事業継続計画策定ガイドライン

ここでは、経済産業省発行の「事業継続計画策定ガイドライン」の抄訳をお届けします。
 重要と思われる部分を整理してお届けします。

全文詳細はこちらをご覧ください

企業における情報セキュリティガバナンスの
  あり方に関する研究会 報告書
      参考資料
  事業継続計画策定ガイドライン

      目次

第T章 基本的考え方
1.1. BCP(Business Continuity Plan)の必要性
1.2. BCP が求められる背景
1.3. BCP の特性
1.4. 世界と日本の動向

第U章 総論(フレームワーク)
2.1. BCP 策定に当たっての考慮事項
2.2. 組織体制について
2.3. ビジネスインパクト分析からBCP 策定までの流れ
2.4. BCP の導入と教育・訓練
2.5. BCP の維持・管理

第V章 BCP 策定に当たっての検討項目
3.1. 検討項目の全体像とポイント
3.2. BCP の実施体制
3.3. BCP 発動フェーズにおける対応のポイント
3.4. 業務再開フェーズにおける対応のポイント
3.5. 業務回復フェーズにおける対応のポイント
3.6. 全面復旧フェーズにおける対応のポイント
3.7. リスクコミュニケーションの重要性

第W章 個別計画(ケーススタディ)
4.1. 大規模なシステム障害への対応
4.2. セキュリティインシデントへの対応
4.3. 情報漏えい、データ改ざんへの対応

事業継続計画(BCP)策定ガイドライン参考資料集
参考1 各フェーズにおける実施項目
参考2 対策本部室に備えるべき設備・備品類チェックリスト
参考3 フェーズ毎の対策本部の役割
参考4 フェーズ毎の各チームの役割
参考5 システム関連BCP 一覧表の項目
参考6 代替手段の検討項目事例
参考7 総括の項目(システム関連)
参考8 ベストプラクティス:BCP 構築事例
posted by MAXAVA at 23:16 |     −1.基本的考え方 | 更新情報をチェックする

第T章 基本的考え方 1.1. BCP(Business Continuity Plan)の必要性 (1)序 論

第T章 基本的考え方

<本章の位置付け>
本章では、事業継続計画(BCP)の必要性や定義、一般的な構築の流れなどの概要を記載するとともに、BCP が求められる社会的背景やその特性、国内外の関連動向など、BCP の理解を深めるための基本的な説明を行う。

1.1. BCP(Business Continuity Plan)の必要性

(1)序 論

日本では、地震、火災・爆発、大規模なシステム障害1などが相次いでおり、その結果、基幹となる事業の停止に追いこまれるケースが見られる。この場合、財物への直接の被害や、基幹事業が停止している間の利益を損なうばかりでなく、取引先や顧客を失う大きな原因となり、ひいては事業からの撤退を余儀なくされることになりかねない。

また、近年発生している基幹事業の停止は、自社の損失にとどまることなく、取引先や顧客の事業停止へと影響が連鎖している。思わぬところから企業存続の危機に立たされるケースも見られる。そのためすでに、取引先や顧客をはじめとする利害関係者(ステークホルダー)は、自社の基幹事業を停止させるリスクやボトルネック2に対して、どのような対策を講じているのかの説明を求めている。

危機が発生したときに、企業に対して問われるのは、その企業が危機に直面した時であったとしても事業を遂行(継続)するという社会的使命を果たせるかどうか、である。

これは、マニュアル化という次元で解決できる問題ではなく、危機に直面したときの「企業経営のあり方」そのものなのである。企業は、自身の被害の局限化という観点に留まらず、コンプライアンスの確保や社会的責任という観点から対策を講じなければならない。

企業経営者は、個々の事業形態・特性などを考えた上で、企業存続の生命線である「事業継続」を死守するための行動計画である「BCP(Business Continuity Plan)」及び、その運用、見直しまでのマネジメントシステム全体である「BCM(Business Continuity Management)」を構築することが望まれる。
posted by MAXAVA at 22:57 |     −1.基本的考え方 | 更新情報をチェックする

(2)BCP・BCM の定義

(2)BCP・BCM の定義

現時点でBCP・BCM には様々な定義が唱えられているが、英国規格協会(BSI)3が策定したPAS56「事業継続管理のための指針(Guide to Business Continuity Management)」では以下の様に記述されている。

BCP
潜在的損失によるインパクトの認識を行い実行可能な継続戦略の策定と実施、事故発生時の事業継続を確実にする継続計画。事故発生時に備えて開発、編成、維持されている手順及び情報を文書化した事業継続の成果物。

BCM
組織を脅かす潜在的なインパクトを認識し、利害関係者の利益、名声、ブランド及び価値創造活動を守るため、復旧力及び対応力を構築するための有効な対応を行うフレームワーク、包括的なマネジメントプロセス。

BCP・BCM は、事故や災害などが発生した際に、「如何に事業を継続させるか」若しくは「如何に事業を目標として設定した時間内に再開させるか」について様々な観点から対策を講じることである。BCP は、そのための計画自体を指し、BCM は、BCP の策定から運用、見直しまでのマネジメントシステム全体を指すのである。
posted by MAXAVA at 21:16 |     −1.基本的考え方 | 更新情報をチェックする

1.2. BCP が求められる背景

(1)事業活動の変化

企業は、現在、効率化を追求し徹底的なコスト削減を行うため、生産拠点や物流拠点、取引先等を集約せざるを得ない状況に追い込まれている。このことは一方で、その拠点や取引先に障害が発生した場合、代替拠点や取引先の手配を困難にし、基幹事業の停止に直結する確率が格段に増加していることを意味する。

自動車部品メーカーの部品供給が停止したために自動車メーカーの操業が停止してしまったなどという事象は記憶に新しいところである。

**********************************************
<BCP とSCM(サプライチェーンマネジメント)>

SCM は、サプライチェーンを構成する企業全体で経営効率を追求する経営管理手法である。「在庫や仕掛品の削減」、「生産や供給のリードタイムの削減」などの実現につながるものと考えられている。

一方で、SCM の導入は、サプライチェーンを構成する一企業にボトルネックがあれば、構成企業全体に影響を与える可能性を有する。つまり、サプライチェーンを構成する一企業の事業中断が、他の企業の事業中断へと波及することになる。
それゆえに自企業だけでBCP を構築するのではなく、サプライチェーンを構成する全企業でBCP を構築する必要があり、こうした考え方の浸透する欧米のグローバル企業から、サプライチェーンを構築する企業に対してBCP の策定や適用を求められるケースも見られる。
**********************************************

(2)情報システムへの依存増大

重要インフラである金融サービスや通信サービスを提供する企業はもちろん、在庫管理や受発注管理、顧客管理等、ほとんどすべての企業において、事業は情報システムやネットワークの稼動を前提に構築されている。情報システムに障害が発生した、あるいはネットワークが中断した場合に、BCP の準備がない企業は、工場を稼動させることも、顧客にサービスを提供することも不可能な状況に追い込まれる可能性がある。

2002 年夏にKPMG ビジネスアシュアランスによって実施されたビジネス継続マネジメントサーベイにおいても
「ビジネスの中断の原因というと真っ先に地震などの自然災害が思い浮かぶかもしれないが、実際には情報システムの障害によるケースが非常に目立つ」
と報告されている。過去1年間に経験した事業中断の原因として,最も多かったのは「機器故障」で46%,次いで「ソフトウェア障害」が34%だった。「ウイルス感染や不正アクセス行為」の18%という数字が注目される。

ただし、上記統計は過去一定期間の業務中断をもとにしているのであって、地震がもたらす事業継続への影響が小さいことを意味するのではない。地震国である日本においては、地震リスクの大きさを盛り込んだBCP を構築する必要がある。

また、世界の企業にとってもBCP 上のIT の重要性については大きく認識されている。BCI が2004 年に世界企業を対象にした調査結果によると、企業のBCP 責任者が、BCM 上事業の混乱に関して最も留意している事項は、「テレコミュニケーションの喪失(62%)」、「IT 能力の喪失(60%)」、「火災(53%)」、「事業拠点の喪失(51%)」となっている
posted by MAXAVA at 20:00 |     −1.基本的考え方 | 更新情報をチェックする

(3)予測困難なリスクの頻発

(3)予測困難なリスクの頻発
2001 年9 月11 日に発生した米国同時多発テロは、世界中に衝撃を与えた。BCP にとっても様々な課題を浮き彫りにした。米国では、BCP に取り組んでいる企業が多かったものの、これほどまで突然でかつ広範囲に影響を及ぼす想定はしていなかった。

複数の企業が同一のバックアップサイトを対象に契約を結んでいたため、実際にバックアップサイトを利用することのできた企業はごくわずかであった事例等、様々な課題が浮き彫りになった。

また重症急性呼吸器症候群(SARS)の蔓延は、自然災害だけではなく、予想し得ないリスクによって事業停止に追い込まれることを改めて認識させられる事象となった。

******************************************
<2001 年9 月11 日 同時多発テロの対応>
世界貿易センター地域に所在していた金融系会社が、最重要拠点を失ったにもかかわらず危機的状態を見事なまでにくぐり抜け、9,000 人以上の従業員を無事に避難させたばかりか、その翌日からその拠点にあった事業の一部を他の場所で再開した。

この会社は、自社の業務状況・リスク状況を分析(ビジネスプロセスの脆弱性分析)に沿ってBCP を策定し、BCP のトレーニングを効果的に実施してきた。このBCMの過程では、あらかじめ、どの業務を国内外のどこの拠点に移すことができるか、さらにどの従業員をどの拠点に移すかについて検討をしていた。また、経営層のBCMに対する理解が会社内でのBCM推進に大きな役割を果たしたことは言うまでもない。
posted by MAXAVA at 19:00 |     −1.基本的考え方 | 更新情報をチェックする

(4)地震等自然災害リスク

(4)地震等自然災害リスク
日本は他の地域にくらべはるかに自然災害が多い国である。特に、地震については、過去にも巨大地震に見舞われ大きな損害を被っている。

従来は工場などを分散することで地震リスクに対応した企業も、海外企業とのグローバルな競争環境の中で、拠点を集約化せざるを得ない状況にい込まれている。これが、自然災害の経営に与える影響をより一層深刻なものとしているのである。海外の取引先にとって、日本の企業がサプライチェーン上の重要な要素となっている場合には、今後地震をはじめとする様々なリスクに対するBCP を求められることが想定される。

*************************************
<震災など自然災害の経験>
1995 年1月の阪神・淡路大震災以前の地震対策は、従業員の安全対策、資産の保全と避難訓練という視点でのみ取り組まれており、事業の継続を視野に入れて考えられることは少なかった。

自社の安全だけを考えていた従来の地震防災計画は、その枠組みの根本的な見直しを迫られることになった。
地震対策は経営の根幹をなす重要な危機管理対策であり、事業を継続するためのマネジメントが不可欠であることを思い知らされる結果となった。

2004 年10 月の新潟県中越地震では都市直下型地震であった阪神・淡路大震災と比べ、企業の本社や重要な拠点の直接的な被災は少なかったものの、被災地に製造拠点を置く取引先や子会社などが被災し、サプライチェーン上で問題が生じ、事業活動に影響が生じた企業もあった。
代替拠点の確保など、SCM の観点からもBCM を構築する必要が改めて認識された。

また、新潟県中越地震は大きな余震が続いたことが特徴に挙げられる。これにより復旧に向けた施設や設備の総点検を何回も繰り返さなければならず、復旧作業に大幅な支障を来した。計画通りに復旧ができない場合には、被災地外で事業を早期に再開する対策が必要となるが、
こうした企業の早期再開・早期復旧・全面復旧など事業継続に関する総合戦略を柱としたBCM が重要となることを学んだ。
posted by MAXAVA at 18:00 |     −1.基本的考え方 | 更新情報をチェックする

(5)BCP の取組みに関する情報開示

(5)BCP の取組みに関する情報開示
2003 年3 月に「企業内容等の開示に関する内閣府令」等が改正され、有価証券報告書において「事業等のリスクに関する情報」の記載が義務付けられた。単にリスクを開示するのみならずBCP の取組みについて触れる報告書も多く、この流れは今後加速することが予想される。
また、金融業界では金融庁が危機管理体制の構築を求めているほか、BCP やコンティンジェンシープランなどに関する取り組みについての情報開示を自主的に行っている先もある。

(6)従業者との関係
BCP を運用していく上で重要な要素として人的資源の側面がある。
特に広域災害が発生した場合は、人員確保の必要性が高く、緊急時の復旧作業に動員すべき従業員のモチベーションを維持しておく必要がある。併せて、災害時の福利厚生確保も人員を確保する重要な要素と言える。
また事業が継続できなくなると、従業員の雇用問題にまで発展することがあり、工場閉鎖などにより大量の失業者を生み出すことになれば、地域社会への影響は甚大である。雇用確保を含めた地域社会への貢献など、企業の社会的責任の観点からもBCP への取組みは重要である。
posted by MAXAVA at 17:00 |     −1.基本的考え方 | 更新情報をチェックする

1.3. BCP の特性

(1)経営戦略としての位置づけ
海外ではBCP を他社と差別化するための経営戦略と位置づける企業が数多く見受けられる。
つまり、BCP の水準を利害関係者である株主や取引先にアピールすることにより企業価値を向上させようとしているのである。

大規模な事故・災害・事件などが発生しても短期間に事業を復旧できる企業であるか否かは消費者や企業が今後取引先を選別する上での重要な要素になるということを先取りした取組みといえる。


また、BCP の大きな特性は、
目標復旧時間(RTO; Required Time Objective)」を定めることである。
この目標復旧時間は、事故・災害・事件などが発生した場合に、その発生時から基幹事業の再開までの企業が設定する「目標とする復旧時間」である。
テロなどの大災害が発生しても、BCP を導入している企業は、目標復旧時間内に製品・サービスの提供を再開することにより、他社より圧倒的優位に立つことができる。
事実、大規模な災害が発生した際のBCP の有無がマーケットシェアを大きく変化させた事例もあり、その意味でもBCP は経営戦略として位置づけなければならないのである。

なお、BCI の調査(2004 年実施)によると、世界企業がBCP を導入した理由は、「既存顧客からの要望(30%)」、「コーポレートガバナンスの一貫(24%)」、「保険会社からの要望(22%)」、「見込み顧客からの要望(21%)」と続いており、企業の事業及び経営戦略上にとって、BCP は重要な役割を果たしているといっても過言ではない。

<携帯端末メーカーの事例>

2000 年に発生した他企業での火災事故により、携帯端末用のコンピュータチップの供給が停止。
A社は事故後直ちにBCP を発動させ、代替のコンピュータチップメーカーの確保に努め、生産を継続、マーケットシェアを維持することができた。
ライバル会社であるZ 社は、対応が後手となってしまったため、代替のコンピュータチップメーカーの大多数をA 社に押さえられ、生産を継続することが不可能となり、結果としてマーケットシェアを大きく落とすこととなった。現在A 社とZ 社のマーケットシェアには大きな差が見られるが、BCP の有無もその一因となっているといわれている。
posted by MAXAVA at 16:00 |     −1.基本的考え方 | 更新情報をチェックする

(2)経営者のトップマネジメント

(2)経営者のトップマネジメント
策定されるBCP はあくまでも緊急時・復旧時・回復時の「計画」である。その実効性を確保するためにも、あらゆる事業の停止リスクに対応できるわけではない。様々なリスクの中から事業停止の影響の範囲を想定し、事業継続・復旧の優先順位を付け、真に必要なものを選別し、対応することが不可欠となる。これはひとえに重要な経営判断であると言え、経営者の強いリーダーシップ、トップマネジメントが求められる。

(3)結果事象による対応方針の整理
財団法人 情報処理相互運用技術協会の調査5によると、9.11 世界同時多発テロ発生の際、BCPの詳細なプランはかえって効果が少なかったことが報告されている。

リスク毎にBCP を作成すれば、企業として危機発生後、対策の漏れは少なくできる。しかしながら、全てのリスクについてBCP を作成すれば、そのコストは多大なものになり、また企業内に浸透させる場合も効率的に実施できなくなる。

様々な想定に基づくビジネス影響度分析を実施すれば、基幹事業に対する脅威を各々評価することが可能となるが、むしろ、施設も従業員のアクセスもシステムの稼動もすべて失われたという最悪のシナリオを想定することによって洞察に満ちた評価を得ることができる。
東京証券取引所が公表しているBCP によると、同取引所では結果事象を下記のように分類しそれぞれの対応手順を定めている。

<.結果事象の分類定義> (東京証券取引所「危機管理への取り組み」より)

@局所被害
  テロ(予告、破壊行為)等により当取引所は被害をうけているものの、外部関係機関には特段の影響がない場合
A広域災害
  大規模地震、風水害等により、当取引所及び外部機関がともに被害を受けている場合
Bシステム障害
  システムのハード障害、アプリケーション
posted by MAXAVA at 15:00 |     −1.基本的考え方 | 更新情報をチェックする

(4)BCM とリスクファイナンシング

リスクファイナンシングとは、リスクが具現化し、損害が生じてしまう場合に必要な資金繰りをあらかじめ計画して準備しておく手法である。

企業の利益を守ること、そして事業を継続するための各種費用を確保することを考えても、BCM 上、リスクファイナンシングの機能は非常に重要である。

リスクファイナンシングの手法としては、保険、災害時発動型融資予約契約、保険デリバティブ、リスクの証券化などが挙げられる。ただし企業は、事業の停止による顕在化する損失(利益の減少、財務的なインパクト、事業を継続するために必要となる費用)と、潜在的な損失(顧客や取引先の離反、マーケットシェアや株価の低下、ブランド価値低下)を整理して考える必要がある。

リスクファイナンシングの機能は顕在化する損失をカバーするものであり、潜在的な損失をカバーできるわけではない。潜在的な損失は、BCP の構築・運用以外に軽減する方法はないのである。また、

リスクファイナンシングの機能には、BCP における発動時(緊急時対応)に要するコストや当面の財務インパクトを軽減する効果があるが、これらも的確なBCP の運営・管理が前提である。
posted by MAXAVA at 14:00 |     −1.基本的考え方 | 更新情報をチェックする

1.4. 世界と日本の動向

欧米では多くの企業がBCPの重要性を認識して取組みを進めている。
英国でも米国でもBCMの導入を促進している。両国ではそれぞれPAS56、NFPA1600をベースに国際基準化の提案を準備している。

アジアでも、BCMの規格化・規制化の動きが出てきている。例えば、シンガポールでは、金融当局が実質的にBCMの強制化しており、これを現在全産業に広げる動きがある。また香港やマレーシアでも規制化される見込みであるという。

これら活発化している海外の動きに対して、日本では、経済産業省の本研究会以外に、内閣府中央防災会議「民間と市場の力を活かした防災力向上に関する専門調査会」に「企業評価・業務継続ワーキンググループ」が設置され、BCPについて議論されている。
posted by MAXAVA at 13:00 |     −1.基本的考え方 | 更新情報をチェックする
×

この広告は1年以上新しい記事の投稿がないブログに表示されております。