大震災と事業継続管理 第5回「BCP策定ガイドラインと諸外国の状況」 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.09.21(木)

大震災と事業継続管理 第5回「BCP策定ガイドラインと諸外国の状況」

特集 特集

事故や災害に備える事業継続管理(BCM)が十数年前から議論され、国際標準化に向けた作業も進められています。日本でも都市圏の直下型地震の発生が懸念される中、ガイドラインが制定され、企業や行政機関において事業継続計画(BCP)を立案するところも増えてきたところです。

そんな中、未曾有の大地震である東日本大地震が発生しました。今回の地震は、関東から東北にかけた極めて広い地域で被災してしまったことが、想定外の状況だったと言えます。

本連載では、何回かに渡って災害発生時における事業の継続性に焦点を当てて報告しています。今回は、BCP策定状況やガイドラインについて触れていきます。

●求められているBCM

テロや自然災害等の事件・事故が後を絶たない中で、BCM(事業継続管理)への注目が集まり、事業継続計画(BCP)を策定する組織が増え始めています。またCSR(社会的責任)、SOX法やISMS(情報セキュリティマネージメント)で求められる内部統制の対象としても位置づけられ、各種事業法においてもBCMが求められている状況です。こうしたBCMが求められてきている中で、BCMに関する議論や認定制度、BCM構築支援サービスの提供等に係わる動きが急速に活発化しています。一方、行政府によるガイドラインも公表されているところです。

●行政府の規格・ガイドライン

日本では、内閣府が従来の危機管理計画とは異なり、企業活動の阻害要因を体系的に整理し、影響度分析を通じたBCPの策定方法等、BCMに係わるガイドラインを国際規格化の動きを視野に入れながら策定し2005年に公開しています。経済産業省では、ITに焦点を当てた検討が進められ、企業をはじめとするユーザ組織を念頭に、実施策等を具体化したITサービス継続性管理(ITSCM:IT Service Continuity Management)のガイドラインを策定し、2008年に公表しました。総務省では地方公共団体におけるICT部門のBCP策定に関するガイドラインを2008年に公表し、自治体でも本格的な取り組みが始まっています。

さらにサプライチェーンに関連する企業まで、その安全性確保が全体の事業継続にとって必要になってくるということから、中小企業へのBCP(緊急時企業存続計画または事業継続計画)の普及を促進することを目的として、中小企業BCP策定運用指針を作成しています。指針には中小企業の特性や実状に基づいたBCPの策定及び継続的な運用の具体的方法が分かり易く説明されています。しかしながら、実際にBCPを策定している企業の数は少なく、中小企業庁が平成19年度に実施したBCP策定セミナーの参加者に対するアンケート結果によれば、BCP策定の障害になっているものは、「知識」、「人材」、「時間」、「情報」、「資金」等が挙げられています。中小企業に対するBCPの策定を普及させるためには、BCP策定に必要な「知識」及び「情報」を提供し、「人材」の育成を支援すること。さらに経営トップにBCP策定の必要性を理解してもらい、必要な経営資源の投入を促すことが重要であるとしています。

さらに国土交通省では、2009年に中小の建設会社を対象とした事業継続計画(BCP)の認定制度を創設し、運用されています。

民間と市場の力を活かした防災力向上に関する専門調査会(内閣府)
http://www.bousai.go.jp/MinkanToShijyou/index.html
「ITサービス継続ガイドライン」の公表について(PDF)(経済産業省)
http://www.meti.go.jp/press/20080903001/01_press.pdf
「地方公共団体におけるICT部門の業務継続計画(BCP)策定に関するガイドライン」(PDF)(総務省)
http://www.soumu.go.jp/menu_news/s-news/2008/pdf/080821_3_bt1.pdf
中小企業庁のBCP策定運用指針(中小企業庁)
http://www.chusho.meti.go.jp/bcp/index.html

●諸外国の状況

2002年に英国規格協会(BSI: British Standards Institution)がBCMの一般仕様として「PAS56」(Publicly Available Specification 56:英国国家規格の前段階)を策定し、次いで英国規格としてBS25999が発行され、国際標準の有力候補に挙げられています。BS25999は英国内のみならず、国際的に認知・評価された規格として、世界中のさまざまな企業・組織から高い関心が寄せられており、世界各地域の企業が認証取得したり、取得を計画している模様です。日本でも日本情報処理開発協会(JIPDEC)がBCMS適合性評価制度(第三者認証制度)の実証を2008年8月から開始しています。

米国では、2001年9月11日の同時多発テロ以降、度重なるテロリストからのテロ予告に加え、ハリケーンカトリーナなどの天災により大きな被害を受けたため、米国政府はBCPやDR(Disaster Recovery:災害復旧)の重要性を認識して、2004年にNFPA(National Fire Protection Association)が「NFPA1600」を策定しました。

BS25999 事業継続管理(BSIジャパン)
http://www.bsigroup.jp/ja-jp/assessmentandcertification/managementsystem/standardsschemes/bs25999/

●国際標準化の状況

危機管理体制(Emergency Preparedness)に関する国際会議が2006年に開催され、米国、カナダ(NFPA1600)、英国(BS25999)、オーストラリア(HB221)、イスラエルと日本からの提案を基に検討が進められています。2012年には、BCMを運用するためのBCMS(事業継続マネジメントシステム)が国際標準規格「ISO22301」として発行されるとみられています。

セキュリティ対策コラム
http://security.intellilink.co.jp/article/

(林 誠一郎)
《ScanNetSecurity》

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

    マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

  2. Heart of Darknet - インターネット闇の奥 第2回「五十兆円『市場』」

    Heart of Darknet - インターネット闇の奥 第2回「五十兆円『市場』」

  3. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

    クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  4. 工藤伸治のセキュリティ事件簿 シーズン6 「誤算」 第1回「プロローグ:七月十日 夕方 犯人」

  5. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第1回 「プロローグ:身代金再び」

  6. ISMS認証とは何か■第1回■

  7. ここが変だよ日本のセキュリティ 第29回「大事な人。忘れちゃダメな人。忘れたくなかった人。誰、誰……君の名前は……セキュリティ人材!」

  8. [セキュリティ ホットトピック] 起動領域を破壊し PC を完全にロックするランサムウェア「Petya亜種」

  9. [セキュリティホットトピック] サイバー攻撃に対して備えるべき機能・組織・文書など、総務省が「防御モデル」として策定

  10. Man in the Browser と Man in the Middle 攻撃(CA Security Reminder)

全カテゴリランキング

特集

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×