの進化により、予測力・抵抗力は格段に向上させることができます。
しかし、これらのレジリエンスを高める機能が企画部門(DX推進室)に連携され、全社横断的に対応が進められているケースはほとんどありません。
デジタル化の推進とサイバーセキュリティ対応と従来のリスクに対するBCPの整備が連携されない課題の真因は、体制が分かれていることだけではなく、CSIRTで検知したインシデントやサイバー攻撃の予兆/予測をどのタイミングから危機管理側と連携していくか、さらにはマネジメントの意思決定の判断を仰ぐ必要があるかが判別できない点にあります。この課題を解決するためには、CSIRTが把握している予測力と抵抗力だけでは不十分で、危機管理側が把握している適応力と回復力がどの程度まであるのかの情報が整理/連携されていることが不可欠だと考えられます。
2つ目の課題は、マネジメントレベルと現場レベルの意識/視点の違いです。現場レベルの意識/視点では、何か危機事象が発生する、または発生しそうになったときに、自身の責任領域内の業務/責務に対して、何とかして被害を最小限に抑えようとする意識が働きます。つまり、危機事象に対しての予測力と抵抗力を最大限発揮するべく行動するため、回復力や適応力を勘案した対応が取れない傾向が強いと言えます。
そのような状況では、近視眼的な対処や個別部門ごとの対応を選択してしまうことで、全社の視点からの優先度の判断を誤ったり、他部門への影響が考えられない状況に陥ったりしてしまうケースがあります。
例えば、COVID-19が流行した初期段階でリモートワークの整備されていない段階でのコールセンター業務をイメージしてください。平時には顧客との重要な接点となるため、受電率、レスポンスタイムなどがKPIとして課されていて、常に電話が鳴り続けているような多忙な業務です。危機管理上も最優先継続業務として定義され、現場レベルの判断ではマスク着用、アルコール消毒を徹底することで、出社制限やローテーションを行わず業務継続することを選択したケースが圧倒的多数でした。
しかし、もしそこでクラスター感染を起こしてしまい、他部門の顧客との対面業務の代替を担うはずだったコールセンターが機能不全に陥ってしまったら、どうなるでしょうか。COVID-19のパンデミックへの対応を暗中模索し、乗り越えてきた今なら、現場からマネジメントに業務継続方針の方向転換の必要性がエスカレーションされると考えられます。ただ、COVID-19流行当初のように想定外の事象が発生した際に、危機管理コミュケーションが機能するかについては大きな疑問が残ります。
前述したように、現場レベルの意識/視点では、予測力と抵抗力を優先的に考えてしまう傾向があります。そのため、マネジメントレベルではそれに回復力と適応力を加えて、総合的に判断し混乱する現場をリードしていく必要があります。レジリエンスを高めるためには有事だけではなく、平時もマネジメントのリーダーシップが不可欠です。
3つ目の課題は、業務プロセスの整理/棚卸の方法にあります。レジリエンスを向上させるためのキーファクターは、マネジメントの意思決定について有事、平時どちらの局面でも実効性を高めること、また、そのためにリソース(経営資源)を把握することだと述べてきました。
かつて1980〜1990年代後半にかけてBPR※4という経営コンセプトが脚光を浴びました。当時の日本の企業はビジネスの成長が著しく、人手不足を補うための業務効率の向上が経営課題でした。さらに1990年代後半には、グローバル化の波に伴い、日本の会計制度を国際標準に近づけるため、いわゆる「会計ビッグバン」が進み、基幹業務を統合し改革する仕組みとしてERP※5が注目され、多くの日本企業が国際財務報告基準(IFRS)への対応に向けて、会計処理や業績報告の機能を搭載したERPを導入しました。
その際に整理された、業務のプロセスを省略する、またはシステムに代替させることで効率化するプロセスドリブンの考え方が2023年になった今でも染みついています。
経営資源の棚卸を実施する際には、業務領域とシステムの守備範囲が1対1対応にならないことが多く、同じシステムが複数の業務にまたがって関係します。複数業務で利用されているシステムは当然のことながら、各システムが業務上の必要な経営資源として認定され、気がついたら、ほとんど全てのシステムが重要システムとして整理されているケースも多く見られます。結果として本当に守らなければならない対象が分からず、0か100かの世界でシステムのレジリエンス向上を考えざるを得ない状況に陥ってしまいます。
少し乱暴な考え方ですが、「デジタル化すること=データ化すること」と捉えると、従来のBPRで行っていたプロセスを省略する、またはシステムで代替するプロセスドリブンの考え方はすでに時代遅れです。リソース(経営資源)を把握するために業務を棚卸しする際にもデータドリブンの考え方を取り入れなければ、デジタルレジリエンスは実現できないと考えられます。
レジリエンスを高めるためには、マネジメントの意思決定の実効性を高めることがキーファクターであることを考えると、まずは自社の事業継続力のうち、回復力と適応力がどの程度かを把握することから始めてみてはいかがでしょうか。業務プロセスの効率化を目的にデジタル化を推進したことが弊害となり、業務プロセスがブラックボックス化し、リスクに対する回復力と適応力が把握できない状況を変えていく必要があります。
そのためには、「プロセスドリブンの考え方」から「データドリブンの考え方」への転換が必要となります。経営戦略の実行、事業活動のアウトプットとして作成されるデータは、どのような過程を経てできあがってきたのかを整理することが、この回復力と適応力を把握するための処方箋になると考えられます。
事業活動のほとんどがシステムに記録され、財務データとして記帳されるとともに経営戦略の舵取りを行うための管理データもデジタルに収集されています。そのデータがどのようなリソース(経営資源)を使って生成されているかを棚卸しすることで、回復力と適応力を把握することが可能です。
例えば、販売するための商品在庫を調達するプロセスを考えてみましょう。入出庫管理が全てICチップなどのテクノロジーにより、ゲートを通過するたびにデジタルに記録され、その入出庫データと商品マスタが管理している単価から自動計算されることによって、財務会計システムにデータ連携されるシステムが構築されています。
このような調達プロセスにおいて、通常、アウトプットされる財務データがどのようなリソース(経営資源)で生成されているかは、比較的容易にイメージできると思われます。
しかし、整理することが難しい領域はイレギュラー処理になります。不測の事態が発生した場合や人間の経験と判断での対応が必要な処理を棚卸しするためには、その業務量を計測したうえで、どのようなスキルを持った人間が何人いれば対応できるのかを把握する必要があります。
デジタル時代に必要なレジリエンス(デジタルレジリエンス)を向上させるためには、データドリブンのアプローチから、デジタル化された「確かなデータ」を生成しているリソース(経営資源)を棚卸ししつつ、不測の事態への対応やイレギュラー処理などの「不確かなデータ」を「確かなデータ」に変えるためのリソース(経営資源)を把握することで、回復力と適応力がどこまで整備されているか、また、整備していく必要があるかを検討していくことが肝要です。
マネジメントがよりリーダーシップを発揮し、意思決定プロセスを強固なものにしていくために、データドリブンで回復力と適応力を把握することから始めることが、デジタルレジリエンスを向上させていくための有効なアプローチになるのではないでしょうか。
※1 VUCA:Volatility(変動性)・Uncertainty(不確実性)・Complexity(複雑性)・Ambiguity(曖昧性)の略
※2 内閣府「令和3年度 企業の事業継続及び防災に関する実態調査結果」2022年3月
※3 内閣府「令和元年度 企業の事業継続及び防災の取組に関する実態調査」2020年3月
※4 BPR:Business Process Re-engineeringの略
※5 ERP:Enterprise Resource Planning(企業資源計画)の略
PwCあらた有限責任監査法人
パートナー 市川 敦史