サプライチェーン全体のBCP強化が課題か　NRIがBCMに関する調査結果を発表

　野村総合研究所（以下、NRI）は、国内の金融機関（銀行・証券・資産運用・保険・その他金融）を対象に、「事業継続マネジメント（BCM）に関するアンケート調査」を実施し、その結果を発表した。

調査概要

• 調査時期：2023年1月9日～31日
• 調査方法：郵送方式
• 有効回答数：122社（銀行21社、証券46社、資産運用29社、保険13社、その他金融13社）

　調査の結果について、同社は以下のように述べている。

組織内外の状況認知に対して、具体的な対策導入・評価改善が追い付いていない

　評価の結果、「組織内外の状況認知」（52％）、「BCM推進態勢」（58％）の領域は、各企業ともに態勢整備が進んでいる一方で、「BCP4対策」（43％）、「BCP評価・継続的改善」（34％）の領域は、相対的に成熟度が低い傾向が見受けられた（図3参照）。

　自社の経営リソースや近年のリスク動向といった、組織内外の状況認知を行った上で、それをBCP策定の前提として関係者間で共有し、検討が進められているものの、バックアップオフィスの設置、システム構成の冗長化、自家発電の導入などのBCP対策は、予算や人員リソースなどの確保が必要かつ整備に時間を要するため、各企業では対応の優先度から後回しとしている様子がうかがえた。

　また、回答企業のうち約8割がBCP訓練として安否確認や標的型メール対応訓練を採用している一方、社内外を巻き込んだ初動対応訓練を行う企業は全体の約2割、重要業務の継続訓練を行う企業は全体の約1割にとどまった。

BCM成熟度レベルが高い企業は、各領域に偏りがなく、実効性が確保されている

　図4で示すレベル4以上の企業の特徴としては、「経営陣が主体となり中長期的なBCMが具体的に計画されている」「人・建物・システム・データ・サイバーセキュリティなど各リソースへの対策が偏りなく整備されている」「経営陣や外部委託先などを巻き込んだ大規模なBCP訓練が計画実施されている」「訓練結果を踏まえた評価改善活動まで実施されている」など、PDCAサイクルが定着している様子がうかがえた。

　一方、レベル2以下の企業は、「各領域の対策に大きな偏りがある」「特定の分野における対策レベルが著しく低い」など、実効性が低く見直しの余地があると思われるという。

各社の課題は、「想定外への対応」と「委託先BCPとの整合性検証」

　BCP対策に関わるアンケート回答では、業務中断に対する未然防止措置（オフィスの防災性能の強化、自家発電装置の設置など）は定めているものの、いざ業務中断してしまった場合の早期復旧・影響範囲の軽減策まで整備している企業は少数だった。

　未然防止措置は重要だが、それだけでは想定外の事象が生じたケースに対応できず、重要な業務を実施できなくなる恐れがあるという。これは自然災害やシステム障害にもいえることだが、特にサイバー攻撃は日々攻撃が巧妙化しているため、未然防止策に加えて、インシデント（事件・事案）発生時の早期復旧や影響範囲の軽減を担保する枠組み（いわゆるサイバー・レジリエンス）を整備することが望ましいと考えるとした。

　また、「外部委託先のBCPの状況を確認している」、ないし「外部委託先と共同のBCP訓練を行っている」企業は少数だった。近年、サプライチェーンの脆弱性を狙うサイバー攻撃が増加。実際に、サプライチェーンに連なる企業がサイバー攻撃を受け、複数の関連工場のラインが停止し、生産に大きな影響が生じたメーカーの事例もある。

　NRIは今後も、アンケート調査を実施し、金融機関のBCMの取り組みに関する提言を行っていくとしている。

【関連記事】
・NRIとJA全農、「スマートアグリコミュニティ」の推進に向けた基本合意書を締結
・NRI、クラウド型軽量勘定系サービス「NRI BaaS/CORE」を開発へ　24年夏頃の提供目指す
・NRIとNRIデジタル、手書き伝票の処理業務を効率化する「DiPcore AI-OCR」を提供開始