はじめに
近年、生成AIの進化・普及は急速に進んでおり、各企業においても活用が進んできています。生成AIの拡大は、コスト削減、作業効率の向上、付加価値の創出というメリットをもたらす可能性もある一方でAIにかかわるリスクも存在するため、安心して活用するためにもAIガバナンスやリスク対応が必要となります。
本稿では、AIがBCM(事業継続マネジメント)/BCP(事業継続計画)をどう変えるのか?というテーマで、BCP×AIを「新たなリスク」であると同時に「便利な道具」であるという2つの論点で整理し、BCPの新たな局面(BCP5.0と定義)に向けた実務的な視点を提示します。
1.AIがもたらすBCP/BCMへの影響
世界経済フォーラム(WEF)の「Global Risks Report 2026」でも、AIが「最先端の技術(frontier technology)」から「経済・社会・安全保障を形作るシステム的な力(systemic force)」へ移ったと明記されています。 さらにWEFは、AIに関するリスク認識が短期から長期にかけて大きく跳ね上がることを示し、「Adverse outcomes of AI(AIの負の帰結)」が2年見通しでは30位なのに対し、10年見通しでは5位へ上昇する、と述べています※1。
これは、AIの影響が企業活動の隅々に浸透し、時間とともに累積・連鎖し得ることを示唆しており、BCPもまた、AIが存在することを前提に再設計する局面に入ったと言っても過言ではありません。
このようなAIの発展・一般化は、(1)BCPにおける「新たな事業停止リスク」であると同時に、(2)BCPを進化させる「便利な道具」でもあるという大きく2つの側面で影響を与えるものと言えます。
近年の目覚ましいAIの発展・一般化により、業務の中枢にAIが入り込んできたことで、新たに「AIが止まる/誤る/使えない」こと自体が事業停止のリスクになり得る状況となってきています。同時に、AIはBCP/BCM(事業継続マネジメント)の運用を可視化・自動化・高速化し、危機対応の質とスピードを押し上げる力も持ちます。
※1:「The Global Risks Report 2026 21st Edtion(p.9,10,60)」(WEF)
2.論点(1):AI依存が生む「新たな事業停止リスク」
(1)どのようなリスクが想定されるか?
AI活用が進むほど、「AIが止まった瞬間に会社も止まる」領域が増えます。AIは便利ですが万能ではありません。企業を取り巻くAIリスクは主に以下の5類型が存在します。
(i)サイバー攻撃の増加・高度化(ディープフェイク/なりすまし)
生成AIは攻撃者にとっても強力な武器です。フィッシング文面の自然化、標的企業の口調・文体の模倣、音声・映像の偽造(ディープフェイク)による「経営者なりすまし指示」など、従来の教育だけでは見抜きにくい攻撃が増えています。BCPの観点では、サイバーインシデントが情報システムにとどまらず、意思決定・資金移動・対外発信・ブランド毀損へと直結し得る点を前提に、危機対応手順(連絡・承認・証跡)を再設計する必要があります。
(ii)情報セキュリティリスク(機密情報漏洩リスク+ハルシネーションによる誤情報提供リスク)
従業員が機密情報をAIに貼り付けるリスクはわかりやすい一方で、より厄介なのは「AIがそれらしい回答を返し、誤判断が加速する」ことです。ハルシネーションを単なる誤答と捉えるのではなく、誤った判断が業務に組み込まれ、顧客対応・監督当局対応・取引先説明の連鎖のなかで被害が拡大するリスクを認識することが重要です。BCPとしては、入力情報の統制(何を入れて良いか)に加え、出力情報の検証体制構築(二重チェック対象業務やハルシネーションを防止するゲートキーパー(責任者)の明確化)が必要であると言えます。
(iii)法規制・人権リスク
採用・与信・取引先評価・監視などにAIを用いる場面では、バイアスや説明不能性が、差別・人権・コンプライアンス上の問題を引き起こし得ます。さらに企業の対外発信(広告・広報・SNS)にAIが深く関与すると、不適切表現や誤情報が炎上を招き、ブランド価値の毀損がBCP上の重大影響として顕在化します。ここは「法務・コンプラの問題」と切り分けず、危機時のステークホルダー対応としてBCPの射程に入れるべき領域であると考えます。
(iv)AIインフラの依存・集中リスク(ベンダ集中/停止/仕様変更)
生成AIは多くの場合、クラウド、API、基盤モデル、認証基盤、データ基盤など複数の外部サービスに依存します。特定ベンダへの集中は、障害・レート制限・仕様変更・契約条件変更といった外部要因で業務停止が起こる構造(集中リスク)を生みます。BCPとして重要なのは「AIが止まるか」ではなく、止まったときにどの業務がどこまで縮退できるかを設計しておくことです。
(v)AIによる事業環境破壊リスク(競争加速/出遅れ)
AIは「守り」だけでなく「攻め」にも影響します。競合がAIで意思決定・開発・顧客対応を高速化すれば、市場の競争速度が上がり、追随できない企業は平時に競争力を失います。BCPは有事の計画であると同時に、環境変化に追随できないことによる継続リスク(長期的な事業継続力の毀損)も扱う必要があります。
(2)肝は「BCPとAIの統合」-AI停止リスクをどうBCPに組み込むか?
前述のとおり、AIにかかわるリスクを想定し、事業継続の観点では「AI停止シナリオ」や「AI関連リスク発生シナリオ」をBCPに組み込むことが重要です。具体的には、次の4点がポイントとなります。
(i)AI停止シナリオの組み込み
AIが止まった瞬間に止まる(影響を受ける)重要業務は何か?また、仮に「手作業で代替する場合、何時間可能か」「縮退運転のラインはどこか」という観点をBIA(事業影響度分析)に明示的に組み込むことが必要となります。業務ごとに「AI依存度」「代替手段」「許容停止時間」を棚卸しし、AI停止時の優先順位を決めることが求められます。また今後AIを活用した業務設計を行う場合は、この点を考慮した設計を行うことが重要です。
(ii)AI更新・障害時の運用設計(AI変更管理)
モデル更新で精度が変動した場合、AIが意図した動きをせず業務に影響がでる懸念があります。モデル更新があった際、事業継続の観点からAIを活用したシステムの「一時停止/稼働許可/監視強化」を誰が判断するのか、場合によってはAI活用を停止する判断も求められます。重大業務にAIを使うほど、システム更改と同じレベルの変更管理が重要となるため、「止める勇気」と「止めた後に回す手順」をセットで検討しておくことが求められます。
(iii)ハルシネーション誤判断の封じ込め
誤情報を誰が検知し、誰が止め、誰が正すのか。AIの出力が意思決定に入るプロセスを明確にし、重要判断は二重チェックを標準化します。特に対外説明(顧客・取引先・当局)にかかわる情報は、AIを「下書き」にとどめ、最終責任を持つのはあくまで人であり、その点を明確にすることが重要です。
(iv)炎上・ディープフェイクへの備え
チャットボットの不適切応答、差別的回答、誤情報拡散、経営者ディープフェイク等を想定し、ステークホルダー対応・メディア対応を事前に手順化します。「誰が一次コメントを出すか」「どのチャネルで訂正するか」「証拠保全と社内説明をどう進めるか」を、災害時と同じように準備しておくことも肝要です。
3.論点(2):AIはBCPを進化させる「便利な道具」-AI「参謀」
AIは、BCPそのものを置き換える魔法ではありません。むしろBCP/BCMの実務(予兆把握→状況整理→意思決定支援→復旧管理→振り返り)を、可視化・自動化・高速化する便利な道具であると捉えるのが現実的です。BCMのボトルネックは、「作る」よりも「更新が続かない」「運用が回らない」点にあります。ここに生成AIを活用することで、BCP/BCMの形骸化を防止することも可能となります。BCP/BCMを「策定」「運用」「有事対応」に分類したうえで活用の方向性を以下に整理します。
(1)策定フェーズ:AIは「構想&ドラフトエンジン」
体制設計、BIA、リスク分析、文書策定、この一連でAIは、ヒアリング項目の作成、回答の要約、計画書の章立て、整合性チェックなどを支援できます。たとえばBIAでは、部門別の業務棚卸しと質問票のドラフトをAIで作り、回答から「優先業務候補」「依存関係」「代替手段」を抽出し、人が確定する流れが現実的です。ポイントは自動化より半自動化です。AIが下書きを作り、人が意思決定することで、品質とスピードを両立できます。
(2)運用フェーズ:AIは「PDCA自動化エンジン」
BCMは回してこそ価値が出ます。訓練シナリオ作成、訓練後レビュー、改善策の整理、委員会資料作成、KPI集計などこれらの負荷をAIで下げることで、更新頻度を上げることにつながります。訓練ログ(議事録・チャット)をAIで要約し、「判断の遅れ」「情報不足」「役割不明確」などの課題を抽出して、次回訓練テーマへ落とし込むなど、PDCAの「C(Check)」の部分の強化につなげることが可能です。
(3)有事対応フェーズ:AIは「参謀機能のブースター」
有事には情報が洪水のように溢れ、混乱が発生します。拠点からの報告メール、チャット、システムアラート、SNS、報道等、これらを人手で整理するとミスや対応の遅れが懸念されます。AIで「何が起きているか」「どこが止まっているか」「優先対応は何か」を要約・可視化し、ブリーフィングメモやFAQ案の下書きを作り、ダッシュボード化することにより、現場と経営が災害対策本部等で同じ情報を見て議論することができます。AIが判断の代替をするのではなく、判断のための材料を高速に整えるために活用するということが重要です(あくまで参謀であり、意思決定は人の仕事)。
4.企業が意識すべき点:AIリテラシーの向上
AIはゴールではなく手段です。だからこそ、何を守り、何を高めるためにAIを使うのかを、経営と現場で決めなければなりません。また、AIを正しく使うための「人・文化」づくりも重要です。従業員教育や、シャドーAI対策、心理的安全性の確保(正しいルートで使える/失敗を共有できる)を整え、現場が「禁止されるから隠れて使う」状態を回避し、禁止一辺倒ではなく、正規ルートと入力ルール、相談の導線を整え、安心して使える環境を作ることが、結果的にリスクを下げることにつながります。
まとめ~BCPは4.0から5.0へ:「無意識に回る」状態を目指す
BCPは時代の要請とともに発展してきました。災害対策としてのBCPから、オールハザード対応、グローバル化・サプライチェーン化、コロナ禍によるDX化、そしてESG・レジリエンス経営の文脈へと進歩してきており、KPMGではそれを「BCP4.0」と整理しています。
本稿で解説した生成AIの発展を踏まえると、BCPは4.0から5.0へと進化を遂げてきているのではないかと考えます。筆者は、BCP5.0、「BCPを“意識して発動する”のではなく、日常運用に溶け込み“無意識に回る状態”」であると捉えています。
サイバー空間とフィジカル空間が高度に融合した社会では、リスク兆候の把握から復旧までのスピードが勝負になります。計画書を作ったままにするのではなく、平時の運用がそのまま有事の即応につながり、さらに有事の学びが平時の改善に還元されるような循環をAI活用により「仕組み化して自走させる」ことがBCP5.0の世界観になるのではないかと考えています。
本稿が各企業の皆さまのAIのさらなる活用と、事業継続強化の一助となれば幸いです。
参考記事:「BCP4.0 ~レジリエンス経営の時代に求められる未来のBCPの在り方とは?~ 」(KPMG)
執筆者
KPMGコンサルティング株式会社
執行役員 パートナー 土谷 豪
