ちょうど半年前の本メルマガにて情報セキュリティと事業継続管理を取り上げ
ました。その後、非常に大量の個人情報の漏洩事故が次々と報じられる等、情報
セキュリティを維持することの難しさを感じさせる事象が相次いでいます。
また、今般の東日本大震災では被害が甚大かつ非常に広範囲な地域に及んでい
ることから、例えば狭い地域の中だけを商圏とする中小流通業等では事業継続管
理そのものの有効性を如何に担保するのかという難しい問題が見えてきました。
この問題には、一企業一組織として取組むほかに団体として取組むことも考え
られますが、本格的には地域行政及び国全体としての取組みがなければ解決はで
きません。英国においては2004年11月に「民間緊急事態法(Civil Contingencies
Act)」が制定され、異常気象や伝染病、戦争、テロ攻撃など多様化する自然・
人為的災害に対応し、それらの緊急事態から市民を保護する体制を構築すること
としました。通常の想定を超えた災害・事故・インシデント等に対応するにはこ
のような地域及び国をまき込んだ取組みとなるにしても、やはり一企業一組織と
しての取組みを普及させることが基本になります。
事業継続マネジメントシステム(Business Continuity Management System)の
認証規格BS25999は、上の民間緊急事態法を踏襲し、現在は2012年にISO22301
として発効すべく作業が進んでいます。しかし、今回は、認証規格としての事業
継続マネジメントシステム(以下、BCMS)ではなく、事業継続管理(以下、BCM)を
構成する主なプロセスを見てみましょう。
前回に書いたように、事業継続は社会的な存在である各種組織に関わるステー
クホルダー(利害関係者、広く地域住民までも含む)の利益、組織の評判、ブラン
ド、及び価値創造を保護する効果的な能力を維持する取組みです。BCMは、万一
の事態が発生した場合に、自社の何を最優先して復旧しなければならないかを特
定して、迅速にコアの事業を復旧及び継続する仕組みを構築及び運用するもので
す。BCMSは、この仕組みの確立、導入、運用、監視、レビュー、維持及び改善を
担うPDCAサイクルなのです。
ところで、英国事業継続協会では、”BCMは組織が製品やサービスを提供し、中
断や混乱やロスに対するレジリエンシー(インシデントの影響に対する組織の耐性)
を向上させる方法を見直すための戦略的で実践的なフレームワークを提供する活
動であり、ビジネスのための枠組みである”と言っています。英文直訳式の文章
で分かり難い表現ですが、その実体は、組織の理解→事業継続戦略の決定→BCM
を実現する手法の開発と実装→演習・維持管理・レビューという事業継続のライ
フサイクルを組織文化へ組込み継続的に運用することを指しています。以下では、
このライフサイクルの4プロセスを軽く取上げます。
組織の理解では、事業インパクト分析とリスクアセスメント及び対応の選択が
あります。事業インパクト分析(BIA)は、事業機能停止や事業中断による業務上
及び財務上の影響を分析するプロセスです。重要な活動が中断した場合の影響を
定量的及び定性的に評価して組織活動を復旧の優先順位に応じて分類し、目標復
旧時間を最大許容停止時間内に設定します。もちろんインパクトには、風評被害
や環境への影響、従業員及び公共の福祉に関する影響他を含んでいます。
リスクアセスメントは、組織の経営資源や重要な活動に対する脅威及びそれら
に対する脆弱性を特定し、リスク発現時の影響度を分析評価するプロセスです。
重要な活動は、人材、サイト(事業所又は施設)、技術、情報、供給者、ステーク
ホルダー等の経営資源によって支えられていることに留意します。その後、事業
インパクト分析とリスクアセスメントの結果から組織が必要とする最善な対策を
講じるための選択を行ないます。発生確率を低減する、中断の時間を短縮する、
中断の影響を限定的なものに狭めるほか、移転や回避等の選択肢があります。
事業継続戦略とは、災害又はその他大規模なインシデント若しくは事業中断等
に直面した時に、組織の復旧及び継続を確実に成し遂げるための適切な方法を選
択することです。その際、(1)事業インパクト分析で割り出した重要な活動の
最大許容停止時間、(2)一つ又は複数の戦略を実行するための費用、(3)何
も対策を講じない場合における結果を考慮しなければなりません。留意すべきは
(2)の費用対効果分析において適切なコストであるか否かは一般的な尺度では
判断できないケースが一般的だという点です。定量的及び定性的、多角的な視点
から高度な経営の意思決定となります。
また、事業継続戦略は要員(スキル及び知識)、サイト、技術、情報、供給者及
び物資、ステークホルダー等の経営資源及び民間緊急事態を含めた検討が必要で
す。サイトは事業拠点を何処に置くのか、何カ所作るのか等、中小企業にとって
は正しく戦略的な経営判断になります。
BCMを実現する手法の開発と実装は、(1)対応体制の確立、(2)インシデン
トマネジメント計画(IMP)及び事業継続計画(BCP)の策定がポイントです。IMPは
緊急事態発生と共に発動して、後続のBCPに引継ぎます。従って、IMPは復旧活
動そのものではなく初期段階でのマネジメントですので、IMPとBCPを一つに統
合した計画とすることもあります。
演習は、非日常的な緊急事態に対するBCMの取組みの妥当性を確認すると共に、
確実に最新の状態に保っていることを担保する役割を担っています。また、維持
及びレビューでは、BCMの取組が継続的に適切性、妥当性及び有効性を保持して
いるかを確認します。
紙面の関係で舌足らずですが、事業継続管理(BCM)の考え方を理解して頂き1
社でも多くBCMに取組まれることを願っています。
具体的な内容のご質問は、電子メールにて筆者までお願いします。
■執筆者プロフィール
中村久吉(なかむらひさよし)
ITコーディネータ、ISO27001主任審査員
中小企業診断士、プライバシーマーク主任審査員
e-mail: ohnakamura@gmail.com
コメントをお書きください