シリーズ

第1回 BCP構築の目的を問う

1. BCPのISO化と国内組織の対応

以下の数字は、日本適合性認定協会(JAB)が2010年12月20日に発表した品質マネジメントシステムと環境マネジメントシステムの認証取得企業および組織数です。組織には、政府機関、自治体、大学、病院などが含まれます。今後は、企業と組織をまとめて「組織」と書くことにします。

品質マネジメントシステム(品質ISO) 37,434件
環境マネジメントシステム(環境ISO) 20,340件

また、日本情報処理開発協会(JIPDEC)が2010年12月28日に発表した情報セキュリティ・マネジメントシステムの認証取得組織数は、次のとおりです。

情報マネジメントシステム(ISMS) 3,726件

これら数字には、国内の両機関が認証した海外の組織は含まれていますが、英国の認定機関であるUKASや米国の認定機関であるANABなど海外の認定機関が認めた国内の組織は含まれていません。

現在、BCP(事業継続計画)はISOの技術委員会(ISO/TC 223)で第三者認証にも使えるマネジメントシステム規格として審議が進められており、早ければ本年(2011年)の11月、遅くとも2012年の5月には新しい国際スタンダード(IS)として公表される予定です。ただし、その文書名はまだ検討中で決定していませんが、おそらく次の中から選ばれると思います。
BCMS Business Continuity Management System
CMS Continuity Management System
PCMS Preparedness and Continuity Management System

本稿では今後、BCPに近い「BCMS」を使うことにします。この検討文書番号は、「ISO22301」で、日本語では「事業継続マネジメントシステム」といいます。国際スタンダードとして公表された後の話ですが、国内でこのBCMSの認証を受ける可能性がある組織としては次が考えられます。

1-1 電気電子業界のように、海外のユーザーから認証の取得を求められる組織
1-2 海外にある本社、子会社から認証を求められる組織
1-3 関係省庁から認証の取得を推奨される組織
1-4 経営者の判断で認証の取得を目指す組織

「1-1」に該当する組織は、具体的にはインテル社やノキア社など海外のユーザーからBCMSの装備を求められる組織です。この場合、BCMSはユーザー認証の第一段階となり、その後、レジリエンス(後述)の強化策が第二段階として要求されます。

「1-2」に該当する組織は、国内と海外のレジリエンスのレベルをそろえ、管理の一元化を目指す組織です。国内にある大手外資系組織、海外に進出している大手国内系組織があります。

「1-3」は、金融庁の推奨を受ける金融機関や、厚生労働省の推奨を受ける製薬企業・医療機関などがあります。ここは、BCMSの認証取得よりも推奨官庁の了承に重きがありますので、助言省庁のチェック方法に大きく左右されることになります。

「1-4」は、経営者の判断ですが、電気・ガス・水道・通信・道路・鉄道などインフラ系企業は社会からの要請がありますので、BCMSを装備することになると思います。

なお、レジリエンスは「しなやかな復元力」とも訳されることがありますが、防災力(火災、地震、風水害、雪害、噴火、犯罪対策)に加え、感染症対策、ICT対策、サプライチェーン対策を含めた概念です。これには、場合により内部統制違反や企業の社会的責任(CSR)違反を含むこともあります。

次に、将来国内でBCMSの認証を受ける組織数ですが、これは諸説があります。一番少ない説は、ISMSを下回る2,300程度、これは日本の全上場企業数とほぼ等しい数です。多い方の説は、環境ISOと同程度の約20,000です。
事業継続マネジメントシステム(BCMS)
2,300~20,000件(?)
この予測数字には根拠がありませんので実際はどうなるか分かりません。ただし、品質ISOのような大ブームにならないことは確かと思います。

 

2. 複雑化するBCPへの取り組み
BCPを装備する目的は、いくつかあると思います。これを整理すると次のようになると思います。

2-1 電気電子業界のように、海外のユーザーから要求されている組織
2-2 海外にある本社、子会社から要求されている組織
2-3 関係省庁から装備を推奨されている組織
2-4 経営者の判断で装備を目指す組織

このうち、「2-1」は明確です。BCPの装備をしないと取引が停止することになりますから、装備を目指すことになります。ただし、このケースでは災害・事故・事件対策よりもサプライチェーンの維持、わかり易く言えば、海外のユーザーが必要とする部品・材料の安定供給に力点があります。従って、地震対策や防火対策の強化よりも、製造ラインや物流システム、ICTシステムの二重化が中心になります。

「2-2」のうち、海外にある本社からの要求でBCPを装備するケースは、欧米系の場合はテロ対策、役員誘拐、感染対策、盗難対策、水害対策、ICT対策に重きがあり、地震対策はほとんどありません。この点には注意が必要になります。

少数ですが海外にある子会社から日本の本社にBCPの装備を要求するケースもあります。この場合も、地震対策ではありませんから注意が必要です。

「2-3」は少し複雑です。中小企業庁は財務・経理を中心としたBCPの策定を推奨していますし、経済産業省商務情報政策局はICTを中心としたBCPの策定を推奨しています。さらに、内閣府(防災)は地震対策に重きを置いたBCPの策定を推奨しています。
金融庁や日本銀行はICTを中心としたBCPの策定を推奨していますから経産省の商務情報政策局に近いですし、厚生労働省は新型インフルエンザが流行した際に感染症対策を中心としたBCPを推奨しましたので、これは中小企業庁、経産省商務情報政策局、内閣府とも違います。

「2-4」は、前述の2-1、2-2、2-3の影響を受けていますので、内容が多義に渡ります。注意点としては、社長や会長、理事長など経営トップが「我が社もBCPを装備しろ」と言った場合のBCPの目的が不透明なことです。本年秋頃からは、ISOのマネジメントシステム規格になるBCMSが加わりますから、さらに混乱することになると思います。

3. BCPの目的の整理
いろいろある現在のBCPの目的を整理すると次のようになります。

3-1 サプライチェーン対策、物流対策に力点
3-2 テロ、役員誘拐、盗難、水害対策に力点
3-3 ICT対策に力点
3-4 財務・経理対策に力点
3-4 地震対策に力点
3-6 感染症対策に力点
3-7 英国規格(BS25999)の認証取得に力点

これを「BCP」というひとつの言葉で話をしますから、現在はBCPの概念と目的が混乱しています。労務・人事の方は「BCPは感染症対策」と思い、ICTの方は「ICT対策こそBCP」と思い、総務の方は「本来のBCPは地震対策」、購買・生産の方は「サプライチェーン対策、物流対策がBCP」、財務・経理の方は「財務・経理対策がBCP」、そして国際規格の担当者は「BS25999が本当のBCP」と思っているのです。

この背景には先に掲げたに省庁のガイドラインや推奨文書の他、ISOのPAS22399、英国規格のBS25599、EICC(電子業界行動規範)など国際的なガイドラインもあります。従って、社内外の各関係者が「BCPはこれだ!」という根拠が異なることになるともに、BCPの目的を混乱させています。

PAS22399: 社会セキュリティ-緊急事態準備と業務継続マネジメントガイドライン
BS25999: 事業継続マネジメント

 

4. BCMS構築の課題

BCMS(ISO検討文書 22301)がISOとして公開されると現在あるBCPの目的は少し整理され、次のようになると思います。ただし、ISOの複数の技術委員会は、「ICTの事業継続性は別の文書(ISO/IEC検討文書 27031)で規定する」、「サプライチェーンの事業継続性は別の文書(ISO検討文書 28002)で規定する」となっていますので、BCPに関係する国際スタンダードが3つ並立する可能性があります。

なお、22301は審査機関が認証を行う認証規格ですが、27031と28002は認証規格ではなく、主にユーザー認証に使われる規格になる予定です。なお、自然災害対策・事故対策・事件対策の強化と復旧・復興対策の強化を合わせたものを「レジリエンスの強化」と言います。

4-1 第三者による認証審査
① 将来は、BCMSの認証取得
② 今は、英国規格(BS25999)の認証取得
4-2 ユーザー認証
① ICTの事業継続性
② サプライチェーンの事業継続性
4-3 自己宣言(?)
① 自然災害(地震、風水害、雪害、感染症など)対策の強化
② 事故(労災、経年劣化、設計ミスなど)対策の強化
③ 事件(テロ、役員誘拐、盗難など)対策の強化

ISO検討文書27031:ICTのための事業継続ガイドライン
ISO検討文書28002:サプライチェーンに対するレジリンス強化のガイドライン

「BCMSの認証取得」は、認証取得とレジリエンスの強化がほとんど相関しないことが問題です。実は「BCPを経由して、いかにレジリエンスを強化するのか」が本シリーズの目的です。従って、これは長い話になりますので、今は横に置きます。

次の「ICTの事業継続性」は、社内や社外のユーザーから「メールは止めるな」、「データは紛失するな」、「瞬停や落雷時の対策を取れ」、「製造部門の回復を最優先で行え」、「経理部門の回復を最優先にしろ」など多くの要求がありますから、費用と効果を計算しながら、これら要求に応えることになります。このICTの事業継続性については機会があれば詳しく解説したいと思います。

「サプライチェーンの事業継続性」には物流システムの事業継続性も含まれますが、こちらも社内外のユーザーから「カンバン方式を守れ」、「材料や部品を途切れさせるな」、「製品は素早くユーザーに納品しろ」、「港湾ストライキに対処しろ」、「雪による道路閉鎖に対処しろ」など多くの要求がありますから、こちらも費用と効果を計算しながら要求に応えることになります。このサプライチェーンの事業継続性についても機会があれば詳しく解説したいと思います。

5. BCMSとレジリエンスの関係
問題のBCMSの認証取得とレジリエンスの関係を示したのが以下の図です。

図中、「目標A」はレジリエンスの強化に力点があり、かつ、BCMSの認証取得を無視するケースです。具体的には、火事や地震で被災した後の多くの対応です。被災した部分は強化されますが、被災理由や対策理由が文書などでシステム的に管理されないため、被災した当時の関係者がいなくなり被災経験が薄れると、「なんでこんなところに費用をかけているのか」、「なんでこんな無駄をしているのか」という声が大きくなり、レジリエンスも低くなります。

よく「被災時の経験と知識は、防災の基本ワクチン」と言われますが、この基本ワクチンを持続するためにもある程度のマネジメントシステム化は必要と思います。

「目標C」はBCMSの認証取得に力点があり、かつ、レジリエンスの強化を無視するケースです。これも品質ISOや環境ISOで現実にあるケースです。認証取
得をテーマに掲げ「品質を良くする仕組み」や「環境に優しい仕組み」は構築されるのですが、それを品質の向上や、環境への配慮に生かさない「ISOを形骸化させる」事例です。それでも、名刺には品質ISO取得とか環境ISO取得と刷り込めますから、組織のイメージを少し良くする効果はあると思います。

一番良いのが「目標B」ですが、これは一番お金と作業エネルギーを必要とします。お金と作業エネルギーを十分に使えない組織は、「範囲D」から自組織に適した目標を選ぶことになります。「範囲D」のなかで、「目標B」に近いのが、レジリエンスも強化されマネジメントシステムの成熟度も高くなるケースですが、ここにBCPが抱える問題があります。一番の問題は、レジリエンスの強化、レジリエンスのレベルアップを測る共通化されたモノサシがないことです。

品質ISOは顧客満足度や不良品率が共通のモノサシになります。環境ISOは廃棄物の量やCO2の排出量が共通のモノサシになります。しかし、地震対策に共通のモノサシがあるでしょうか。被災後は、失われた人命や失われた家屋、建物や設備への直接被害額などが使えます。では、予防対策として使うモノサシはいかがでしょうか。また、水害ではどうでしょうか。

ここにBCPを活用しレジリエンスを評価する必要があります。しかし、この評価方法が共通化、一般化していないため、BCPの目的が不透明にされていると感じています。次回以降は、この「レジリエンスの評価方法」に焦点をあて解説を続けます。レジリエンスの評価方法が把握できるとBCPの目的がかなり明確になると思います。

 

6. BCP担当者に求められること
現実的な問題は、「BCP担当者は、今どうするか」です。お薦めは、社長や会長、理事長などから「我が社もBCPを装備しろ」といわれた場合、まず策定するBCPの目的を確認することです。
(1) サプライチェーン対策、物流対策に力点
(2) テロ、役員誘拐、盗難、水害対策に力点
(3) ICT対策に力点
(4) 財務・経理対策に力点
(5) 地震対策に力点
(6) 感染症対策に力点
(7) BCMS(今は英国規格BS25599)の認証取得に力点

次に、おおよその費用と時間を確認します。特に時間は重要です。BCP専従が1~2名として、企業規模によりますが3カ月間で可能なのは、ひとつかふたつの施設のICT対策、地震対策、水害対策など単独対策です。これが半年になると、3~4施設の単独対策、または1~2施設のICTと地震対策、地震と水害対策など複数対策が可能になります。

各対策が構築されると必要な費用の算出が可能になります。無論一度にすべての必要機材をそろえるのが良いのですが、優先順位を決め順次そろえる方法も良いと思います。

次号に続く。


続きを読むにはログインしてください。 ログイン情報の確認方法