Web教材一覧法規・基準

事業継続計画(BCP/BCM)

学習のポイント

地震のような大規模災害は事業の継続ができなくなる危険がありますので,通常のセキュリティ対策とは質的に異なる対策が求められます。事業継続のための計画をBCP,それをマネジメントすることをBCMといいます。
 本章では,BCP/BCMについて,
   その重要性と概念
   国の策定したガイドライン
について学習します。

キーワード

BCP(事業継続計画),BCM,ビジネスインパクト分析,CSR(企業の社会的責任),事業継続計画策定ガイドライン,事業継続ガイドライン,中小企業BCP策定運用指針


事業継続計画の必要性

事業継続の必要性

地震,火災,テロなどもよる大規模なシステム障害が発生すると,基幹事業が停止している間の利益損失が発生しますし,取引先や顧客を失う大きな原因にもなり,事業からの撤退につながることがあります。
 また,自社の事業停止が取引先や顧客の事業停止へと影響が連鎖することもあります。さらに,業種や情報システムによっては,社会全般に大きな影響を与えることになります。

ですから,企業には危機に直面したときでも
    許容限界以上のレベルで事業を継続させること
    許容される期間内に操業度を復旧させること
ことにより,事業を継続する社会的責任があるのです。
 そのための計画立案や実施をBCP(Business Continuity Plan)、そのマネジメントシステムをBCM(Business Continuity Management)といいます。

(拡大図)

BCP/BCM

ビジネスインパクト分析
事業継続に重要な箇所・事象(ボトルネック)を特定して,対策を検討・実施することです。どのシステムがダウンしたり,どのデータが消滅したら,事業にどう影響するか,復旧するのにどの程度の時間がかかるかなどの分析です。これがBCP策定のベースになります。
BCP(Business Continuity Plan)
企業が自然災害、大火災、テロ攻撃などの緊急事態に遭遇した場合において、事業資産の損害を最小限にとどめつつ、中核となる事業の継続あるいは早期復旧を可能とするために、平常時に行うべき活動や緊急時における事業継続のための方法、手段などを取り決めておく計画のことです。
例えば、重要機器の二重化、工場の分散、調達先の複数化、同業他社との緊急時協力などがあります。
BCM(Business Continuity Management)
BCPを策定し継続的運用するマネジメントシステムのことです。①事業の理解、②BCPサイクル運用方針の作成、③BCPの構築、④BCP文化の定着、⑤BCPの訓練、BCPサイクルの維持・更新、監査といった活動をPDCAサイクルとして継続的に行い向上させること。
(拡大図)

BCP/BCMと他基準等との関連

事業継続は社会的責任の重要な側面ですし,システムの維持は情報セキュリティ対策での重要目標です。それでBCP/BCMは,多くの基準等に関係しています。

CSR(Corporate Social Responsibility:企業の社会的責任)
企業が事業継続性を確保することは,顧客や取引先への製品・サービスの継続的供給,地域社会のライフラインや生活の保証につながります。BCMとCSRは互いに密接に関連するものであり,双方を推進していく必要があります。
ISO 27001(ISMS),JIS Q 2001(リスクマネジメント)
情報セキュリティマネジメントシステム(ISMS)の国際規格であるISO 27001は,情報セキュリティ全般を網羅したものですが,そこでも,「事業継続管理手続」「事業継続計画作成のための枠組み」など,BCMが重要な要素の一つになっています。
また,JIS Q 2001(リスクマネジメントシステム構築のための指針)は,阪神淡路大震災の教訓を生かすために制定されたものですが,総論的なリスクマネジメントを対象にしています。
これらに対して,BCMでは,そのうちの「事業継続」に限定した具体的に立案・実施・推進する場合の具体的な方法論です。
CP(コンティンジェンシープラン:緊急時対応計画)
BCPもCPもインシデント発生時の対応計画ですが,CPは緊急事態発生直後の行動を中心とした計画であるのに対し,BCPは事業の継続性の観点からビジネスインパクト分析に基づいて計画するのが特徴です。
SLA(サービスレベルアグリーメント)
情報システムの構築・運用・保守,データ保存などを外部に委託していることが多くあります。そのときは,SLAの重要項目として,目標復旧時間を定めること,その具体的な方法を取り決めておくことが望まれます。

国のガイドライン

経済産業省「事業継続計画策定ガイドライン」(2005年3月)

http://www.meti.go.jp/policy/netsecurity/downloadfiles/6_bcpguide.pdf

主にIT事故を対象として,BCPの実務者がBCP作成するときに参考とするべき,基本的な考えかた,具体的な計画の構築手順,検討項目などを網羅的に記載しています。

 本文
  第Ⅰ章 基本的考え方
   BCPの必要性,求められる背景,BCPの特性,世界と日本の動向
  第Ⅱ章 総論(フレームワーク)
   BCP策定での考慮事項,組織体制,BCP策定の手順,教育・訓練,維持・管理
  第Ⅲ章 BCP策定にあたっての検討項目
   発動,業務再開,業務回復,全面復旧のフェーズでの対応ポイント
   リスクコミュニケーションの重要性
  第Ⅳ章 個別計画(ケーススタディ)
   大規模システム障害,セキュリティインシデント,情報漏洩,データ改ざんへの対応
 参考資料集
  参考1 各フェーズにおける実施項目
  参考2 対策本部室に備えるべき設備・備品類チェックリスト
  参考3 フェーズ毎の対策本部の役割
  参考4 フェーズ毎の各チームの役割
  参考5 システム関連BCP一覧表の項目
  参考6 代替手段の検討項目事例
  参考7 総括の項目(システム関連)
  参考8 ベストプラクティス:BCP構築事例
BCPプロジェクトの組織体制の例 検討項目の全体像とポイント 緊急連絡ルール(システム障害関連)
(拡大図) (拡大図) (拡大図)
経済産業省「事業継続計画策定ガイドライン」2005年3月
企業における情報セキュリティガバナンスのあり方に関する研究会報告書参考資料
http://www.meti.go.jp/policy/netsecurity/downloadfiles/6_bcpguide.pdf

中央防災会議専門調査会(内閣府)「事業継続ガイドライン」(第一版 2005年8月)

http://www.bousai.go.jp/MinkanToShijyou/guideline01.pdf

「事業継続計画策定ガイドライン」と比較して,次の特徴があります。
  1 対策をITだけでなく,業務全般を対象にしている。
  2 逆に,脅威を自然災害,特に地震を対象にしている。
  3 そのために,地域との連携を重視している。
  4 全体の考えかたを主にして,具体的なBCP作成には触れていない。
  5 経営者のためのチェックリストを添付している。

本ガイドラインの構成は次の通りですが,「Ⅱ 事業継続計画および取組みの内容」が中心であり,事業継続の取組みの流れを図のように示しています。
  ポイント
  Ⅰ 事業継続の必要性と基本的考え方
  Ⅱ 事業継続計画および取組みの内容
  Ⅲ 経営者および経済社会への提言
  別添チェックリスト

(拡大図)

中小企業庁「中小企業BCP策定運用指針」(2006年2月)

http://www.chusho.meti.go.jp/bcp/contents/level_a/bcpgl_00.html

中小企業は,財政的能力が弱いために,災害等の被害が事業継続に深刻な打撃を与えることが多いのに,事業継続への成熟度が未熟な面があります。
 この指針は,経済産業省中小企業庁が,中小企業経営者が自らBCPを策定し運用することができるよう,わかりやすく解説したものです。

大規模災害において事業継続を図るためには,
  1 優先して継続・復旧すべき中核事業を特定する
  2 緊急時における中核事業の目標復旧時間を定めておく
  3 緊急時に提供できるサービスのレベルについて顧客と予め協議しておく
  4 事業拠点や生産設備、仕入品調達等の代替策を用意しておく
  5 全ての従業員と事業継続についてコニュニケーションを図っておく
ことが重要であると指摘して,次の内容になっています。

  1. はじめに
  2. 基本方針と運用体制
  3. 策定運用(基本,中級,上級)
    事業の理解,BCPの準備,BCPの策定,BCP文化の定着,
    BCPの更新,自己診断など
  4. 緊急時のBCP発動(共通)
    発動フロー実施項目,初動対応のポイントなど
  5. 財務診断モデル(基本,中級,上級)
    復旧費用の算定,損害保険の整理,緊急時の資金財務診断と対策など
  6. 事前対策メニュー(共通) 
  7. BCPの様式類
    基本方針策定,運用体制,中核事業影響度,ボトルネック資源など
  8. BCP関連資料
  9. 用語集

「事業継続計画策定ガイドライン」「事業継続ガイドライン」と比較して,次の特徴があります。
  1 対象企業の成熟度に応じて基本・中級・上級に分けて説明しています。
      ステップバイステップで改善することが重要だとしています。
  2 特に復旧費用や保険など財務面の対策を重視しています。
  3 BCPで作成するべき各種文書のひな型を提供しています。
      これらを作成することにより,BCPのベースを整備するのが目的です。