株式会社野村総合研究所(本社:東京都千代田区、代表取締役会長 兼 社長:此本 臣吾、以下「NRI」)は、2023年1月9日から1月31日にかけて、国内の金融機関(銀行、証券、資産運用、保険、その他金融)を対象に「事業継続マネジメント(BCM 1 )に関するアンケート調査」を実施し、122社から回答を得ました。
アンケート実施の背景と実施方法
昨今、多様化するサイバー攻撃やコロナ禍による勤務環境の変化など、事業継続マネジメント(BCM)を見直すきっかけとなるような事象が多く発生しています。この調査は、「昨今の環境変化に伴う事業継続に対する危機意識」、および「BCMの取り組み状況」を調査する目的で実施しました。
アンケートはBCMの国際規格ISO22301
2
が示すPDCAサイクルを基に、図1に示す5領域に分類して行いました。
(図1)BCM成熟度モデルにおける5領域
(出所)NRI
また、アンケート回答結果を、NRIが開発したBCM成熟度モデル 3 を用いてスコア化し、レベル1(最低)~レベル5(最高)の5段階で評価しました(図2参照)。
(図2)BCM成熟度モデルにおける成熟度指標
(出所)NRI
組織内外の状況認知に対して、具体的な対策導入・評価改善が追い付いていない
評価の結果、「組織内外の状況認知」(52%)、「BCM推進態勢」(58%)の領域は、各企業ともに態勢整備が進んでいる一方で、「BCP
4
対策」(43%)、「BCP評価・継続的改善」(34%)の領域は、相対的に成熟度が低い傾向が見受けられました(図3参照)。
自社の経営リソースや近年のリスク動向といった、組織内外の状況認知を行った上で、それをBCP策定の前提として関係者間で共有し、検討が進められているものの、バックアップオフィスの設置、システム構成の冗長化、自家発電の導入などのBCP対策は、予算や人員リソースなどの確保が必要かつ整備に時間を要するため、各企業では対応の優先度から後回しとしている様子がうかがえました。また、今回図表には示していませんが、回答企業のうち約8割がBCP訓練として安否確認や標的型メール対応訓練を採用している一方、社内外を巻き込んだ初動対応訓練を行う企業は全体の約2割、重要業務の継続訓練を行う企業は全体の約1割に留まりました。
(図3) 回答企業全体における5領域スコア平均値
(出所)NRI
BCM成熟度レベルが高い企業は、各領域に偏りがなく、実効性が確保されている
図4で示すレベル4以上の企業の特徴としては、「経営陣が主体となり中長期的なBCMが具体的に計画されている」「人・建物・システム・データ・サイバーセキュリティなど各リソースへの対策が偏りなく整備されている」「経営陣や外部委託先等を巻き込んだ大規模なBCP訓練が計画実施されている」「訓練結果を踏まえた評価改善活動まで実施されている」など、PDCAサイクルが定着している様子がうかがえました。一方、レベル2以下の企業は、「各領域の対策に大きな偏りがある」「特定の分野における対策レベルが著しく低い」など、実効性が低く見直しの余地があると思われます。
(図4) BCM成熟度レベル分布と該当社数
(出所)NRI
各社の課題は、「想定外への対応」と「委託先BCPとの整合性検証」
BCP対策に関わるアンケート回答では、業務中断に対する未然防止措置(オフィスの防災性能の強化、自家発電装置の設置など)は定めているものの、いざ業務中断してしまった場合の早期復旧・影響範囲の軽減策まで整備している企業は少数でした。未然防止措置は重要ですが、それだけでは想定外の事象が生じたケースに対応できず、重要な業務を実施できなくなるおそれがあります。これは自然災害やシステム障害にも言えることですが、特にサイバー攻撃は日々攻撃が巧妙化しているため、未然防止策に加えて、インシデント(事件・事案)発生時の早期復旧や影響範囲の軽減を担保する枠組み(いわゆるサイバー・レジリエンス)を整備することが望ましいと考えます。
また、「外部委託先のBCPの状況を確認している」、ないし「外部委託先と共同のBCP訓練を行っている」企業は少数でした。近年、サプライチェーンの脆弱性を狙うサイバー攻撃が増加しています。実際に、サプライチェーンに連なる企業がサイバー攻撃を受け、複数の関連工場のラインが停止し、生産に大きな影響が生じたメーカーの事例もあります。サードパーティ(外部委託先、サービス連携先、サービス利用先、調達先等)、フォースパーティ(サードパーティの再委託先等)を含めた業務プロセス全体を見通して、脆弱な部分は無いか、BCPの整合性が取れているのかを点検したうえで、訓練などを通じて対策の実効性を検証しておくことが業務の強靭性の確保につながります。
NRIでは今後もこのようなアンケート調査を実施し、金融機関のBCMの取り組みに関する提言を行ってまいります。
ご参考
調査概要
調査名 | 事業継続マネジメント(BCM)に関するアンケート調査 |
---|---|
調査時期 | 2023年1月9日~2023年1月31日 |
調査方法 | 郵送方式 |
調査対象 |
金融庁より免許・許可・登録等を受けている以下業態
(銀行、証券、資産運用、保険、その他金融) |
有効回答数 |
122社
(銀行21社、証券46社、資産運用29社、保険13社、その他金融13社) |
主な調査項目 |
BCMの規格ISO22301の枠組みをベースとした約30問
※サイバーセキュリティ、経済安全保障推進法案、気候変動リスク、リモートワーク等、昨今の環境変化に伴う事業継続に係る危機意識に関する項目を含む |
-
1
事業継続マネジメント(Business Continuity Management)の略。企業がビジネスコンティニュイティ(BC)に取り組む上で、事業継続計画の策定から、その導入・運用・見直しという継続的改善を含む、包括的・統合的な事業継続のためのマネジメントのこと
-
2
一般財団法人 日本品質保証機構: https://www.jqa.jp/service_list/management/service/iso22301/
-
3
NRIがBCMの国際規格ISO22301に基づき開発した、BCMの成熟度を測るための評価手法
-
4
事業継続計画(business continuity plan)の略。潜在的損失によるインパクトの認識を行い実行可能な継続戦略の策定と実施、事故発生時の事業継続を確実にする継続計画。事故発生時に備えて開発、編成、維持されている手順および情報を文書化した事業継続の成果物
お問い合わせ
ニュースリリースに関するお問い合わせ
株式会社野村総合研究所 コーポレートコミュニケーション部 吉田、坂
TEL:03-5877-7100
E-mail:
kouhou@nri.co.jp
本件に関するお問い合わせ
株式会社野村総合研究所 金融ITイノベーション本部
金融ガバナンスプラットフォーム企画部 森、土師、斎藤、小宮
E-mail:
bcm-info@nri.co.jp