企業がこれまで事業継続計画(BCP)にどの程度投資してきたかどうかは、危機や混乱が発生した際に明らかになります。平時から危機管理の対応方法を入念に準備している企業は、問題が起きた時に速やかに対応し、すぐに立て直すことができます。一方、平時に危機に対する準備を怠っていた企業は、不意を突かれた状態になり、問題が収束してからも長期間にわたって苦しみ続けます。
香港を拠点とするアメリカンエキスプレス・グローバルビジネストラベル(GBT)のリスク・コンプライアンス・環境社会ガバナンス担当バイスプレジデントのSasha Kalb氏が、企業がBCPプログラムを構築する際に考慮すべき点や、GBTの自社の危機管理方法について皆さんにご紹介します。
Q. 企業はなぜBCPの優先順位を高くしておく必要があるのですか?
どんな企業でも、大なり小なりビジネスが中断するような状況に直面する可能性があります。大切なのは、顧客や従業員の安全を守りつつ、ビジネス継続の方針やその手順を定めて置くことです。そうしないと、問題が起きるたびに、休業に追い込まれたり、不要なコストが発生したり、人々の健康や安全が脅かされるかもしれません。
Q. BCPに出張中の従業員を守る方法を記載する必要があるのはなぜですか?
危機対応は出張中には特に重要となります。それは人々が自宅から遠く離れている状況におかれているからです。特に健康や安全が脅かされる状況において、従業員は雇い主がしっかりと対応することを期待します。
大規模な危機発生時には、間違いなく従業員が国内や世界中のあちこちにいる状況に直面することになります。よって、まずは彼らのいる場所を確認することが最初のステップとなります。そして彼らの安全を確認するためにコンタクトできるようにすること、そして幅広いコミュニケーション手段を有する必要があります。もし、彼らが危険な状況にいるのであれば、注意喚起し、家族や上司と連絡が取れるようにする必要があります。また、フライト、電車や車の予約変更のため、もしくは、滞在先から出られない状況であれば宿泊先の延泊手続きをするためにプロアクティブに動いてくれる旅行会社を連携するとよいでしょう。
Q. BCPを計画する際に最も重要な点はどのようなことですか?
企業文化に沿った目標を設定し、そこから計画に落とし込むことです。危機的状況におかれると、企業文化がどのようなものであっても、そこから逸脱するのはとても簡単です。ところが、一度逸脱してしまうと、従業員の支持、会社の基盤、顧客重視の姿勢を潜在的に失う可能性があり、以前の状態に戻すのが非常に困難になる場合があります。
Q. 現在の状況についてGBTはBCPの目標として何を重要視していますか?
GBTでは、2つ視点から検討してきました。社内の安全性と顧客管理です。私たちは、従業員の安全を確保しつつ、顧客のビジネス継続性を確保する必要があります。私たちは、そのどちらも等しく重要だと考えています。
Q. GBTでは、現在どのような方法で従業員の安全を確保していますか?
アジアはご存知のとおりウィルスの発生地域ですので、社内の緊急事態体制を早急に構築する必要がありました。まずはリモート機能がどの程度利用可能なのか検証しました:従業員に在宅勤務を指示する必要があるか?オフィスでの勤務者は最低限何人必要か?ソーシャルディスタンスを保つためにスタッフのローテーションをすべきか?などです。
また、私たちはオフィスで勤務する従業員の安全を確保するために何をすべきかを考えました:マスク着用が必要であれば、防護用品の数は十分にそろっているか?手指除菌用品はあるか?従業員同士が近くに座っている場合、移動してもらうことは可能か?別のフロアに人やデスクを移動することは可能か?などです。
いくつかのオフィスでは体温検査や渡航履歴を確認するために、健康状態のチェックも開始しました。
中国以外にウィルスが広がりを見せ始めた時は、すぐに中国で実施していた方式を別のオフィスで積極的に展開しました。中国全土でゴール設定や方式を作ってあったので、他の地域でどのように展開するか考えることは難しいことではありませんでした。
Q. 今回のパンデミックにおいて、GBTの顧客対応ではどのような点を重視していますか?
顧客の危機管理についても、私たちは社内と同じことを実行しました。顧客へのサービスは従業員の安全と同じように重要ですので、社内で中国国内の感染防止策として使用したのと同じリストを世界中に配布しました:お客様への電話やサービスの業務量はどの程度か?在宅勤務やオフィス勤務をしているスタッフの数はお客様に十分なサービスを提供するのに足りているか?お客様に十分な情報を提供できているか?などです。
当初はメールで情報提供をしていましたが、パンデミックが拡大したので、当社のウェブサイトに専用ページを開設し、お客様が必要としている情報を全てまとめて掲載することにしました。禁止されている航空会社や、フライトのキャンセル情報、政府からの命令事項など、新しい情報を担当者が随時アップデートしています。
Q. サイバーセキュリティの観点から、従業員が自宅で仕事をするときに生じる危険がありますが、GBTはデータ漏洩の脅威から身を守るためにどのような対策をしていますか?
GBTでは、従業員が自宅で仕事をする方法を厳しく管理しています。リモートで作業する場合、CIO(最高情報責任者)の承認がない限り、GBTの暗号化された機材を使って作業することが基本となります。また、従業員はすべて、GBTのVPN(仮想プライベートネットワーク)を介して接続します。オフィス環境以外で印刷はできません。
今回のパンデミック下では多くの詐欺の企みやフィッシング攻撃が行われているため、情報セキュリティ担当者から従業員全員に注意喚起のメッセージも送信しました。これは、毎年実施しているプライバシーとサイバーセキュリティに関する必須のオンライントレーニングとは別に実施されたものです。
Q. GBTでは、年間を通じてBCP(事業継続計画)をどのくらい実施していますか?
かなり多いですね。私たちは、数年前にローカル単位、地域単位、グローバル単位の3つの層に基づいて設計された、非常に堅牢なインシデント(訳注:問題や事故)管理応答(IMR)プログラムを用意しています。カテゴリごとにインシデントを処理する指定のチームがあり、ファンクションの名前が付けられているため、分かりやすくなっています。トレーニングは隔年で従業員全員に対して実施されます。卓上演習(訳注:ディスカッション形式の演習)と「今すぐ専用のIMRホットラインにダイヤルする」のテストとして実際にメッセージをランダムに送信しています。IMRのプログラムの裏側ではたくさんのテストとトレーニングが行われているのです。
IMRを設定するときに、レベル(低、中、または深刻な脅威)を割り当てます。レベル1が最も深刻です。
今回のパンデミックについては、1月27日からレベル1で運用しています。今回は非常にまれで前例のない状況だったため、IMRも通常より機敏に動く必要がありましたが、基本的な枠組みは変わっていません。 1月27日からの状況を経験したことで、事前に準備されたフレームワークが存在していることが実際の危機管理にどれほど役立つかを実感しています。
Q. GBTのIMRプログラムがこれほど強力なのはなぜですか?
従業員は既にIMRプログラムにとても精通しています。多くの人々が何年もIMRの研修に参加しているため、その内容と実践方法を理解しています。そのため、実際に発動したところで、珍しいものではありませんでした。それは、練習を経て、習得されたものだったのです。従業員は自分たちのリーダーが誰で、自分たちがなぜそこに参加しているのか、をよく理解していました。このような通常時の備えのおかげで、今回、このプログラムがうまく機能していると私は考えています。
Q. 銀行持株会社であることは、コンプライアンスプログラムにどのように役立ちましたか?
私たちは銀行持株会社(訳注:自らは実質的な事業活動を行わず、銀行、証券会社、保険会社などの金融機関の株主となってグループ内の各社を子会社として支配・管理する企業)であり、規制当局の監視下にあるので、コンプライアンスに一般的に適用される厳格な管理基準があります。IMRの計画と研修にも、同じ基準と厳格さを適用しているので、今後世界中で目にする可能性のあるインシデントの中でも最も大きいであろう(そうあってほしい)今回のパンデミックの危機管理を発動にあたっても、既に準備が整っていました。基準が高かったため、そのプログラムも機能したのだと思います。
Q. 最後に企業のリーダーに強調したいことは何ですか?
人々は危機が発生するまでは、危機が実際に発生するとは考えていません。私たちが従業員にIMRトレーニングの参加を呼び掛けていたとき、彼らは心の奥底では、これは本当に必要なことのだろうか?と考えていたかもしれません。ところがある日突然、単に必要なだけではなく、ミッションクリティカル(訳注:必要不可欠な業務)になりました。適切な計画がなければ、危機の中でうまく機能するのは非常に困難です。危機管理をこれまで最重要事項として位置付けていなかった企業にとって、危機管理を今後のリスク管理項目のひとつに追加することが必要だと考えます。
この文章は翻訳です。原文(英語)をご覧になりたい場合は、こちらをクリックください。