【事業継続】座談会 - 企業の信頼性の確保には不可欠となる - 事業継続マネジメントシステム

社団法人日本工業技術振興協会 事業継続マネジメント(BCM)室 室長 黄野 吉博氏 / LRQA ジャパン特別技術顧問 星野 矩之

社団法人日本工業技術振興協会
事業継続マネジメント(BCM)室 室長 黄野 吉博 氏

LRQA ジャパン
特別技術顧問 星野 矩之

2001年に起きたアメリカ同時多発テロ事件を契機として、世界的に急速な注目を集めてきた、事業継続マネジメントシステム。2006年11月にBS 25999のベストプラクティス集というべきPart1が発行されたのに引き続き、2007年11月には認証規格としてPart 2が発行され、いよいよ導入の気運が高まってきました。今回は、社団法人日本工業技術振興協会 事業継続マネジメントシステム(BCM)室 室長の黄野 吉博 氏をお招きして、BS 25999導入のポイントについて特別座談会を開催しました。


事業継続はマーケットのシェアにまで影響を与える。

まず、事業継続マネジメントシステムが注目されてきた背景について教えてください。

黄野
理由は三つあります。一つ目は、昨今、工場、事業所、商業施設など、あらゆる施設が大型化していること。万が一、事故が起きた時の被害も莫大なものとなりますからね。二つ目は、サプライチェーンがワールドワイドになってきたことです。日本では問題なくても外国のサプライヤーで何らかの問題が起こると、大きな影響を受けてしまうのです。そして、三つ目が、ITシステムがインフラになったことでしょう。ITシステムが停止すると事業全体が停止してしまうほど、その影響は大きなものとなっているのです。また、注目されるきっかけとなったのは、2001年に起きたアメリカ同時多発テロ事件。この事件後、世界貿易センタービルのテナント各社のうち、事業継続マネジメントシステムを導入していた企業が、いち早く事業を再開したことで、その必要性が認識されはじめたのです。

現在、各企業ではどの程度対策が進められているのでしょうか。

黄野
半導体、金融分野での取り組みが先行していますね。半導体というのは、高性能チップの製造拠点が限定されています。ですから、製造拠点がストップしてしまうと、携帯電話、家電、PCなどの製造は、大きな影響を受けてしまいます。以前、半導体の製造がストップしたことで家電製造までがストップしてしまい、マーケットのシェアが大きく塗り替えられたことを教訓に、対策が進んできました。

星野
これまで製造拠点では、技術的な機密が漏れることを恐れて、できるだけ一つの拠点で製造することが理想的とされてきました。しかし、一つの製造拠点で何らかの問題が起こったら、供給先の顧客の経営を揺るがしかねない問題に発展します。そのため、製造拠点は、複数にしてリスク分散することが必要となっていますね。

黄野
もう一つの金融分野は、ITシステムに大きく依存しています。ITシステムが停止すると金融システム自体が停止してしまいます。ですから、情報セキュリティへの取り組みの延長線上で、事業継続への取り組みが進展しています。また、電力、ガス、鉄道、プロバイダーなどのインフラ関連業界でも、取り組みが進められていますね。

座談会の様子

大切なのは、経営資源から対策を考えること。

では、BS 25999はどのようなマネジメントシステムなのでしょうか。 

黄野
事業継続というと、どうしても地震、豪雨、IT障害、新型インフルエンザなどのリスクから対策を考えがちです。しかし、リスク、原因ではなく「経営に影響を与える結果」という視点から対策を考えることが大切です。本来、事業継続マネジメントシステムには、想定リスクがありません。すべてのリスクから、経営の中で重要度の高い経営資源“ヒト・モノ・カネ・情報”を守り、被害による影響を最小化することを目指すからです。企業活動の中断を招くのは、“ヒト・モノ・カネ・情報”という経営資源の欠乏、混乱ですからね。BS 25999というマネジメントシステムが素晴らしいのは、地震対策、テロ対策を行うのではなく、事故・災害の際に経営資源をどう守っていくか、を規格化していることです。

星野例えば、地震、IT障害、新型インフルエンザでは、担当部署が違います。それぞれの担当部署で対策を行っていくと、オーバーラップした対策が出てくるでしょう。そのため、個別対策を行うと時間も予算もかかってしまいます。さらに、指示系統も複雑になってしまうでしょう。

黄野地震でもIT障害でも、ある事業所が機能しなくなったことを想定して、地方にも同じ機能を持つ事業所やデータセンターを置いておくといった二重化で、多くのことがカバーできますからね。

影響度と発生確率によるリスク分析

何らかの危機に対応できる組織体制に移行するだけ。

では、BS 25999導入のポイントを教えてください。

星野
事業継続マネジメントシステムの導入に際して、経営資源のすべてを守ろうとすると、膨大な対策が必要となってしまいます。そのため、まずは、自分たちが保有している“ヒト・モノ・カネ・情報”という経営資源の中で、重要事項を整理すること。そして、その重要なものに何らかの影響が出たときに、どのような対策を取ればよいのかを考え、さらに影響が起きたときのためにシミュレーションや実地訓練をしておけば、事故・災害が起きたときにも対処できるでしょう。こうした経営資源への基本的な対策を行った上で、地震、火災などの個別のリスクを想定して、足りないものがあれば追加していけば、過剰な対策にならず効率的な対策が行えます。

黄野
BS 25999の規格の中では、経営資源の中で重要なもの、事業活動の中断で大きな影響を与える業務を特定、見える化するBIA(事業インパクト分析)というプロセスがあります。しかし、重要な経営資源というのは、日々移り変わっています。例えば、事業戦略の変化によって最重要な事業部が1年ごとに移り変わっている可能性もあるでしょう。ですから、PDCAサイクルで継続的に見直しを図って、常に最重要な経営資源の対策を強化していくことが必要です。

星野
BS 25999に限ったことではありませんが、マネジメントシステムは経営システムとは別のシステムとして考える方が多いのですが、実は、経営システムそのものなのです。経営者は、人員配置や生産ラインをどうするか、どの分野に投資するか‥‥、“ヒト・モノ・カネ・情報”をどこに投入して、どう利益を上げて、どう顧客や株主の信頼を得ていくかを無意識に考えているでしょう。事業継続マネジメントシステムというのは、これと同じこと。事故・災害などに備えた人員体制の整備や訓練を行うだけのことです。ですから、新しいシステムをつくるのではなく、何らかの危機に対応できる組織体制に移行するだけでいいのです。

黄野
ただし、大手企業では、全社的に一気にBS 25999を導入することは難しいでしょうから、段階的な対策を行っていくことが現実的ですね。もうひとつ大切なことは、企業規模に合わせた体制、対策を取ることでしょう。

星野
私は、ヤドカリ理論と言っているのですが、ヤドカリというのは、カラダが小さいときには小さな貝殻ですが、カラダが大きくなるにつれて、その大きさに合わせた貝殻を選んでいきます。これは、事業継続マネジメントシステムでも同じこと。組織に合わせて、重要事項の特定、人員配置など身の丈に合った対策を行わなければ、実際に何か起こったときに機能しなくなってしまいます。

黄野
BS 25999でもうひとつ特徴的な要求事項は、目標復旧時間(RTO)の設定です。特に、ITシステムが停止した場合には、各部門への影響が大きくなりますから、目標復旧時間は短く設定されていますね。

経営資源(ヒト・モノ・カネ・情報)とPDCAサイクル

企業の信頼性を高めるには、BS 25999の認証取得が不可欠。

では、BS 25999の認証を取得すると、どんなメリットが生まれるのでしょうか。

星野
やはり第三者機関からの審査を受けて、事業継続への取り組みをしっかりと行っていることを、顧客や株主などのステークホルダーへ示せることが大きいでしょう。コンプライアンスの問題など、企業の信頼性が大きく問われている今だからこそ、この規格の認証を取得することは大きな意味を持つと思います。

黄野
英国などでは、事業継続への取り組みを行っている企業の株価が上昇しているという傾向も見られるようですね。また、電子・電気関連業界では供給先の企業からの第二者監査が必要なケースが多いですが、この負担も減るでしょう。

LRQAでは、どんなサポートを展開しているのですか。

星野
LRQAは英国において、2008年6月に、BS 25999の審査機関として英国認定機関UKASの認定を取得しました。現在、すべての産業セクターへの認証基準を満たしているのはLRQAのみとなっています。また、日本ではJIPDECとJABが共同で行っているパイロット事業に参画を予定しており、日本でのサービス展開を急ピッチで進めています。

最後に、今後、日本工業技術振興協会として、BS 25999へどう取り組んでいきたいとお考えでしょうか。

黄野
これまでは、半導体業界への普及啓蒙を行ってきましたが、これからは全産業への拡大を目指していきたいと考えています。そのために、BCMS研究会も設立する予定です。2~3年後には、ISO化も予定されていますから、より一層のBS 25999の普及拡大に尽力していきたいと考えています。

ありがとうございました。

目標復旧時間(RTO)の設定

黄野吉博氏の書籍のご紹介


(掲載日:2008年11月1日)

    

関連コラム一覧 <開く>

コラム

全てのコラムを表示

【事業継続】セキュリティ(6):BCMSと利益保険

基本的に、利益保険や営業継続保険は、火災保険に特約として追加するようになっている損保会社が多いと思われます。BCMに関係する保険や保険の特約には、利益保険、営業継続保険、賠償保険があります。