日本の非金融事業者におけるオペレーショナル・レジリエンス構築のポイント

• はじめに
• オペレーショナル・レジリエンスとは
• オペレーショナル・レジリエンス構築のための基本的なステップ
• 諸外国におけるオペレーショナル・レジリエンスの現況
• オペレーショナル・レジリエンスを導入する理由
• オペレーショナル・レジリエンスを導入しない理由
• オペレーショナル・レジリエンスを構築する上での課題
• おわりに

2023年5月に、The Business Continuity Institute（以下、BCI）からオペレーショナル・レジリエンスに関するレポートが発行されました。BCIとは、世界各国のさまざまな業種において事業継続に関する活動を行っている組織・個人に対し、必要とする情報やサポートを提供するために、1994年にイギリスで設立されたグローバル団体です。「BCI Operational Resilience Report」（以下、レポート）は、2023年で2回目の発行となります。今回は、62ヵ国19業種、334企業が調査に参加しました。

レポートでは、金融機関・非金融事業者両方の現況が紹介されていますが、本稿では、非金融事業者によるオペレーショナル・レジリエンスへの取組みに焦点をおき、レポートの内容と併せて解説します。

※金融機関のオペレーショナル・レジリエンスについてはこちらをご参照ください。

オペレーショナル・レジリエンスとは金融機関を中心に取り入れられている考え方で、業務の強靭性・復旧力を意味し、システム障害、サイバー攻撃、自然災害等が発生しても、重要な業務を最低限維持すべき水準において提供し続ける能力を言います^※1。

回答企業がオペレーショナル・レジリエンスのなかで重要と考える主要なプロセス・ツールの内訳は以下のとおりです。

重要なビジネスサービス（Important Business Services：IBS）とは、その中断が事業継続に重要なシステムの安定や顧客の日常生活に著しい悪影響を生じさせるおそれのある業務を指し、金融庁のガイドラインでは重要な業務（Critical Operations）として説明されています。既存のBCPには自社にとっての影響という観点で重要業務を選定するケースが多く見られますが、オペレーショナル・レジリエンスでは顧客・社会に提供するサービスの継続という視点でIBSを特定します。BCPを策定する際に、Business Impact Analysis（BIA）や優先事業の選定を、自社の観点に加え関連ステークホルダーの観点から実施することで、オペレーショナル・レジリエンスのIBS特定のアプローチをカバーすることができます。

耐性度（影響の許容度）の設定とは、特定したIBSについて、未然防止策を尽くしてもなお業務中断が必ず生じることを前提に最低限維持すべき水準を設定することです。組織として、社会・サービス利用者等が、どの程度まで業務停止を許容出来るかの閾値を設定し、回復時に目指すべき水準を明確化するアプローチはBCP策定時の最大許容停止時間（Maximum Tolerable Period of Disruption：MTPD）と、目標復旧レベル（Recovery Level Objective：RLO）の検討に共通していると言えます。

BCIレポートが紹介する6つのプロセスに加え、金融庁は「相互連関性のマッピング、必要な経営資源の確保」を提示しています。これは、社外のサードパーティ等も含めて相互連関性をマッピングし、必要な「テクノロジー」「人材」「有形資産」「データ」「サードパーティ」を特定して採用・配置・配分することを意味します。重要な業務と社内外の経営資源のマッピングを行うことにより、重要な業務を提供するために必要な経営資源を明確にすることで、代替策や対応策を明確化するとともに、重要な業務の中断を引き起こす脆弱性がある経営資源を特定することができます。

レポートによると、規制を導入している国の数は年々増加しており、地域ごとにさまざまな規制やガイドラインが存在します。企業が採用している主要な規制として、英国のFCAとPRAの 「オペレーショナル・レジリエンスに対する監督アプローチ」 、およびEUの 「デジタル業務レジリエンス法（DORA）」が挙げられます。加えて、バーゼル銀行監督委員会（BCBS）の 「オペレーショナル・レジリエンスのための原則」「オペレーショナル・レジリエンスを強化するための米国のサウンド・プラクティス」を参考とする企業が増加しています。

日本においても、2022年12月に金融庁が実務上の論点や課題を整理した「オペレーショナル・レジリエンス確保に向けた基本的な考え方」を公表しており、金融機関をはじめ、各企業はこれに基づき体制を見直すことが期待されています。

＜セクターを超えたオペレーショナル・レジリエンスの広がり＞

各国では規制対象である金融機関が他のセクターに先駆けてオペレーショナル・レジリエンスを導入してきましたが、金融機関以外のさまざまなセクターの組織も、優良事例にならうため、あるいは顧客やステークホルダーからの要請に応えるためにオペレーショナル・レジリエンスを採用しています。レポートによると、主要セクターのオペレーショナル・レジリエンス導入率は以下のとおりです。

導入率は規制対象である銀行業・金融業が群を抜いて高いものの、その広がりは公共サービス、エネルギー、ヘルスケア、教育など非常に幅広いことがわかります。金融以外のセクターに属する日本企業においても、国内外のオペレーショナル・レジリエンスに関する規制や事例にアンテナを張ることが推奨されます。

レポートによると、各組織がオペレーショナルレジリエンスプログラムを実施する、または実施を検討している理由は、以下のとおりです。

規制を意識した「規制要件として（56.7%）」「新しい規制への準備として（20.6%）」「法的要件として（18.9%）」等の回答を抜いて最も多かった理由は、「優良事例にならうため（68.3%）」です。このことは、各組織が積極的にオペレーショナル・レジリエンスの観点から組織のレジリエンスを見直す取組みをしていることを示しています。地震や風水害をはじめとする自然災害、気候変動、地政学リスクの高まり、パンデミックの発生、サイバーセキュリティ上の脅威の高まりなど、日本企業を取り巻く環境は急速に変化しています。日本の非金融事業者においても、オペレーショナル・レジリエンスの観点を取り入れることが非常に有効です。

＜製造業のクライアントによるオペレーショナル・レジリエンス採用事例＞

「優良事例にならうため（68.3%）」「規制要件として（56.7%）」に次いで多かった回答は、「商業的／または顧客の利益のために（30.6%）」です。一部の組織は自らのセクターが規制対象ではないのにもかかわらず、金融セクターにならい、自主的にオペレーショナル・レジリエンスのガイドラインを取り入れています。その理由は、オペレーショナル・レジリエンスのガイドラインを採用することで、自社に限らず、サービスの提供先である市場や顧客のレジリエンスを高めるのに役立つと考えているためと推察されます。特に、金融機関のIBSのプロセスの一部を構成するサードパーティは、規制対象とされていなくても規制内容に準拠することが非常に重要です。

＜金融関連サプライヤーによるオペレーショナル・レジリエンスの採用事例＞

今回の調査において、企業がオペレーショナル・レジリエンスプログラムを実施していない理由として最も多かった回答は、「規制要件ではない（30.0%）」「法的要件ではない（28.8%）」でした。続けて、「事業継続だけで十分である。すでに取り組んでいる事業継続との違いがわからない（24.2%）」との回答が挙げられています。

「事業継続だけで十分である。すでに取り組んでいる事業継続との違いがわからない（24.2%）」という理由について、オペレーショナル・レジリエンスの定義が金融セクター以外では統一されておらず既存の事業継続と同一視されていることが、理解を妨げているとBCIのレポートでは述べられています。

本稿においてはオペレーショナル・レジリエンスを、想定シナリオ以外の事象が起きた場合や複数の災害が同時発生した際にも、顧客・社会にとって重要な事業を継続する能力と解釈します。日本企業において策定されている既存のBCPの多くが、地震など特定の原因事象に限定した内容となっている一方で、オペレーショナル・レジリエンスはシステム障害、サイバー攻撃、自然災害等さまざまなクライシスを想定して重要な業務の継続を目指しています。

また、既存のBCPの多くが、自社への影響という観点に重きを置いていることが多く、オペレーショナル・レジリエンスが推奨する顧客・社会へのサービス提供という観点での事業継続性の検討が不足しているケースがあります。原因事象ではなく、「経営リソースにどのような影響が発生するか」に着目することでさまざまな事象に備えることができるオールハザードBCP（リソースベースBCP）を策定することや、BIA実施・優先事業選定時に、自社に加え、顧客やサードパーティなど関連ステークホルダーの観点から事業継続性を検討したうえで、オペレーショナル・レジリエンスの観点を取り入れることを推奨します。

BCIのレポートによると、企業がオペレーショナル・レジリエンスを採用するうえで課題となるポイントは以下のとおりです。

今回の調査では、オペレーショナル・レジリエンスを組織の基盤に組み込むことが最も大きな課題であると回答した企業が半数以上（52.4%）を占めていることがわかりました。この背景として、他にも対応すべき規制イニシアティブが数多く存在するため、比較的新しい規制イニシアティブであるオペレーショナル・レジリエンスへの対応は優先度が下がることが挙げられます。特に、規制対象ではないセクターにおいては、オペレーショナル・レジリエンスの採用を社内に対して訴求し賛同を得るのがより難しい傾向にあります。この課題の解決に向けては、危機や環境変化に直面した場合に、「従業員一人ひとりの能力や意識」と「組織の危機対応能力」でそれらを乗り越え、さらなる発展が望める組織レジリエンスの重要性を経営層から発信する、または理解を深めるための研修を実施することで、レジリエンスを重要視する組織風土の醸成が必要です。

さらには、業務マニュアルに有事の対応を織り込むなど、業務設計に組み込むことで、従業員一人ひとりのレジリエンスに対する意識をより高めることができます。
また、レポートで特に言及されているのは、リソース面での課題です。回答企業の約半数が、オペレーショナル・レジリエンスを実施するために必要な専門性を備えた人材の獲得に苦労しています（50.9%）。この課題の解決に向けては、必要な人的資源確保のため、メンバーシップ型の採用をしている場合はジョブ型に移行すること、研修受講などにより内部の人材を育成すること、外部専門家を利用しスキルトランスファーしてもらうことが対応策として挙げられます。

本稿では、「BCI Operational Resilience Report」の内容を概説するとともに、日本の非金融事業者がオペレーショナル・レジリエンスに取り組む際のポイントを解説しました。自然災害、気候変動、地政学リスク、パンデミックの発生、サイバーセキュリティ上の脅威など、日本企業の活動に影響を与え得るリスク要因は数多く存在し、不確実性は増すばかりです。企業はリスク発現時に迅速に復旧を行い事業継続するために、レジリエントな組織を目指していくことが従前に比べより一層求められています。日本企業においては、BCPを含めた既存の枠組みをオペレーショナル・レジリエンスの要素を踏まえて見直し、組織のレジリエンスをより強靭にすることを推奨します。

※1　「オペレーショナル・レジリエンス（オペレジ）の概要」（金融庁）
※2　「Operational Resilience: Beyond financial services regulation」（KPMG英国）

KPMGコンサルティング
アソシエイトパートナー　土谷 豪
マネジャー　鶴 翔太
シニアコンサルタント　西川 絵理

※「BCI Operational Resilience Report 2023」の全文は下記からご覧いただけます（外部サイト）。

• BCI Operational Resilience Report 2023

• 日本企業におけるサプライチェーンのレジリエンス強化のポイント
• 金融機関に求められるオペレーショナル・レジリエンスの確立と当局動向