【事業継続】事業継続マネジメントシステム(BCMS)のISO化(2):災害・事故・事件の被害記録と、今後の改善への活用

災害・事故・事件

ISOの社会セキュリティ規格の一部であるBCMSでは以下のような災害・事故・事件に対しても、単独企業・組織として、また企業・組織が連携して対処するための機能・経営資源(ヒト・モノ・カネ・情報)を文書化し、記録することを求めています。

  • 1995年1月 阪神淡路大震災
  • 2001年9月 米国同時多発テロ
  • 2002年8月 欧州の大洪水
  • 2003年8月 北米大停電
  • 2004年12月 スマトラ島沖地震
  • 2005年7月 ロンドン同時爆発事件
  • 2005年8月 ハリケーンカトリーナ
  • 2007年7月 新潟県中越沖地震
  • 2008年3月以降 新型インフルエンザ(A/H1N1)
  • 2011年3月 東日本大震災
  • 2011年3月 福島第一原子力発電所事故
  • 2011年10月以降 バンコク大洪水

文書化する理由は、実際に被害に遭遇した時の経験、取った対策、上手くいったこと、改善すべきことを、同じ企業の後継者や今後同じような災害・事故・事件に遭遇するかも知れない他の企業に伝えるためです。

一般的に、災害・事故・事件に遭遇した直後の企業・組織は、原因となったリスクへの対策は一時的に向上・改善しますが、時間が経ち、担当者が代わると対策レベルが減衰します。この減衰を食い止めさらに改善するためには、文書で記録し、被害を受けた経営資源とその評価並びに対策の善し悪しなどを残し、継続的に見直す必要があります。幸いにして被害を免れた企業は、被害を受けた企業を観察し、その観察を記録し自社の災害・事故・事件対策の改善に活用することになります。

文書化し、その資料に基づき検討し、改善することは、他のマネジメントシステム規格が既に活用しているPDCAサイクルと同じです。違いは、記録する対象が、実際または擬似的に被害を受けた経験内容、リスクの顕在化に対する評価、必要なハード面とソフト面の対策、必要な経営資源、になることです。

なお、災害・事故・事件の区別についてはISO/TC 223委員会でも議論がありましたが、現在のところ「区別は容易ではない」と棚上げの状況になっています。一般的に、「災害」は自然災害、「事故」は操作ミスなどの不注意や設計ミス及び金属などの経年劣化、「事件」は悪意による攻撃ですが、これを科学的に区分しようとしますと、人間の関与とそれ以外の要素を分解し検討することになります。 この区分については国連大学の専門チームが続けて検討を続けていますので、ご興味がある方は、「Measuring Vulnerability to Natural Hazards: Towards Disaster Resilient Societies」をご参照下さい。

自社単独災害と、サプライチェーン中断

人命に関る災害・事故・事件(以下「災害等」)は極めて大きな影響を企業・組織に与えます。東日本大震災や、今後発生が強く懸念されている首都直下型地震、東海・東南海・南海地震も同様です。これとは別に、事業に大きな影響がある災害等もあります。2011年春に発生した都市銀行の大規模システム障害、同年秋に発生したバンコク大水害などです。前者はIT障害であり、人命に直接影響を及ぼすことはありませんが、企業活動を混乱させ最悪の場合は企業活動を停止させ、失業者を生むこともあります。後者も、部品の供給停止は企業活動を停止させる可能性があります。BCMSは人命と事業の両方に影響を与える災害等の他に、事業活動に直接影響を与えるIT障害、サプライチェーン中断などについても、企業や組織が対策を講じ、文書化し、PDCAサイクルを回すことを求めます。このサプライチェーンの中断には、電力・ガス・上下水道・通信・物流システム(道路・港湾・空港等)などインフラの中断も含まれます。

日本は地震の多発地帯であり、台風も毎年2~3個は飛来し水害・風害を与えますので、欧米と比較しても自然災害への対策は進んでいると国連大学の専門チームも評価しています。しかし、事業に強く影響をあたえるIT障害とサプライチェーン中断の対策については、米国と英国が先行していますのでこれを見習うことになります。

既にご存じの方も多い、RTO(目標復旧時間)やRPO(目標復旧ポイント)の設定は1980年代の始めに米英のIT関係企業が活用進め、世界に普及した概念です。これと同様にサプライチェーンの中断についてもRTOが必要になります。無論ITのRTOは時間・分・秒単位で、サプライチェーンの中断によるRTOは月・週・日単位と大きな差はありますが、自社または自組織の業務を守ると言う観点からは同じです。

BCMSが日本の企業に与える影響

災害等が発生した際に、企業・組織は従業員や関係者の命を守る必要がありますが、日本の企業・組織は、自然災害に対しては欧米よりも高いレベルにあります。ただし、対象リスクである地震と津波の危険度・影響度も高いですから、さらに高くする必要があると思います。これには前述したPDCAサイクルが有効です。

さらに、事業を守る必要もあります。こちらの方で、特にIT障害とサプライチェーン中断については米・英の企業から学習することも多々あると思います。事業を守るために必要な事項には、IT障害とサプライチェーン中断以外に、犯罪があります。特に2000年以降に注目されているのは生産・研究・開発・販売情報の漏洩と、最終製品の窃盗です。この対策は欧米の企業が先行していますので、BCMSの導入を契機に一度社内体制を見直しすることをご検討下さい。



事業継続マネジメントシステム(BCMS)のISO化 コラム著者

LRQA ジャパン エキスパート
一般社団法人レジリンス協会 理事
黄野 吉博

(掲載日:2012年4月23日)

    

関連コラム一覧 <開く>

コラム

全てのコラムを表示

【事業継続】セキュリティ(6):BCMSと利益保険

基本的に、利益保険や営業継続保険は、火災保険に特約として追加するようになっている損保会社が多いと思われます。BCMに関係する保険や保険の特約には、利益保険、営業継続保険、賠償保険があります。

規格改定関連ニュース検索方法のご案内 <開く>

規格改定関連ニュース検索方法のご案内

規格改訂関連ニュースフィルター「ニュース一覧」では、規格改定情報のみを絞込み、ご参照いただけます。

  • ニュース一覧ページを開きます。
  • 右記のようなフィルター画面が表示されますので、[トピック]⇒[ISO 規格改定最新情報]を選択します。
  • [ISO 規格改定最新情報] のニュース一覧が表示されます。

[ISO 規格改定最新情報]を選択後には、[規格]など、さらに検索を行うことができます。 

リンク: ニュース一覧