大震災と事業継続管理 第4回「BCP策定の手順」 | ScanNetSecurity
2024.03.19(火)

大震災と事業継続管理 第4回「BCP策定の手順」

事故や災害に備える事業継続管理(BCM)が十数年前から議論され、国際標準化に向けた作業も進められています。日本でも都市圏の直下型地震の発生が懸念される中、ガイドラインが制定され、企業や行政機関において事業継続計画(BCP)を立案するところも増えてきたところです

特集 特集
事故や災害に備える事業継続管理(BCM)が十数年前から議論され、国際標準化に向けた作業も進められています。日本でも都市圏の直下型地震の発生が懸念される中、ガイドラインが制定され、企業や行政機関において事業継続計画(BCP)を立案するところも増えてきたところです。

そんな中、未曾有の大地震である東日本大地震が発生しました。今回の地震は、関東から東北にかけた極めて広い地域で被災してしまったことが、想定外の状況だったと言えます。 今回のコラムでは、震災とBCMについて説明します。

●事業継続管理の概要-BCM、BCPとは

事業継続管理(BCM:Business Continuity Management)は、事故や災害などが発生した際に、「如何に事業を継続させるか」若しくは「如何に事業を目標として設定した時間内に再開させるか」について、組織の復旧力や対応力を構築するためのフレームワークです。

事業継続計画(BCP:Business Continuity Plan)は、そのための計画自体を指し、手順や情報を文書化したものです。BCMは、BCPの策定から運用、見直しまでのマネジメントシステム全体を指すもので、BCMのライフサイクルが効果的に運用管理され、改善し実行されるためにはPDCA(Plan Do Check Action)を実現するマネージメントが要求されます(図1)。

bcp02

●BCP策定の要点

BCP策定で最初に行うことは、自社の現行業務を理解し、事業継続に関して最優先すべき事業の重要要件を明確にすることです。次に、現行の業務プロセス、フローから、想定されるリスクや被害を検討していきます。この検討を元に、リスクの事業影響度分析(BIA:Business Impact Analysis)を行います。BIAは業務が中断した場合の影響を定量的、定性的に把握し、復旧目標を設定します。最後に目標を達成するための復旧戦略を立ててBCP(事業継続計画」を策定していくことになります。

●BCP策定の手順

(1)基本方針の決定とBCP作成チームの編成

まずは事業継続に係る基本方針を固め、その方針に沿ってチーム編成、プロジェクト計画等を立てていきます。その際、既存の社内規定や業務に関する規定類について関連規定事項を調査し、適用性や変更が必要なものにつて洗出し関連事項を整理しておきます。またBCPを整備していないことに対する法的責任を問われることもありますので、関係部局に対する報告義務や個人情報保護法も含めコンプライアンスへの留意が必要になってきます。

(2)プロジェクト計画の策定

効率的なBCP策定のために、BCPの策定対象を自社の重要な事業分野に絞り込むと同時に、対象とするグループや関連企業の特定を行います。またBCPは全体的な事業計画や技術計画との整合も求められ、プロジェクト管理の作業計画(例:管理方法、責務、スケジュール、費用等)を作成します。これらのプロジェクト計画は経営層による承認を得て、正式な計画として発効することになります。

(3)事業影響度分析(BIA)の実施

業務停止がビジネスに与える影響を考える事業影響度分析(BIA:Business Impact Analysis)を実施します。BIAは、リスクと被害状況の想定から、最も重要な事業分野に対して効果的な事業継続計画を策定するために実施されるものです。BIAでは、財務上の損失、競争上の優位性、信用の喪失など、機能停止による影響度を分析し、時間的要素がクリティカルな各事業の目標復旧時間(RTO:Recovery Time Objective)、目標復旧レベルなどを決定し経営者の承認を得ます。

(4)復旧戦略

リスクと被害の想定をふまえ、BIAで示された目標復旧時間(RTO)を達成する効果的な復旧対策を選定します。さらに必要となるリソース(人員、システム、通信施設、資金など)をまとめ、復旧作業の戦略を策定します。復旧戦略には、事業の復旧、施設の復旧、人員の復旧、通信の復旧、データの復旧などが含まれます。復旧対象は事業継続に必要かつ重要な関連会社や取引先も含み、取引先に対してBCPの策定を要請することも検討されます。

(5)BCP有効性チェック

策定したBCPについては、実行性の確認や見落としをチェックするテスト計画をたてます。テストには、予行演習、チェックリストテスト、机上シミュレーション、業務停止テストなどがあります。業務停止テストでは、実際の災害を引き起こす恐れもありますから、部分的に実施するなどの注意が必要です。さらに事業継続計画に対する意識向上と実行性の向上に向けた訓練を行います。

●BCPの実践

災害や事故などの緊急事態が発生すると、規定に従ってBCPを発動することになります。BCP発動後、代替手段等により最も緊急度の高い業務から再開していきます(重要業務の復旧)。緊急度の高い業務の再開後、さらに回復業務を拡大していくフェーズ(復旧範囲の拡大)に移行します。最後に代替設備・手段から平常運用へ切り替えるフェーズ(平常運用への切り替え)と進めていきます。

BCPの策定を含むBCMの実践により、実際に大規模な災害や事故が発生した場合においても、重要業務について復旧時間の目標を目指した業務の回復が期待できるようになり、その結果許容限界を超えた重大な事業中断を回避し(図2)、市場の信頼獲得や企業価値の向上にも繋がっていくことになります。

bcp03

セキュリティ対策コラム
http://security.intellilink.co.jp/article/

(林 誠一郎)
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×