ちょうど半年前の本メルマガにて情報セキュリティと事業継続管理を取り上げました。その後、非常に大量の個人情報の漏洩事故が次々と報じられる等、情報セキュリティを維持することの難しさを感じさせる事象が相次いでいます。
また、今般の東日本大震災では被害が甚大かつ非常に広範囲な地域に及んでいることから、例えば狭い地域の中だけを商圏とする中小流通業等では事業継続管理そのものの有効性を如何に担保するのかという難しい問題が見えてきました。
この問題には、一企業一組織として取組むほかに団体として取組むことも考えられますが、本格的には地域行政及び国全体としての取組みがなければ解決はできません。英国においては2004年11月に「民間緊急事態法(Civil Contingencies Act)」が制定され、異常気象や伝染病、戦争、テロ攻撃など多様化する自然・人為的災害に対応し、それらの緊急事態から市民を保護する体制を構築することとしました。通常の想定を超えた災害・事故・インシデント等に対応するにはこのような地域及び国をまき込んだ取組みとなるにしても、やはり一企業一組織としての取組みを普及させることが基本になります。
事業継続マネジメントシステム(Business Continuity Management System)の認証規格BS25999は、上の民間緊急事態法を踏襲し、現在は2012年にISO22301として発効すべく作業が進んでいます。しかし、今回は、認証規格としての事業継続マネジメントシステム(以下、BCMS)ではなく、事業継続管理(以下、BCM)を構成する主なプロセスを見てみましょう。
前回に書いたように、事業継続は社会的な存在である各種組織に関わるステークホルダー(利害関係者、広く地域住民までも含む)の利益、組織の評判、ブランド、及び価値創造を保護する効果的な能力を維持する取組みです。BCMは、万一の事態が発生した場合に、自社の何を最優先して復旧しなければならないかを特定して、迅速にコアの事業を復旧及び継続する仕組みを構築及び運用するものです。BCMSは、この仕組みの確立、導入、運用、監視、レビュー、維持及び改善を担うPDCAサイクルなのです。
ところで、英国事業継続協会では、”BCMは組織が製品やサービスを提供し、中断や混乱やロスに対するレジリエンシー(インシデントの影響に対する組織の耐性)を向上させる方法を見直すための戦略的で実践的なフレームワークを提供する活動であり、ビジネスのための枠組みである”と言っています。英文直訳式の文章で分かり難い表現ですが、その実体は、組織の理解→事業継続戦略の決定→BCMを実現する手法の開発と実装→演習・維持管理・レビューという事業継続のライフサイクルを組織文化へ組込み継続的に運用することを指しています。以下では、このライフサイクルの4プロセスを軽く取上げます。
組織の理解では、事業インパクト分析とリスクアセスメント及び対応の選択があります。事業インパクト分析(BIA)は、事業機能停止や事業中断による業務上及び財務上の影響を分析するプロセスです。重要な活動が中断した場合の影響を定量的及び定性的に評価して組織活動を復旧の優先順位に応じて分類し、目標復旧時間を最大許容停止時間内に設定します。もちろんインパクトには、風評被害や環境への影響、従業員及び公共の福祉に関する影響他を含んでいます。
リスクアセスメントは、組織の経営資源や重要な活動に対する脅威及びそれらに対する脆弱性を特定し、リスク発現時の影響度を分析評価するプロセスです。
重要な活動は、人材、サイト(事業所又は施設)、技術、情報、供給者、ステークホルダー等の経営資源によって支えられていることに留意します。その後、事業インパクト分析とリスクアセスメントの結果から組織が必要とする最善な対策を
講じるための選択を行ないます。発生確率を低減する、中断の時間を短縮する、中断の影響を限定的なものに狭めるほか、移転や回避等の選択肢があります。
事業継続戦略とは、災害又はその他大規模なインシデント若しくは事業中断等に直面した時に、組織の復旧及び継続を確実に成し遂げるための適切な方法を選択することです。その際、(1)事業インパクト分析で割り出した重要な活動の最大許容停止時間、(2)一つ又は複数の戦略を実行するための費用、(3)何も対策を講じない場合における結果を考慮しなければなりません。留意すべきは(2)の費用対効果分析において適切なコストであるか否かは一般的な尺度では判断できないケースが一般的だという点です。定量的及び定性的、多角的な視点から高度な経営の意思決定となります。
また、事業継続戦略は要員(スキル及び知識)、サイト、技術、情報、供給者及び物資、ステークホルダー等の経営資源及び民間緊急事態を含めた検討が必要です。サイトは事業拠点を何処に置くのか、何カ所作るのか等、中小企業にとっては正しく戦略的な経営判断になります。
BCMを実現する手法の開発と実装は、(1)対応体制の確立、(2)インシデントマネジメント計画(IMP)及び事業継続計画(BCP)の策定がポイントです。IMPは緊急事態発生と共に発動して、後続のBCPに引継ぎます。従って、IMPは復旧活動そのものではなく初期段階でのマネジメントですので、IMPとBCPを一つに統合した計画とすることもあります。
演習は、非日常的な緊急事態に対するBCMの取組みの妥当性を確認すると共に、確実に最新の状態に保っていることを担保する役割を担っています。また、維持及びレビューでは、BCMの取組が継続的に適切性、妥当性及び有効性を保持しているかを確認します。
紙面の関係で舌足らずですが、事業継続管理(BCM)の考え方を理解して頂き1社でも多くBCMに取組まれることを願っています。
具体的な内容のご質問は、電子メールにて筆者までお願いします。
■執筆者プロフィール
中村久吉(なかむらひさよし)
ITコーディネータ、ISO27001主任審査員
中小企業診断士、プライバシーマーク主任審査員
e-mail: ohnakamura@gmail.com