災害被災地支援活動から学ぶ
実践的なBCP対策
もうすぐ猛暑が続く季節となる。毎年、盛夏を迎える直前の時期になると台風や豪雨による大きな災害が発生する。震災もそうであるが、災害による甚大な被害を経験したことがない人にとって、日ごろの備えがいかに重要かを理解するのは難しいかもしれない。例えば経営や事業に欠かせないデータの保護やセキュリティ対策への投資に対して、積極的ではない企業が少なくないことがそれを表している。本特集では災害の被災地での支援活動を通じて、万が一の際に役立つ実践的なBCP対策について考察する。
発注側の調達業務と受注側の販売業務は一体
取引全体でシステムとデータをクラウド移行すべき
序論
企業の事業継続を脅かすリスクには自然災害だけではなく、サイバー攻撃や地政学的リスクなどさまざまな要因がある。そうしたリスクが現実となった際にビジネスを止めないための対策として、多くの企業が社内のシステムやデータをバックアップしたり、クラウドサービスを利用したりしている。もちろんこれらは重要かつ不可欠な対策である。しかし自社のシステムやデータだけを保護しておけば、万が一の際に実際のビジネスは守れるのだろうか。そこでさまざまな業種の企業で経営の改善や改革に携わってきたクラウドサービス推進機構で代表理事を務める松島桂樹氏と、特別研究員の飯島拓男氏に企業が講じるべきBCP対策について話を伺った。
取引をする双方でデータを保持
クラウドサービス推進機構は主に中小企業に向けてクラウドアプリケーションサービスのビジネス活用を推進し、経営の改善や改革の促進を支援することを目的に2013年3月に設立された。クラウドサービス推進機構の代表理事を務める松島桂樹氏は業界団体や大学の研究者として製造業や小売、流通などさまざまな業種の企業で経営の改善や改革に携わってきた。
松島氏は自然災害をはじめとした経営リスクが現実となった場合でも、事業を止めないBCP対策として2011年の東日本大震災での企業の取り組みを例に挙げて次のように問題点を指摘する。
「東日本大震災で発生した津波によって企業で運用されていたサーバーが流されてしまい、日々の経営や事業で蓄積してきたデータを多くの企業が消失しました。こうした企業内で保持されているデータはもちろん大事ですが、実際のビジネスでは発注や受注から、製造とその管理、納品、決済までのいわゆる基幹業務の一連の流れにおいて、必ず複数の取引先とデータをやりとりしています。さまざまなリスクが現実に生じた際に経営や事業を継続するには、自社の中のデータだけがあればいいのではなく、ビジネスの一連の流れに関わる取引先のデータを含めて保持している必要があります」
日本の商習慣では商取引に関わる双方の信頼関係が築かれている場合が多く、万が一商取引に関する重要なデータを消失したとしても何らかの記録が残っていれば、あるいは取引の当事者の記憶によって決済が行われることもある。しかし考えてみれば、取引する双方のデータがそろっていなければ取引を証明することができず、完全には決済が行われない恐れがある。
松島氏は「取引をする双方がデータを保持し、必要なときに突き合わせてエビデンスを得ることが求められます。これは単純に自社の中のデータをバックアップしておくということと次元の異なる話です」と語る。
最も重要なのは受発注データ
取引に関わる双方のデータがそろっていることがいかに重要かを示す実際の事例がある。あるとき国内の大手製造業と取引をするサプライヤーがランサムウェア攻撃を受け、被害を受けたPCのデータが暗号化されてしまった。このとき発注側の大手製造業と受注側のサプライヤーが最初に復旧に取り組んだのが受発注データだったという。
製造業にとって重要な資産である設計や生産に関わるデータではなく、取引に関わる受発注データを最初に復旧した理由について松島氏は「取引に関わるデータが長時間使えなくなると、事業が再開できず、決済のやりとりも止まってしまい金銭的なダメージが深刻化するからです」と説明する。
松島氏によるとこのケースでは受発注データをわずか1日で復旧したという。そのほかのデータは復旧までに数週間かかったという。なぜわずか1日で復旧できたのか、それは取引に関わるデータ管理をクラウドで行っていたからだ。
クラウドサービス推進機構も関わった中小企業庁のプロジェクトにおいて、このケースの発注側の大手製造業と、取引のあるサプライヤーとのEDIを数年前にクラウドに移行していたという。
松島氏は「取引をクラウド上で行うことで、取引に関わる双方のデータが保護されます。同時に取引に関わるシステムを双方で個別に持つ必要がなくなり、サプライチェーン全体で大きなコスト削減も図れます。オフィスが被災したとしても取引そのものがクラウド上にあるため、事業を継続することができます」と説明する。
そして「業務設計の際はこのようなシステムを組み込んで業務を考えるべきです。業務をシステム化するのではなく、業務の中にシステム、特にクラウド基盤が組み込まれている必要があります」と強調する。
組織と仕組み、ルールの柔軟性も大事
実践的なBCP対策には柔軟な組織や仕組み、ルール作りも求められる。クラウドサービス推進機構の特別研究員 飯島拓男氏は二つの大震災での小売・流通業での事象を挙げて次のように説明する。
「阪神・淡路大震災では被災地のスーパーがいち早く店を開き、地域に生活物資を提供するために店頭にある商品を販売しました。そして東日本大震災では被災地のコンビニエンスストアの店頭に商品があるものの、ストアコンピューター上のPOSを稼働できず店頭の商品を売ることができませんでした。コンビニエンスストアでは本部主導の垂直サプライチェーンとなっており、津波によって店舗の販売に関するマスターデータが壊れてしまい、また取引のルールも厳格に決めていたため融通が利かなかったことが原因です」
そして「例示したコンビニエンスストアチェーンではマスターデータはバックアップしているとはいえ、1カ所で集中管理していたため柔軟な対応ができなかったことも指摘できます。ちなみに東日本大震災発生当時、地域スーパーなどのサプライチェーンではデジタル化がかなり進んでいました。特にボランタリーチェーンではもともとメッシュ構造でサプライチェーンが展開されているため、加盟店が被災してデータを消失しても、クラウドPOSなどでデータ連携が図られているためシステムと事業を早急に復旧できるメリットがあります。実際に東日本大震災でもこの仕組みによって被災地の加盟店が早期に営業を再開しました」と説明する。
ちなみにボランタリーチェーンとは独立した小売店が同じ目的を持った同業者と組織化し、チェーンオペレーションを展開している団体のことで、飯島氏は日本ボランタリーチェーン協会に携わった経験を持つ。
飯島氏は「マスターデータの一元管理など仕組みやルールが厳格化していると非常時の対応が遅れて事業の再開に時間がかかってしまいます。小さなメッシュ構造のネットワーク上でデータが双方で連携する仕組みで、どこにどのようなデータがあるのかが管理できていれば、非常時の復旧が円滑かつ迅速に行えます」とアドバイスする。
最後に松島氏は「日本では経営者が見える範囲での小さなDXをやりがちです。小さなDXとは社内に閉じたDXのことです。行うべきDXとは企業間のDXです。企業間の取引では発注者側が調達業務を行い、受注側が販売業務を行います。この二つの業務とデータは一体です。ですから取引に関わる企業がシステムやデータをそれぞれ運用、管理するのではなく、第三者、すなわちクラウドに預けることが合理的であり有効なBCP対策につながります」と強調する。