今、注目度が高まるレジリエンス

BCPの国際的な規格でありISOマネジメントシステムであるISO22301でも、その名に「セキュリティ及びレジリエンス」を冠しています。最近、注目度が高まりつつあるエマージングリスク（新興リスク）のマネジメントにおいても、レジリエンスという言葉が重要な活動要素として登場します。コーポレートガバナンスの国際的な教科書的存在であるOECDコーポレートガバナンス原則でも、レジリエンスという章が1つまるまる追加されました。金融機関でもオペレーショナル・レジリエンスという言葉がにわかに台頭しています。

このレジリエンスとはなんであるのか。みていきましょう。

困難から速やかに回復する能力

レジリエンス（レジリエンシー。以後、本稿ではレジリエンスと呼びます）とは、困難やストレス、逆境など、マイナスの影響が降りかかる事態に直面したとしても、適切に対応し、速やかに回復する能力を指します。例えば、企業や組織の事業が停止してしまうような事態に直面したときにも、受ける影響の範囲を小さく抑え、通常と同じレベルで製品・サービスを提供し続けられる能力などがこれに該当します。

国際規格にみるレジリエンス

レジリエンスとは前述したとおり、困難やストレス、逆境など、マイナスの影響が降りかかる事態に直面したとしても、適切に対応し、速やかに回復できる能力のことです。言い換えればレジリエンス＝対応力＋回復力です。

企業においては、自然災害やサイバー攻撃、火災・爆発などのいわゆる有事や、イノベーション技術の台頭などで企業存続そのものが脅かされるような危機事象の文脈で、用いられることが多いといえます。ですので、事業継続管理の国際規格であるISO22301や、エマージングリスクマネジメントの国際規格であるISO/TS31050でもレジリエンスという言葉が頻出します。

対応力、回復力をつけるには

わかりやすく解説するため、レジリエンスを「健康」の文脈で説明してみます。例えば、あなたがインフルエンザに罹患したとします。これが「マイナスの影響が降りかかる事態」です。この事態に直面した時にいかに速やかに元に近い状態に回復できるか、それがレジリエンスです。

このとき、対応力とは起きた事態にいかに適切かつ速やかに対応し、マイナスの影響を減らし上方トレンド（回復傾向）に持っていけるかということを意味します。先の「健康」の文脈では、「インフルエンザに罹患したかも」と思った瞬間に医者にかかり、処方箋をもらい、仕事をキャンセルし睡眠を取るといった対応がこれに該当します。また、回復力とは、どういうマイナスの影響を受けるにせよ、いかに早く元の状態に戻れるようにするかを指します。インフルエンザからいち早く回復するための力を得るためには、日頃からの十分な睡眠や運動などを通じて免疫力を高めておくことがこれに該当します。

両者は厳密に切り離せるものではなく補完関係にあります。適切な「対応力」を持つこと（例：罹患したと思ったらすぐに体を休めるように行動する等）は、マイナスの影響を最小化する効果を持ち、それ自体がいち早く回復する力の源泉にもなり得ます。逆に回復力を持っていれば、万が一対応が遅れても、大きなダメージから回復することを可能にします。双方の要素ともに必要不可欠な存在です。

今度はビジネスの文脈で、レジリエンスを掘り下げてみましょう（下図参照）。

地震災害に対するレジリエンスといった場合、地震が発生し事業の重要設備が壊れるなどのマイナスの影響に直面した場合に、企業がダメージを減らして速やかに回復する力があるか、を指すことになります。そして、この場面における企業のレジリエンスを決めるのはそうしたマイナスの影響が降りかかる前後の取り組みに委ねられます。具体的には、重要設備が倒壊しないように固定措置を講じておいたり、そもそも設備が激しく揺れないようにするために建屋自体を免震構造にしておくことも有効です。また、それでも設備が壊れてしまった場合に、代替機材をいち早く他拠点から持ち込んで生産再開できるように、日頃からそのための段取りを決めておくこともひとつの手です。

様々なリスクとレジリエンス

地震以外のリスクでも同様です。パンデミックに対するレジリエンスといった場合は、パンデミックが起きた際の企業としての回復力が問われます。技術イノベーションに対するレジリエンスでは、競合他社による技術イノベーション下の回復力が、サイバー攻撃に対するレジリエンスでは、サイバー攻撃で重要システムが停止した中での回復力が問われます。

なお、ここに挙げているのは一例であり、企業としては、想定できている・できていないにかかわらず、様々な事態に対するレジリエンスが問われることになります。

【図: 企業におけるレジリエンスとレジリエンス向上の具体例】

企業は、レジリエンスに対して「レジリエンス評価」と「レジリエンス向上」という観点でのアプローチが必要になります。このアプローチは一般的に、企業においてはBCP/BCMや危機管理という仕組みなどでカバーすることが比較的多いといえます。

企業のレジリエンスを向上させるには

「レジリエンス評価」とは、想定する事態に対して、自分たちがどれくらいマイナスの影響を被る可能性があるのか、どれくらいの回復力があるのかなどを分析・評価する活動を指します。また、「レジリエンス向上」とは、レジリエンス評価の結果に基づいて戦略や目標決めて対策を講じる活動を指します。

地震災害を例にとって説明しますと、まず地震災害における自分たちのレジリエンス評価が必要になります。地震災害が起きた時にどれくらいの被害が及び、どれくらい事業が中断するのか、どれくらいで復旧できそうかを分析します。合わせて、そうした状況下で経営はどれくらいのスピード感で回復したいのかを決定し、現状の回復力とのギャップを特定します。ギャップを特定するために訓練・演習を行うことも1つの有効な方法です。これが「レジリエンス評価」です。そしてそこで特定されたギャップに対して、どのように穴埋めをするのか対策を講じます。これが「レジリエンス向上」です。

この「レジリエンス評価」と「レジリエンス向上」の考え方は、地震災害に限らず、企業のレジリエンスが試される全ての事象に当てはまるものです。

レジリエンスは様々な分野で活用されています。物事の不確実性が高く、変化が目まぐるしい時代を生き抜く課題解決力として、レジリエンスという考え方が期待されているからです。

1. 個人レジリエンス

心理学や精神医学の領域ではレジリエンスは、逆境に対する精神的回復力、自発的治癒力などを指します。レジリエンスの高い人とは、ストレスや危機的な状況を上手に対処し、適応できる人です。社員のメンタルヘルス研修などでも、レジリエンスの向上は注目されています。

2. 組織レジリエンス

本稿でも主に「組織レジリエンス」について解説してきました。組織レジリエンスとは、企業や組織において、事業が停止してしまうような事態に直面したときにも、受ける影響の範囲を小さく抑え、通常と同じレベルで製品・サービスを提供し続けられる能力のことを指します。組織レジリエンスに関する国際規格には、ISO22316があります。

3. 災害レジリエンス

災害に対する、社会や企業といったシステムの耐性や回復力を指すのが「災害レジリエンス」です。災害に備えて被害を最小化するとともに、被災後の速やかな復旧・復興力も併せもつ、総合的な災害対応力を意味します。政府による「国土強靭化（ナショナル・レジリエンス）」も、事前防災・減災の考え方に基づいた災害レジリエンス向上のための取り組みです。

4. 環境レジリエンス

地域の環境保全にもレジリエンスを重視した管理や統治が必要とされています。人類と自然が共生する社会生態系の維持には、複雑な階層からなるシステムのレジリエンスを低下させない人間活動が求められるからです。また、気候変動に対してもレジリエンスは注目されています。低炭素社会の実現を目指すとともに、気候変動により激甚化する自然災害に対する社会の強靭性や適応力の向上も不可欠となっています。

5. サイバーレジリエンス

従来のサイバーセキュリティは、主に防御へ重点を置いていました。一方、「サイバーレジリエンス」では、近年のサイバー攻撃の増加と高度化を背景に、攻撃を受けたあとの対応能力に大きな焦点を当てています。サイバー攻撃や自然災害に対し、被害を最小限に抑えて早期に事業を復旧させる能力、サイバーレジリエンスを高めようという考え方です。

6. 金融レジリエンス（オペレーショナル・レジリエンス）

金融の分野では、バーゼル銀行監督委員会が国際原則「オペレーショナル・レジリエンスのための諸原則」として策定しています。オペレーショナル・レジリエンスとは、業務中断が必ず起こることを前提に、利用者目線に立ち、早期復旧や影響範囲の軽減を担保する枠組みを確保することで、重要な業務を最低限維持すべき水準で提供し続ける能力のことです。