IT & Information security Journal
BCP/BCMの潮流とレジリエンス向上のポイント 第1回
自然災害が多い日本では、BCP(Business Continuity Plan:事業継続計画)を策定するうえで、過去の災害事例や想定シチュエーションをもとにして、シナリオベースの対策をとる企業が多くみられます。しかし、近年では、サイバー攻撃や内部不正、システム障害をはじめ、事業継続を阻害する要因が多様化しており、シナリオベースのBCPだけでは対応しきれない場面が増えてきています。
そこで本連載では、企業のBCPやBCM(Business Continuity Management:事業継続マネジメント)、レジリエンスの動向や潮流、日本企業の課題、将来像などについて、解説していきます。
第1回から第3回では、こうしたテーマに興味をお持ちの方、特に、BCPやレジリエンスに今まであまり馴染みのなかった方やこれから勉強したいと思っている方などを対象に、BCPの全体像について基礎的な内容を解説します。BCPやBCM、レジリエンスに関する業務にすでに従事している方にとっても、全体像をあらためて振り返る機会となれば幸いです。
なお、本連載ではBCPとBCMを総称する際に「BCP/BCM」と表現します。また、本稿において意見にわたる部分は、いずれも筆者の私見であり、筆者が所属する法人の見解ではありません。
前中 敬一郎
PwC Japan有限責任監査法人
リスク・アシュアランス部
マネージャー
この記事のポイント
BCP(Business Continuity Plan:事業継続計画)は、事業活動を中断・停止させない、また早期に復旧させるため、緊急時に実施すべき対応手順などをまとめた計画のことをいいます。
これに対して、よく似た「BCM」というワードを耳にしたことがあるかもしれません。BCM(Business Continuity Management:事業継続マネジメント)は、BCPの策定や見直しを含む、事業継続に関する平時からの取組みを組織として管理・推進することをいいます。両者の関係は「BCMの活動によって策定されるものの1つがBCPである」とざっくり理解しておくとよいでしょう(なお、BCMの活動では、BCPの策定以外に「重要業務の識別」「重要業務の遂行に必要な経営資源の洗い出し」「教育・訓練の実施」「BCPの見直し」なども行いますが、これらについては以下で解説していきます)。
会社や組織のレジリエンス(緊急時において事業継続できる対応能力・回復力、あるいは経営環境の変化に対して柔軟に対応できる能力)を向上させるためには、BCPを策定するだけでなく、BCMを組織内で継続的に運用して定着させていくことが求められます。
BCPやBCMについて検討する際は、緊急事態が発生した後の対応を初動対応と事業継続対応にわけて、それぞれの目的を明確化すると整理しやすいでしょう。
初動対応は、緊急時に、被害の拡大防止を図ったり、従業員や来訪者の身体・生命の健康や安全を確保したりすることが目的となります。一方、事業継続対応は、重要な事業を継続させ、商品やサービスの提供責任を果たし、企業の存続が危ぶまれないようにすることが目的となります。初動対応と事業継続対応では目的が異なるため、対応策を考えるうえでその違いを理解することが重要です。
緊急事態が発生する前の事前対応では、こうした初動対応と事業継続対応に関する分析・検討作業(BCPの策定も含む)が中心となります。これは前述したBCMの活動の一部と捉えることができるでしょう。
自然災害など人命に関わるような突発的な緊急事態が発生した場合に、初動対応で特に重要視すべき要素は「安否確認」と「コミュニケーションの確立」です。大規模な震災などはいつどこで起こるのか予想が難しく、休日夜間など従業員同士の直接的なコミュニケーションが取りにくい時間帯に発生した場合、その後の対応が困難になることが想定されます。具体的には、以下のような事項を事前に検討しておくことが求められます。
初動対応を事前にきちんと検討しておくことは、従業員やその家族からすると会社や組織が自分たちのことを守ろうとしてくれていることを再認識できる機会にもなり、業務に従事するうえでの安心感やBCP/BCMを推進していくモチベーションにもつながります。
事業継続対応では「継続すべき重要業務」か「緊急時に停止させる業務」かの事前の識別や特定が重要となります。「重要業務」とは、企業存続の視点から停止させずに継続する業務、または停止した場合に早期に復旧させなければいけない業務のことで、たとえば、停止した場合に顧客に影響を及ぼす業務(顧客に多大な迷惑をかけてしまう業務など)が考えられます。
「重要業務」を継続させるためには、「重要業務」の遂行に必要な経営資源(要員、情報システム、委託先など)を洗い出して、見える化を図っておくことがポイントです。
「重要業務」の継続が妨げられる事態は、その「重要業務」の遂行に必要な経営資源のどれかが、何らかの原因により損壊したり、正常に機能しなくなったり、制限・不足することによってもたらされます。そのため、「重要業務」の遂行に必要な経営資源を平時のうちから洗い出すとともに、現行の対策のままでは緊急時に修復や代替が困難になることが想定される(ボトルネックとなる)経営資源を識別・特定し、「重要業務」の目標復旧時間内にそれらをどのように調達し機能させる(それ自体を修復する、または代替する)か、あるいは、残っていて使える経営資源をどのように再配分するかなどについて、事前に検討しておくことが求められます。経営者としても、どの経営資源に重点的に投資して対策を行うかを判断するにあたって、ボトルネックとなる経営資源の識別に基づく優先順位付けが重要になります。
たとえば、システム障害やサイバー攻撃などにより、情報システムが停止または使用不能になると、それらの情報システムを用いている重要な事業やサービスが継続できなくなる可能性が考えられます。また、その影響が社外やサプライチェーンにまで及ぶ場合、多くのステークホルダーに多大な迷惑をかけてしまうとともに、会社としての信頼が大きく損なわれてしまうおそれがあるでしょう。
とはいうものの、経営資源の洗い出しやボトルネックとなる経営資源の識別は、言うは易く行うは難しで、事業やサービスの規模と範囲が大きくなるほど現場に負担がかかる作業となります。経営資源の洗い出しについては、本連載の第4回以降であらためて解説します。
初動対応や事業継続対応に関する様々な意思決定は、緊急時には現場で判断することが難しい場合があるため、経営層を巻き込みながら迅速かつ臨機応変に進めていく必要があり、意思決定の際に用いる判断基準を事前に定めておくことが求められます。
また、そうした各種判断を含めて、初動対応や事業継続対応は事前に訓練を行い練習して習熟しておかなければ、緊急時にきちんと機能しない可能性があります。訓練には、従業員ごとの役割の理解・定着や、BCP/BCMの仕組み・定めた行動計画に過不足や課題が存在しないかなどのフィジビリティ(実現可能性)の検証といった、様々な効能があります。
BCP/BCMの教育・訓練の方法としては「ウォークスルー」「机上シミュレーション」「実演(避難訓練など)」のように様々な手法があります。たとえば、「机上シミュレーション」は、想定する被害内容の設定の仕方によって、目的や難易度を柔軟に設定することができるため、継続的に実施し徐々に難易度を上げていくように工夫することも可能です。
ここまでの内容を踏まえて、緊急事態に関する事前対応として検討すべき要素の例を以下のとおりまとめます。
| 検討テーマ例 | 検討要素例 |
|---|---|
| 体制 |
|
| 初動対応 |
|
| 事業継続対応 |
|
| 教育・訓練 |
|
この記事は会員限定です。
登録すると続きをお読みいただけます。
このサイトはreCAPTCHAによって保護されており、
Googleの
プライバシーポリシー
と
利用規約
が適用されます。
BCP/BCMの潮流とレジリエンス向上のポイント
バックナンバー(全6件)
第6回
BCPやBCMにおける訓練の進め方(目的、手法、ステップ、シナリオ例)第5回
BCPやBCMにおける経営資源の洗い出しの進め方第4回
金融機関のオペレーショナル・レジリエンスへの取組みと、業界横断的なBCP/BCMの動向第3回
BCPやBCMの文脈における「レジリエンス」の基礎第2回
システム障害やサイバー攻撃に備える「IT-BCP」の基礎第1回
BCPやBCMの基礎と、初動対応・事業継続のための検討事項
前中 敬一郎
PwC Japan有限責任監査法人
リスク・アシュアランス部
マネージャー
システムインテグレーターを経たのち、監査法人系アドバイザリーファームにて、金融機関、製造業、サービス業、小売業、メディア、政府などの様々な業種を対象にBCP/BCM、レジリエンス、ISO22301、情報セキュリティなどのアドバイザリー業務に携わるともにセミナー講師なども務める。
UNITISは、IT・セキュリティ担当者へ、実務家・専門家による解説や他社事例等を伝えるメディアです。セキュリティ・法律の専門家による実務解説や分析、第一線の実務家による事例・ノウハウをお届けします。
BCP/BCMの潮流とレジリエンス向上のポイント
BCP/BCMの潮流とレジリエンス向上のポイント
この記事をシェアする
最新情報をフォローする