事業継続管理（BCM）が本格始動へ＜第1回＞

　テロや自然災害等の事件・事故が後を絶たない中で、BCM（事業継続管理）への注目が集まり、事業継続計画（BCP）を策定する組織が増え始めています。またCSR（社会的責任）、SOX法（*1）やISMS（情報セキュリティマネージメント）で求められる内部統制の対象としても位

特集特集

2009年1月6日（火） 18時00分

　テロや自然災害等の事件・事故が後を絶たない中で、BCM（事業継続管理）への注目が集まり、事業継続計画（BCP）を策定する組織が増え始めています。またCSR（社会的責任）、SOX法（*1）やISMS（情報セキュリティマネージメント）で求められる内部統制の対象としても位置づけられ、各種事業法においてもBCMが求められている状況です。

―BCM、BCPとは

　事業継続管理（BCM：Business Continuity Management）は、事故や災害などが発生した際に、「如何に事業を継続させるか」もしくは「如何に事業を目標として設定した時間内に再開させるか」について、組織の復旧力や対応力を構築するためのフレームワークです。事業継続計画（BCP：Business Continuity Plan）は、そのための計画自体を指し、手順や情報を文書化したものです。BCMは、BCPの策定から運用、見直しまでのマネジメントシステム全体を指すもので、BCMのライフサイクルが効果的に運用管理され、改善し実行されるためにはPDCA（Plan Do Check Action）を実現するマネージメントが要求されます。

（*1）SOX法：上場企業およびその連結子会社に、会計監査制度の充実と企業の内部統制強化を求める米国の法律で、日本でも日本版SOXと言われ、「金融商品取引法」の中で証券取引法の改正として制定されました。

【1】求められる事業継続管理（BCM）

（1）内部統制とBCM

　SOX法や新会社法等に見られるように、企業に対して内部統制による適正な企業活動や社会的責任（CSR）が今日強く求められています。また、情報セキュリティの観点からも、ISMS（Information Security Management System）で事業継続を求めています。こうした動きを背景に、先進的な企業を中心として、BCMをより積極的にとらえ、事業回復力（レジリエンシー）の早期整備を競争要因とするようになってきました。

（2）サプライチェーンとBCM

　日経新聞によると、四川大地震では、操業停止に追い込まれた現地企業（国有企業または年商500万元以上の一般企業）のうち、27％に相当する1,482社は、1カ月余り経過した時点でも生産を再開できずにいます。このうち24％は、稼働再開まで3カ月以上かかる見通しだと報じていました。

　また、2007年7月に発生した新潟県中越沖地震では、自動車部品の分野で高いシェアを持つリケンが被災し、業務が停止しました。リケンの業務停止は、自動車メーカーに大きな打撃を与えました。この例では事業継続を実現するためには、サプライチェーン全体で考える必要があるということを示しています。

　結局、リケンの操業停止により、国内自動車メーカーの生産の遅れは、10万台以上になり、この遅れを取り戻すまでに数カ月を要したと言われています。最近では、サプライチェーンなどで企業同士連携が増えており、特に海外との取引がある場合、海外企業がBCMの整備レベルを取引条件にし始めています。

【2】規格・ガイドライン策定と標準化の動き

　BCMが求められてきている中で、BCMに関する議論や認定制度、BCM構築支援サービスの提供等に係わる動きが急速に活発になっています。一方、行政府によるガイドラインも公表され、国際標準化についても国際標準化機構（ISO：International Organization for Standardization）で議論が進められています。

＜諸外国の状況＞

◇2002年に英国規格協会（BSI：British Standards Institution）がBCMの一般仕様として「PAS56」（Publicly Available Specification 56：英国国家規格の前段階）を策定し、次いで英国規格としてBS25999が発行されました。BS25999は2部で構成されており、BS25999Part1は、事業継続管理のための実践規範でありガイドラインにあたります。BS25999Part2は事業継続管理のための仕様で、事業継続マネジメントシステム（BCMS）の要求事項を詳述しています。Part2は、パートナー企業やサプライヤーの適切なBCMの整備を確認できるように第三者認証用規格として発行されました。BS25999Part2の審査プロセスと認
証により、組織は規格要求事項への準拠とBCMのベストプラクティスの実践を外部にアピールすることができるようになります。

◇米国では、2001年9月11日の同時多発テロ以降、度重なるテロリストからのテロ予告に加え、ハリケーン・カトリーナなどの天災による被害を受け、米国政府は、BCPやDR（Disaster Recovery：災害復旧）の重要性を認識して、2004年にNFPA（National Fire Protection Association）が「NFPA1600」を策定しました。次章では米国でのBCM進展状況を紹介します。

◇日本では、内閣府が従来の危機管理計画とは異なり、企業活動の阻害要因を体系的に整理し、影響度分析を通じたBCPの策定方法等、BCMに係わるガイドラインを国際規格化の動きを視野に入れながら策定し2005年に公開しています。

事業継続ガイドライン第一版
http://www.bousai.go.jp/MinkanToShijyou/guideline01.pdf

　さらに経済産業省では、ITに焦点を当てた検討が進められ、企業をはじめとするユーザ組織を念頭に、実施策等を具体化したITサービス継続性管理（ITSCM:：IT Service Continuity Management）のガイドラインを策定し、2008年に公表しました。

IT サービス継続ガイドライン
http://www.meti.go.jp/press/20080903001/02_it_gl.pdf

　総務省では地方公共団体におけるICT部門のBCP策定に関するガイドラインを2008年に公表し、自治体でも本格的な取り組みが始まっています。

「地方公共団体におけるICT部門の業務継続計画（BCP）策定に関するガイドライン」の公表
http://www.soumu.go.jp/s-news/2008/080821_3.html

＜国際標準化の状況＞

　危機管理体制（Emergency Preparedness）に関する国際規格化を議論する国際会議が2006年に開催され、米国、カナダ（NFPA1600）、英国（BS25999）、オーストラリア（HB221）、イスラエルと日本からそれぞれ提出されたドラフをベースとして検討が進んでおり、2009年には国際標準化（ISO化）される
と見込まれています。

【3】米国で進むBCMの展開

　米国投資銀行のメリルリンチでは、9.11テロに見舞われましたが、BCPを既に作成し、事件前の5月に本社機能停止に備えた2日間におよぶ全社大規模模擬訓練を実施していたことから、テロの際には…

【次回の予定】
次回のコラムでも引続き事業継続管理について、特にBCP策定のポイントやBCP策定状況について解説する予定です。

【執筆：東京大学情報セキュリティコミュニティ副代表林誠一郎】

＊各規格名、会社名、団体名は、各社の商標または登録商標です。

【関連リンク】
NTTデータ・セキュリティ　セキュリティ対策コラム
http://www.nttdata-sec.co.jp/column/index.html

《ScanNetSecurity》