【事業継続】セキュリティ(1):BCP(事業継続計画)について

今回から、セキュリティコラムを担当することになりました。主にQMS審査員の目からみたセキュリティに関する視点でお話ししたいと考えています。

セキュリティといえば、私事で恐縮ですが、先日、私の実家(愛知県)に泥棒が入りました。空き巣ではありません。泥棒です。私の年老いた両親が2人で2階に寝ていましたところ、1階へ明け方に窓を壊して侵入したようです。少しの現金とカード類が盗まれましたが、幸い年寄り2人は気付かずに寝ていて怪我はありませんでした。カードも直後に使われたようですが、保険で補償してもらえるようです。私が学生のころは玄関さえ開けっ放しが当たり前の地域でしたので、「世の中物騒になったものだ」と感じた次第です。

前置きが長くなりましたが、第1回目は大規模地震や新型インフルエンザでも盛り上がりましたBCP(事業継続計画)について考えたいと思います。

BCMS(事業継続マネジメントシステム)がISOの要求事項になる際には、「社会セキュリティ」の一環として発行されますがその話は別の機会にしまして、まずはQMSの審査員からみたBCPについて考えてみたいと思います。QMSの仕組みを活用する部分がたくさんありますので、QMSの仕組みを持っていらっしゃる企業には当たり前と思われることも多くあると思います。
BCPを構築する際には、経営者の役割(特に意志決定)が大きく、経営資源の投入や要員の力量が必要で、継続的な改善が求められます。プロセスアプローチにより必要な業務を目的もあわせてきちんと理解しなければならない点もQMSと同じです。
BCPを構築する際に別途考慮しなければならないのは、有事の際にこれらのプロセスの中で経営にとって重要なのはどの製品、どの業務、どのサービスあるいはどの拠点で、それらをいつまでに復旧させるか、優先順位をどうするかをあらかじめ計画するという経営層からの視点です。また、一度決めた重要業務や優先順位は、マーケット、環境、法令、顧客等が変れば変化することが多いと思われますので、継続的な改善が必要になってきます。

経営資源とPDCAサイクル

BCPを構築していく上で、いつまでに復旧させるかについては、目標復旧時間(RTO)を設定し、それを達成するために、経営資源(ヒト、モノ、カネ、情報)のうち、どれがネックになるのかを把握し、適切に経営資源を投入する判断が必要になります。また、重要業務に対して現状のまま何もしなければ経営的にどうなるかを考える場合があります。

これらはBIA(事業影響度分析)と呼ばれます。

さらに詳しい内容に興味がある方は、「事業継続マネジメントの基礎 BCM(4):BIAとは?」を参照ください。

有事と一言にいいましても、自然災害、事件・事故、物流障害、財務経理に関する事項等、いろいろと考えられます。これらリスクをどう受け止め(分析)、企業としてどう対策をとるか、あるいは取らないかを考える(評価する)ことをリスクアナリシスといいますが、これらリスクマネジメントの考え方はリスクマネジメント規格31000が参考になります。これは、次回のコラムでお話したいと思います。


(掲載日:2011年3月2日)

    

関連コラム一覧 <開く>

コラム

全てのコラムを表示

【事業継続】セキュリティ(6):BCMSと利益保険

基本的に、利益保険や営業継続保険は、火災保険に特約として追加するようになっている損保会社が多いと思われます。BCMに関係する保険や保険の特約には、利益保険、営業継続保険、賠償保険があります。