企業を超えた情報共有が求められる危機管理

来月の11日で9.11テロから10年になる。ワールドトレードセンター跡地・グランドゼロにはフリーダムタワーの建設が急速に進んでいる。我々のオフィスは金融街東部にありグランドゼロから1キロ弱離れているものの、周辺に瓦礫が散乱していたとの記録が残っている。

米国の証券関係者は9.11以降、事業継続計画(BCP)の改善を進めてきた。ビジネス影響度分析や脅威脆弱性分析から実際の計画へと繋げる「分析・計画」の強化、サーバやクライアントインフラの準備、DRサイト構築、社内ルール作りといった計画の「実装」、テスト・監査の実施や実際のBCP発動を通じた「評価」、そして計画の見直しといった対応がなされている。また、対象とする危機もテロや自然災害対策から、停電やストライキによる地域インフラの停止、鳥インフルエンザなどの疫病対策と時期の課題に合わせてテーマが変化しており、最近ではサイバーテロも対象とされている。ITを対象としたものでは、当初は紙情報の電子化、ミラーリングやバックアップとデータセンター構成が重視されたが、その後は在宅勤務のインフラが話題となっている。

BCPを強化が進む過程で非常に興味深いものとして、証券業界全体での情報共有、とくに業界をあげたBCPカンファレンスの実施があげられる。このカンファレンスでは、BCP担当者が情報交換する場として2002年から毎年開催された。議論のテーマは、当初は9.11の対応や当時のBCPの有効性について、その後は計画構築や実装、評価の手法などである。各社の事例と教訓も多数提供されている。証券業界全体で毎年行う接続テストや各社へのアンケートの結果を紹介するセッション、さらに担当者間での議論(ラウンドテーブル)などで、BCP対応状況の傾向や課題なども共有された。学術界から気象学、疫学、心理学などBCP周辺知識の講演もあり、思いもかけぬ計画の穴を指摘されることもある。このカンファレンスは十分な成果をあげたため2008年で終了したものの、現在でも証券・金融業協会(SIFMA)のWebサイトには2003年以降のプレゼンテーションが掲載されている。

私の所属するNY情報技術センターではこのカンファレンスに例年参加し、大和総研内、さらには大和証券グループ内に情報を提供してきた。そのレポートを改めて参照すると、多数の具体的な知見が詰まっていることに今更ながら驚く。このカンファレンスが「良いもの」となった背景に、大手の証券会社や機関投資家が積極的かつ赤裸々に情報を提供したことにある。これは、9.11での復旧の過程を通じて経験が蓄積されたことに加え、災害への対処は各社の協力が必須と考えられたからである。さらに、その後のBCP対象となるイベントが頻発し、各社の問題意識が高まったことも一因にある。

東日本大震災は1000年に一度の災害とも言われている。災害対策への問題意識も強まり、BCPも改めて話題となっている。また、一つの会社だけでは対処できない事象が多数発生しうることも認識されている。そういった状況だからこそ、日本でもこのカンファレンスのような、企業を超えた情報共有を今なら有意義に行えるのではなかろうか。