基幹システム再構築はBCP対策でもある──災害より怖い「属人化リスク」

BCPというと災害対策ばかりが注目される

BCP(Business Continuity Plan:事業継続計画)という言葉を聞くと、多くの人は地震や台風、大規模停電といった災害対策を思い浮かべるのではないでしょうか。実際、BCPに関する解説でも、次のような内容が中心です。

  • データのバックアップ
  • クラウド環境への移行
  • 非常時の連絡網整備
  • 災害時の代替拠点確保

もちろんこれらは重要ですし、近年ではランサムウェアなどのサイバー攻撃も事業継続を脅かす要因として広く認知されるようになってきました。しかし、私たちが中堅・中小企業のITプロジェクトを支援する中で感じるのは、事業継続を脅かすリスクは災害やサイバー攻撃だけではないということです。むしろ現実には、私たちが日々ご支援する企業の現場で、次のような要因によって企業活動が深刻な影響を受けるケースの方が身近かもしれません。

  • 基幹システムを理解する担当者の退職
  • 保守ベンダの撤退
  • 老朽化したシステムの障害
  • ブラックボックス化した業務

そして厄介なのは、これらのリスクは災害のように突然ニュースになることもなく、静かに進行することです。気づいたときには、既に対処が難しい状態になっていることも少なくありません。

なお、退職や異動といった人事の変化は、地震やシステム障害のような「突発的なインシデント」とは性質が異なります。厳密には、事業継続マネジメント(BCM)や人的資源リスクの領域に近い話だとも言えるでしょう。しかし、「事業を止めかねない重要な経営資源を、ある日突然失う」という結果だけを見れば、本質はまったく同じです。本記事では、この実務的な視点から、属人化を事業継続上の重大リスクとして扱います。

「今は動いている」が最も危険な状態

基幹システム再構築の相談を受ける際、よく耳にする言葉があります。

今のところ特に困っていないんです。

これは利用部門から見れば自然な感覚です。

  • 毎日受発注ができている
  • 請求書も出力できている
  • 売上計上もできている

そのため、「まだ大丈夫」という判断になりやすいのですが、システムの裏側を確認すると、状況はまったく異なることがあります。私たちが実際に相談を受けた案件でも、次のような状況は珍しくありません。

  • 「このシステムは20年以上前に開発されたが、設計書が残っていない」
  • 「保守ベンダの担当者が定年退職を迎える」
  • 「改修見積りを依頼しても、調査だけで数百万円かかると言われた」
  • 「使われているプログラム言語に対応できるエンジニアが、もう市場にほとんどいない」
  • 「サーバーOSのサポートはとうに終了しており、セキュリティパッチも提供されていない」

これは特殊な例ではありません。システム老朽化は、長年同じ基幹システムを使い続けている企業であれば、どこでも起こり得ることです。建物に例えるなら、外見は問題なく見えるものの、基礎部分にひび割れが広がっているようなものです。問題は、システムは老朽化を事前に知らせてくれないことです。ある日突然障害が発生し、そのとき初めて企業はリスクの大きさを認識することになります。

最大のBCPリスクは「人」に依存していること

ここで一つ考えてみていただきたいことがあります。あなたの会社で、特定の担当者が突然いなくなった場合、本当に業務は継続できるでしょうか。

実際にご支援してきた現場でも、次のような声を頻繁に耳にします。

  • 「この機能は〇〇さんしか分からない」
  • 「この帳票の仕組みは前任者しか知らない」
  • 「システムのことはベンダ担当者に聞かないと分からない」

多くの企業では、これを「仕方がないこと」として受け止めています。しかしBCPの観点から見ると、これは極めて重大なリスクです。

地震は数十年に一度、退職は毎年起こる

地震や台風がいつ起きるかは、誰にも分かりません。一方で、毎年のように確実に起きていることがあります。

  • 災害は発生確率が低く、数十年に一度しか起こらないこともある
  • 退職や異動、病気、定年は、毎年どこかの企業で確実に発生している

発生確率だけで考えれば、「人がいなくなるリスク」の方が、災害よりもはるかに現実的で、頻度の高い脅威なのです。

それにもかかわらず、多くの企業は災害対策には投資をしても、属人化対策には十分な投資をしていません。理由は単純です。属人化は、問題が表面化するまでは便利だからです。詳しい人が一人いる方が話は早く、長年担当している人がいれば安心できます。しかし、その安心感は非常に脆い土台の上に成り立っています。

例えば、設計書の整備や業務の標準化にかかる費用は、担当者が突然不在になった際に発生する業務停止・機会損失・緊急対応コストと比べれば、決して高い投資ではありません。属人化対策とは、いわば「保険」であり、平時には実感しにくいものの、いざというときにその価値が証明されます。

加えて、属人化リスクは社内だけの問題にとどまりません。近年は取引先や金融機関がBCP体制を取引条件として確認するケースも増えています。特定の担当者がいなければ対応できない体制では、こうした審査において信用を損なう可能性もあります。

属人化リスクはITの問題ではなく経営の問題

ここで重要なのは、属人化を単なるIT部門の課題として捉えないことです。本質的には経営の問題です。

そもそも、属人化は現場が意図して作り出すものではありません。現場は日々、目の前の業務を回すことを最優先に最適化します。その結果として、特定の担当者に知識や経験が集中していくことは、ある意味で自然な現象です。それを許容するのか、それとも仕組みとして是正するのかを決めるのは、経営の役割です。属人化とは、いわば経営が長年にわたり下してきた「現状維持」という判断の積み重ねとも言えるでしょう。

なぜなら、どこまでを個人に依存し、どこからを組織として仕組み化するのかは、経営判断だからです。例えば、

  • 設計書整備に予算を使うのか
  • システム再構築に投資するのか
  • 後継者育成に時間を割くのか
  • 業務標準化を進めるのか

こうした判断は現場ではなく経営が行うべきものです。しかし現実には、

今は動いているから

という理由で先送りされることが少なくありません。そして問題が顕在化したときには、

なぜもっと早く手を打たなかったのか

という話になります。BCPとは、問題が起きた後の対応計画ではありません。問題が起きる前に、どのリスクを受け入れ、どのリスクを減らすかを決める経営活動でもあるのです。

属人化対策やシステムの老朽化対応は、財務リスクやコンプライアンスリスクと同様に、経営層が把握すべきリスク項目として扱われるべきです。リスクを「見える化」し、経営会議の議題として定期的に確認する体制を持つ企業ほど、有事の際の対応力も高い傾向にあります。

対策は「いきなり基幹システム再構築」でなくていい

属人化リスクの話をすると、「では今すぐ基幹システムを総入れ替えしよう」と考える経営者もいらっしゃいます。しかし、それは必ずしも正しい最初の一歩ではありません。基幹システムの再構築は、要件定義から稼働まで数年、投資額も数千万円から億単位に及ぶことのある、企業にとって極めてリスクの高い意思決定です。いきなり大規模な再構築に着手する前に、まず取り組むべき、リスクの低いステップがあります。

  • ① 現状の可視化(棚卸し):どの業務が、誰の頭の中にしかない知識やスキルで支えられているのかを洗い出す
  • ② ドキュメント化:緊急度の高い業務から、仕様や手順、暗黙知を言語化・記録する
  • ③ リスクの優先順位付け:「止まったら致命的な業務」と「止まっても許容できる業務」を経営として線引きする
  • ④ 段階的な刷新の検討:可視化の結果、現行システムそのものの制約が事業継続の障害になっていると分かった場合に、初めて再構築を選択肢として検討する

この4つのステップを踏むことで、いきなり大きな投資判断をせずとも、属人化リスクを着実に減らしていくことができます。そして、棚卸しとドキュメント化を進める中で、現行システムの限界そのものが事業継続の障害になっていると分かったときに初めて、基幹システム再構築が選択肢として浮かび上がってきます。

基幹システム再構築は「攻め」ではなく「守り」の投資でもある

前章のステップを踏んだ結果として基幹システム再構築が視野に入ったとき、多くの経営者が抱くイメージは次のようなものです。

  • DX推進
  • AI活用
  • クラウド移行
  • 業務効率化

といった華やかなテーマが注目されます。もちろんそれらも重要ですが、多くの企業にとって再構築の本質はもっと地味なところにあります。それは、

「事業を継続できる状態を維持すること」です。

家の耐震補強が売上を増やさないのと同じように、基幹システム再構築も直接利益を生むわけではありません。しかし、事業を守る力を高めます。平常時には見えにくい価値ですが、有事の際には大きな差となって現れます。

経済産業省が指摘してきた、いわゆる「2025年の崖」という言葉をご存じの方も多いかもしれません。レガシーシステムを放置することによる経済損失リスクへの警鐘として示されたものですが、その本質は今も変わっていません。むしろ、守りの基盤が整っていなければ、DXやAI活用といった攻めの投資自体が成り立たなくなります。だからこそ、基幹システム再構築はDX投資であると同時に、BCP投資でもあるのです。

BCPとは「何を守るか」を決めること

BCPというと、システムを止めないことが目的だと思われがちです。しかし本当に守るべきものはシステムそのものではありません。守るべきなのは、

  • 顧客へのサービス提供
  • 受発注業務
  • 出荷業務
  • 売上計上
  • 資金繰り

といった事業活動そのものです。そのためには、次のような優先順位を事前に決めておく必要があります。

  • 障害が発生したら何を優先して復旧するのか
  • どの業務は止めてもよいのか
  • 誰が最終判断を行うのか

つまりBCPとは、単なる災害マニュアルではありません。企業として何を守るのかを定義し、そのための判断基準を共有する活動なのです。

まとめ:基幹システム再構築は未来のためではなく、今の事業を守るために行う

レガシーシステムは、目に見えない形で事業継続リスクを蓄積していきます。その中でも特に危険なのが属人化です。

災害はいつ起きるか分かりません。しかし、人がいなくなるリスクは確実に存在し、サイバー攻撃のリスクも年々高まっています。だからこそ、基幹システム再構築は単なるIT投資ではなく、事業を継続するための経営判断であり、BCP対策の一つでもあります。

「今は問題なく動いている」——この言葉ほど、基幹システム再構築の現場で危うい言葉はありません。システムが止まってから再構築を考えるのではなく、事業を止めないために再構築を考える。それこそが、BCPの本質なのではないでしょうか。

対策にかかるコストは、後回しにするほど高くなります。今、システムが動いているうちにこそ、最も低いコストで備えることができるのです。

まずは、自社の属人化リスクを棚卸しすることから始めてください。それだけでも、見えなかったリスクの輪郭がはっきりと見えてきます。

関連記事

「自社システムは本当に大丈夫なのか」——その判断自体が難しいという企業様も少なくありません。当社では、現状分析から再構築の必要性判断、ベンダ選定まで、第三者の立場でご支援しています。まずは現状を一緒に整理するところから、お気軽にご相談ください。

お問い合わせ・ご相談はこちら

この記事を書いた人について

谷尾 薫
谷尾 薫
オーシャン・アンド・パートナーズ株式会社 代表取締役
協同組合シー・ソフトウェア(全省庁統一資格Aランク)代表理事

富士通、日本オラクル、フューチャーアーキテクト、独立系ベンチャーを経てオーシャン・アンド・パートナーズ株式会社を設立。2010年中小企業基盤整備機構「創業・ベンチャーフォーラム」にてチャレンジ事例100に選出。

関連記事

AI自動応答
資料ダウンロード