経済環境が悪化している中、事業継続対応投資の縮小圧力も強くなることが予想されます。一方現在ISO(国際標準化機構)で事業継続マネージメント(BCM)の規格化が進められており、本年中にも制定すると見られ、国際標準化がBCM拡大の大きな促進材料になると思われます。BCMは、図1のような事業継続計画の策定から始まるPDCA(Plan Do Check Act)サイクルに基づいて構築されます。今回のコラムでは、この事業継続計画書(BCP)について策定のポイントと現状の策定状況について解説します。図1: https://www.netsecurity.ne.jp/images/article/bcm_1.jpg 1. BCP策定のポイント BCP策定で最初に行うことは、自社の現行業務を理解し、事業継続に関して最優先すべき事業の重要要件を明確にすることです。次に、現行の業務プロセス、フローを把握しながら、想定されるリスクならびに被害を検討していきます。この検討を元に、事業影響度分析(BIA:Business Impact Analysis)により業務が中断した場合の影響を定量的、定性的に把握し、復旧目標を設定します。最後に目標を達成する復旧戦略を立ててBCPを策定していくことになります。(1)BCP策定の手順(a) 基本方針の決定とBCP作成チームの編成◆まずは事業継続に係る基本方針を固め、その方針に沿ってチーム編成、プロジェクト計画等を立てていきます。その際、既存の社内規定や業務に関する規定類について関連規定事項を調査し、適用性や変更が必要なものについて洗い出し関連事項を整理しておくことが肝要です。またBCPを整備していないことに対する法的責任を問われることもありますので、関係部局に対する報告義務や個人情報保護法も含めコンプライアンスへの留意が必要になってきます。◆BCP作成チームの編成に当たっては、全体計画の維持や作業調整等を実施する事務局の運営管理の基に進めます。チームのメンバーは兼務が可能ですが、事務局は専任体制が求められるでしょう。(b) プロジェクト計画の策定 効率的なBCP策定のために、BCPの策定対象を自社の重要な事業分野に絞り込むと同時に、対象とするグループや関連企業の特定を行います。またBCPは全体的な事業計画や技術計画との整合も求められ、プロジェクト管理の作業計画(例:管理方法、責務、スケジュール、費用等)を作成します。これらのプロジェクト計画は経営層による承認を得て、正式な計画として発効することになります。(c) 事業影響度分析(BIA)の実施 業務停止がビジネスに与える影響を考える事業影響度分析(BIA:Business Impact Analysis)を実施します。BIAは、リスクと被害状況の想定から、最も重要な事業分野に対して効果的な事業継続計画を策定するために実施されるものです。 BIAでは、財務上の損失、競争上の優位性、信用の喪失など、機能停止による影響度を分析し、時間的要素がクリティカルな各事業の目標復旧時間(RTO:Recovery Time Objective)、目標復旧レベルなどを決定し経営者の承認を得ます。(d) 復旧戦略 リスクと被害の想定をふまえ、BIAで示された目標復旧時間(RTO)を達成する効果的な復旧対策を選定します。さらに必要となるリソース(人員、システム、通信施設、資金など)をまとめ、復旧作業の戦略を策定します。復旧戦略には、事業の復旧、施設の復旧、人員の復旧、通信の復旧、データの復旧などが含まれます。復旧対象は事業継続に必要かつ重要な関連会社や取引先も含み、取引先に対してBCPの策定を要請することも検討されます。(e) BCP有効性チェック 策定したBCPについては、実行性の確認や見落としをチェックするテスト計画をたてます。テストには、予行演習、チェックリストテスト、机上シミュレーション、業務停止テストなどがあります。業務停止テストでは、実際の災害を引き起こす恐れもありますから、部分的に実施するなどの注意が必要です。さらに事業継続計画に対する意識向上と実行性の向上に向けた訓練を行います。(2)BCPの実践◆災害や事故などの緊急事態が発生すると、規定に従ってBCPを発動することになります。BCP発動後、代替手段等により最も緊急度の高い業務から再開していきます(重要業務の復旧)。緊急度の高い業務の再開後、さらに回復業務を拡大していくフェーズ(復旧範囲の拡大)に移行します。最後に代替設備・手段から平常運用へ切り替えるフェーズ(平常運用への切り替え)と進めていきます。◆BCPの策定を含むBCMの実践により、実際に大規模な災害や事故が発生した場合においても、重要業務について復旧時間の目標を目指した業務の回復が期待できるようになります(図2)。その結果許容限界を超えた重大な事業中断を回避し、市場の信頼獲得や企業価値の向上にも繋がっていくことになります。第1回のコラムでも言及しましたように、最近ではサプライチェーンなどで企業間の連携が増えており、特に海外との取引がある場合、海外企業がBCMの整備レベルを取引条件にし始めています。図2: https://www.netsecurity.ne.jp/images/article/bcm_2.jpg 2. BCP(事業継続計画)の策定状況 2003年に「企業内容等の開示に関する内閣府令」の改正により、リスクに関する情報を有価証券報告書に記述することが義務付けられました。実際にはリスクの開示のみならずBCMへの対応について記述している報告書も多くみられるようです。また、金融業界では金融庁が危機管理体制の構築を求めていることもあり、BCPやコンティンジェンシープランなどに関する取り組みについての情報を開示しているところも多くなってきています。<BCPの策定状況>◆KPMGビジネスアシュアランス(株)の調査によると、日本ではBCPの策定が進んできているものの(2006年15%、2008年39%)、事業継続に必要なリソースを把握している企業や過去1年間にBCPの教育、演習を行っている企業は半数以下に留まっており、BCPの実行性が十分でないことが伺えるとしています。 BCP策定が進んでいる業態としては、「金融・保険業」「建設・不動産業」で、5割を超える事業体が策定済みのようです。米国では、BCPを策定している企業の割合は58%(2008年)ですから、この2年で日本との差が大きく縮まりました(図3、4)。但し、日本ではBCPのテスト、演習を実施した経験のない企業の割合は依然大きな差があるとしています。※出典:「事業継続マネジメント(BCM)サーベイ2008」(KPMGビジネスアシュアランス株式会社)図3: https://www.netsecurity.ne.jp/images/article/bcm_3.jpg 図4: https://www.netsecurity.ne.jp/images/article/bcm_4.jpg ◆総務省の2008年の調査によると、BCPを策定している都道府県は3自治体(6.4%)で、市区町村では41自治体(2.3%)に止まっているようです。ただし、業務継続計画を策定していない自治体のうち、都道府県の22自治体(50%)、市区町村の356自治体(20.1%)が2008年度もしくは2009年度までに策定する予定だということです。3. 注目される話題(1)リスクコミュニケーション◆経済産業省の事業継続ガイドラインにおいて、事業継続におけるリスクコミュニケーションの重要性が指摘されています。BCP発動フェーズにおける災害や事故について、発生の事実、影響範囲、回復の見込みなどについての情報共有や二次災害が発生していないか、発動したBCP が支障なく遂行できているか、顧客への影響が拡大していないか、回復見込みに遅れが生じていないかなどについての情報共有が求められると指摘しています。従業員が事業継続に関わる意識を高め、リスクや対策、手順等について情報を共有しておくことも重要になるでしょう。◆リスクコミュニケーションは、リスクマネージメントにおいて重要な機能として位置づけられており、リスクに関係する人々がリスクに関する情報を共有し、リスクを認識して効果的、効率的な対策を打てるようにすることです。リスクコミュニケーションの目的としては、A.リスクの発見・特定の情報収集、B.利害関係者へのリスクによる被害に対する防止・低減、C.組織内外の利害関係者に対するリスクに関する正確な理解等が一般に挙げられています。参考情報:NTTデータ・セキュリティ(株)セキュリティ対策コラム「新たなリスク管理の展開(2)」 http://www.nttdata-sec.co.jp/article/security/070927.html (2)新型インフルエンザ対応事業継続管理 新型インフルエンザ発生の脅威が高まり、世界的な大流行(パンデミック)が危惧されています… 【執筆:東京大学 情報セキュリティコミュニティ 副代表 林 誠一郎】*各規格名、会社名、団体名は、各社の商標または登録商標です。【関連リンク】NTTデータ・セキュリティ セキュリティ対策コラム http://www.nttdata-sec.co.jp/column/index.html ── ※ この記事は Scan購読会員向け記事をダイジェスト掲載しました 購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
