目でみるBCP・事業継続マネジメント・ISO22301

本の書評(おすすめの本)

今回紹介する本は、「目でみるBCP・事業継続マネジメント・ISO22301(深田博史、寺田和正著 日本規格協会)」です。


本書は、以下の7部構成になっています。

  1. 事業継続マネジメントとは
  2. 日常に潜む事業リスク
  3. 見るみるBCM(事業継続マネジメント)モデル
  4. 第1ステップ BCP(事業継続計画)の策定・展開
  5. 第2ステップ BCPの実装、点検、改善
  6. 第3ステップ BCPの発動、復旧
  7. 第4ステップ マネジメントシステムの活用

1.事業継続マネジメントとは

「事業継続マネジメントとは」では、主に以下のことが述べられています。

1.BCP、事業継続マネジメントとは

  • BCP(事業継続計画)は、大規模災害が発生し、業務・活動の中断・阻害が生じても、限られた経営資源を優先度の高い活動へ効果的に投入し、活動を定めたレベルまで回復し、事業を継続させるための計画を定めたもの。
    • BCM(事業継続マネジメント)は、組織の潜在的脅威やその脅威が発生した際の事業活動への影響を特定し、BCPの策定、社内への展開、運用チェック、継続的改善を戦略的に行うマネジメントのこと。

2.事業継続マネジメントに関する主な用語

  1. 大規模災害の例(自社の事業に影響するかもしれない大規模災害を特定する)
    • 大地震。大津波による災害
    • 大規模な風水害
    • 大規模な火災
    • パンデミックの発生
  2. 状況(平常時、緊急時、非常時)
    • 平常時:
      通常の業務実施時、目立った事業継続の脅威は見当たらない状況
    • 緊急時/緊急時の脅威:
      平常時並みの事業遂行を一部できない状態
      • 緊急時がおさまると平常時に戻る
      • 緊急時が長期化すると、非常時に移行する
    • 非常時/非常時の脅威:
      通常時並みの事業遂行を大きな範囲でかつ長期間できない状態
  3. 事業の中断・阻害
    • 予見していたまたは予見していなかった大規模災害等により、会社の事業・活動が中断する、または大きく阻害されること。
    • BCM(事業継続マネジメント)では、この事業の中断・阻害を許容範囲におさめるための活動を推進する。
  4. 事業影響度分析
    • 非常時の事業の影響を分析する。
      (製品の出荷が停止した場合、サプライチェーンの被害等)
  5. BCP(事業継続計画)
    • 非常時において各部署(各自)は平常時よりも少ない経営資源で、どのような優先順位で、何を行うかの計画を表したもの。
  6. 優先事業活動
    • 非常時に事業に許容できない影響を回避するために、優先して実施する活動。
      BCPでは、この優先事項を明確化する。
  7. BCMS(事業継続に取り組むしくみ)
    • 非常時に事業継続に向けた方針・目標を達成するしくみ。
      PDCAサイクルが軸になる。

3.リスクマネジメントについて

  1. リスク・機会とは
    ISO22301では、リスクと機会の考え方が用いられている。
    • リスクとは
      良くない結果につながる可能性。非常時にBCPどおりに進まない可能性。
    • 機会とは
      良い結果つながる可能性。BCP達成に向けて効果と効率性を高める可能性があること。
    • 事業継続リスクとは
      事業の中断・阻害を引き起こすリスク
  2. 事業リスク(起こり得る危険)の大きさ
    • リスクの大きさ=影響度×発生可能性
      • 事業継続リスクの大きさ(レベル)は影響度(事業継続への影響の度合い)×発生可能性(起こりやすさ、頻度)で考える。
        • レベル(特大)
          影響度:事業継続に致命的に影響するレベル
        • レベル(大)
          影響度:事業継続に大きく影響するレベル
        • レベル(中)
          影響度:事業継続に小さく影響
        • レベル(小)
          影響度:事業継続への影響はとても小さい
  3. リスクマネジメントの考え方
    • リスクの特定:顕在・潜在するリスクを特定する。
    • リスクの分析:リスク(重大性、影響度×発生可能性)の分析
    • リスクの評価:リスクを評価し、リスクの大きさを明確化
    • リスク対応
      • リスクの低減:リスクへの対策を推進し、リスクの影響度や発生可能性を作成
      • リスクの回避:リスクの源(おおもと)を除去する
      • リスクの共有:リスクを他者と共有する
      • リスクの保有(受容):(リスクが小さい場合)リスクへの対応を行わずに”じょうがない”と受け入れる(リスクを保有した状態)

2.日常に潜む事業リスク

「日常に潜む事業リスク」では、主に以下のことが述べられています。

以下の対応について

  1. 日常業務の優先度面
  2. 労働安全衛生面
  3. 情報・ICT面
  4. 環境影響度面
  5. SDGs(持続可能な開発指標)面
  • 日常業務の中に非常時への備えを織り込んでいくことも重要な取り組み

3.見るみるBCM(事業継続マネジメント)モデル

「見るみるBCM(事業継続マネジメント)モデル」では、主に以下のことが述べられています。

  • 事業継続マネジメントモデルについて、表で述べられている。

4.第1ステップ BCP(事業継続計画)の策定・展開

「第1ステップ BCP(事業継続計画)の策定・展開」では、主に以下のことが述べられています。

1.事業影響度分析とBCP(事業継続計画)の適用範囲の決定

  1. 事業の影響度分析
    BCPの適用範囲(事業、組織、拠点等)を決めるには、まず自社の事業を分析する。
    例)
    全社の売上額、利益額に占める各事業の割合やブランド力への影響度等を分析する(単年度より過去3年間の推移データ等)
  2. BCP(事業継続計画)の適用範囲の決定
    上記「1」により、全社全体の事業に対する各種事業や顧客、製品・サービス、各拠点の影響度を把握した上で、BCPの適用範囲(組織、拠点、事業、製品・サービス等)を決める。

2.事業継続リスクシナリオの明確化

  1. 拠点の地域に伴う概要調査(災害関連)
    • 拠点の地域に伴うリスクとの関連性の概要を調査する。
    • 地震のリスク、津波のリスク、崩落・地滑りのリスク、台風・線状降水帯・河川の氾濫・火災のリスク、落雷のリスクパンデミックのリスク
  2. 事業継続リスクシナリオ
    リスクシナリオは”想定する状況”でBCPを策定する前に「1」の概要調査の結果や近隣行政や信頼できる公的機関や研究機関の情報をもとに拠点に関連性が高いリスクシナリオを決定する。

3.5つの視点で非常時の備えを分析し、強化

  • その事業の継続リスクシナリオが実際に発生した非常時の備えの状況を、5つの視点で分析、強化する。
    1. 業務面の分析と備えの強化
      • 業務のリストアップを行い、平常時、非常時の業務の優先順位付けを行う。
      • 非常時は勤務できる人が平常時に比べて大幅に少ないことを想定し、備えの不足を明確にし、備えを強化する。
    2. インフラ面(建物、設備等)の分析と備えの強化
      • 施設、設備、公共インフラ等をリストアップし、想定する事業継続リスクシナリオが現実になった場合の被害を分析する。
      • 非常時の備えの不足を明確にし、備えを強化する。
    3. サプライチェーン面の分析と備えの強化
      • 自社の事業継続に直接影響するサプライチェーン(例:調達先、外部委託、物流、サービス等の外部組織)の被災のリスクや備えの情報を事前に収集・調査し、分析する。
      • サプライチェーンのBCM調査により、ボトルネックを特定し、事前に備えを強化する。
    4. ICT(情報通信技術)面の分析と備えの強化
      • ICT(サーバー、PC、データ情報システム等)のリストアップを行い、想定するリスクシナリオが現実になった場合の被災の分析をする。
      • 非常時の備えの不足を明確化し、備えを強化する。
    5. パンデミック関連の分析と備えの強化
      • 健康を損なうパンデミック(感染症の世界的な大流行、例えばCOVID-19の感染拡大)について、想定するリスクシナリオが現実となった場合の被害を分析する。
      • 非常時の備えの不足を明確化し、備えを強化する。

4.初動対応の計画の策定

  1. 緊急時対応と非常時対応
    • 緊急時対応:
      • 初動対応計画の策定
      • 大規模災害発生前後に行う初動対応
    • 非常時対応
      • BCPの策定:災害の被害が長期化する際に事業を継続させるための計画
  2. 初動対応の優先順位の共有‐安全・健康第一
    • 大規模災害発生時対応の優先順位を明確にし、全員で共有する。
    • ”安全第一・健康第一”で自分、家族、同僚、近隣住民の安全・健康を第一に考えて行動する。仕事はその後。
    • 災害時はまず逃げること”身を守る”ことを第一優先で考える。
  3. 初動対応計画の策定
    • 大規模災害発生時に”安全・健康第一”であるための初動計画を策定する。
      事業継続リスクシナリオが発生した非常時の備えを、5つの視点で分けた結果をもとに初動対応計画を策定する。

5.BCP(事業継続計画)の策定

  1. BCPが必要な状況
    • 大規模災害が発生した緊急時が1週間ほどでおさまり、初動対応も有効で平常時に戻ることができる場合はよいが、初動対応が一段落した後、非常時が長期化(例:2週間以上)する場合に備えてBCPを策定する。
  2. 事前準備‐インプット情報の整理
    • BCP策定に備えて、次の事項を整理する。
      1. 想定する事業継続リスクシナリオの確認
      2. 5つの視点で非常時の備えを分析し、”強化”の情報の確認
        • 業務面の分析と備えの強化
        • インフラ(建物、設備等)の分析と備えの強化
        • サプライチェーン面の分析と備えの強化
        • ICT面の分析と備えの強化
        • パンデミック関連の分析と備えの強化
      3. BCM(事業継続マネジメント)推進体制
        • BCMを推進する体制を決定する。
      4. 非常時の情報共有方法の検討
        • 非常時には通信インフラの異常が発生する可能性があり、緊急用に複数の通信手段による連絡経路を準備しておく。
  3. BCP(事業継続計画)の策定
    • 整理したインプット情報をもとにBCPを策定する。
  4. ボトルネック(事業継続の弱点)の特定と対応
    • BCPでは、目標復旧時間を達成する際の弱点(困難な要因)のことをいう。
      この弱点が解消されないとBCP全体が計画通りに進まないので、あらかじめ弱点を明確にして、備えを強化しておく。

6.BCP(事業継続計画)の現場への展開教育

  1. BCPの文書の発行
    • 調査結果に基づき策定したBCPや各種調査資料について、社内で発行する。
      非常時には、災害の状況、被災状況に応じて見直しから活用することを伝達する。
  2. 全従業員向け説明会の開催と個人の認識向上
    • BCP発行後、全従業者(役員・従業員)向けの説明会を開催する。
      理解度について、テストやアンケートを行う。
  3. 個人の認識を維持・向上させるために
    • BCPの全従業者向け説明会を毎年1回実施しても、年度中に個人が忘れては意味がない。個人の認識を維持・向上させるために、新鮮な内容を盛り込んだ説明会や教育の継続的な実施はとても重要。
    • 一人ひとりの認識を高めるとパフォーマンス(実績)向上につながる。

5.第2ステップ BCPの実装、点検、改善

「第2ステップ BCPの実装、点検、改善」では、主に以下のことが述べられています。

  1. BCPの実装
    • BCPに規定された実施策の実装(自社の適用により必要な時に使える状態にすること)は、以下の2つに大別される。
      • 役員・従業員への周知など、認識向上や行動原則の浸透により実装する。
      • 新規に設備やサービスを調達することにより実装する。
    • 一般に事業継続に必要な資源の実装にはコストがかかる。
  2. 演習プログラムの立案、実施
    • BCPや手順を有効なものにするためには、十分に練られたシナリオに沿った演習の繰り返しが必要。
  3. 点検・改善
    1. 演習結果の評価
      • 演習の結果は、正式に記録し、結果を評価し、関連するBCPの改善につなげる。
    2. 演習結果に基づく改善
      • 演習結果から得られた課題、改善点をBCPに反映する。
      • BCPは会社の事業に関する計画の中で最も困難な状況において運用される計画。BCPにおいて重要な役割を持つ人たちの認識を高め、能力の向上につながる演習プログラムとする必要がある。
    3. その他の改善
      次のような項目についても見直しを行い、必要に応じた改善が必要。
      • 適用範囲による制約(除外された業務や拠点など)
      • 事業影響度分析の妥当性や特定された優先事業活動の妥当性
      • リスクアセスメントの妥当性や見落とされていたリスク

6.第3ステップ BCPの発動、復旧

「第3ステップ BCPの発動、復旧」では、主に以下のことが述べられています。

1.初動対応及び情報収集

  1. 警報、予測情報の情報収集
    • インシデント(事業の中断を引き起こす可能性のある出来事)の中には、豪雨や感染症の拡大など、事前に警報や予測情報が提供されるものもある。
      情報収集を行い、予防的な処置を実施する。
  2. 初動対応
    • 最優先事項は自身、同僚、近隣住民の安全確保。
  3. 情報収集
    • 身の安全を確保し、差し迫った危機を脱したら、家族、役員・従業員の安否確認など、所定の手順に従って情報収集を開始する。
    • この段階では、人命・安全にかかわる情報、発生したインシデントに関する情報の収集に集中する。

2.BCP(事業継続計画)の発動

  • BCPの発動基準を満たした影響が予想される場合、あらかじめ定めた基準に従い、BCPを発動する。
  • 災害発生時に役員・従業員が会社にいなくて連絡がとれないことも考慮して、役員・従業員全員がBCPの発動の基準を共有できていることが重要。
  • BCPが複数の拠点にまたがって計画されている場合、それぞれの担当者がBCPを発動できる体制にしておくことが重要。
  • BCP文書を参照できるように参照できるようにしておく。

3.BCPの実行

  1. 体制確認
    • 異動や不測の事態でチームが機能しない場合もあるので、体制確認を行い、必要な場合は代替要員要員の任命、補充を行う。
  2. コミュニケーションと記録
    • コミュニケーション
      • BCPに従って、役員・従業員、顧客、取引先とのコミュニケーション(情報収集)を実施する。
    • メディア対応及び情報公開
      • 特定のインシデント(自社に起因する事故・事件など)の発生やインシデントの状況によってはメディア対応、情報公開が重要になる。
  3. 記録
    • インシデントの対応中には、重要の発生事象および対処等についての記録を残す。
  4. 資源の確保
    • 事業活動の再開に必要な損傷の度合いや資源が確保されている度合いの確認を行う。
  5. 対応状況の確認
    • 収集された情報から、計画に対する現在の進捗、課題などを整理する。
    • 状況によっては最大許容停止時間(MTPD)、目標復旧時間(RTO)の再設計やBCPの見直しが必要になる場合もある。
  6. BCP戦略の修正
    収集された情報をもとに、必要に応じてBCP戦略の見直しを行う。
    • BCP戦略の見直し
      • 資源に対する損害状況によっては、当初予定していた優先事業活動の目標復旧時間(RTO)内での復旧は困難になるかもしれない。
      • 損害やインシデントによっては、優先事業活動の見直しが必要になっているかもしれない。
      • 収集した情報に基づき、自社のBCP戦略の見直しを実施する。
    • 従業員などのストレスの緩和
      • 代替手段よるインシデントへの対応が長期にわたる場合、従業員やその家族に対する福利厚生面の見直しも必要になるかもしれない。
      • 従業員など組織で働く人たちのストレスが高まっていることにも十分に注意を払う。
  7. 優先事業活動の再開
    • 事業影響度の分析などに基づき、優先順位付けされた優先事業活動を再開する。

4.事業の復旧

  1. 復旧
    • 優先事業活動が再開され、インシデント(事業の中断、阻害を引き起こした出来事)の状態が落ち着いてきたら復旧に向けた活動を開始する。
    • BCPの発動により、優先度が下げられていたすべての活動を再開し、インシデントの発生前の状態に復旧する。
      段階的に活動を再開する。
    • 復旧のための選択肢は大きく次の2つに分けられる。
      • インシデントで生じた被害を復旧して再開
      • 代替または新規の拠点で活動を再開
    • 被災状況によっては、完全に元どおりの状態への復旧が難しい場合がある。
  2. BCPの完了
    • すべての事業活動が再開され、インシデントへの対応が完了した時点でBCPの活動は終了する。
    • インシデント対応で得られた教訓を反映し、次期発動に備えてBCPを改善する。

7.第4ステップ マネジメントシステムの活用

「第4ステップ マネジメントシステムの活用」では、主に以下のことが述べられています。

  • ISO22301(JIS Q 22301)を活用することができる。
  • ISO22301に基づくBCMSを構築し、事業継続管理に取り組むことによって、次のようなメリットを期待することができる。
    • 自社の戦略的な目標(会社として到達を目指す最終的なゴール)の達成を助ける。
    • 他社との競争において有利な状況を作り出し、自社の評判、信用を保護する。
    • 役員・従業員を含む自社にかかわる人々の生命、財産の保護に貢献する。
    • 事業の中断・阻害につながる緊急時および非常時にも重要な業務プロセス(優先事業)を稼働させ、事業の継続を可能にする。
    • 想定されるリスクに体系的に取り組むことによって、災害などから生じる被害を最小化し、長期的に対応のコストを低減することが可能になる。
  • ISO22301の要求事項について述べられている。

まとめ

BCPはインシデントが発生した場合に、自社の事業を継続させるためには有効な計画で、その有効性及びその運用等について本書の中で述べられています。
更に事業継続に取り組むためには、ISO22301を認証取得することもメリットがあるとも述べられています。

コメント

タイトルとURLをコピーしました