【事業継続】事業継続マネジメントシステム(BCMS)のISO化(3):守るべきモノ:命と事業を守るバランスの難しさ

対象とするリスク

BCMSの最終案(FDIS)には、「対象とするリスクを体系的に特定し、分析し、評価するための文書化した正式なリスクアセスメント・プロセスを確立し、導入し、維持しなければならない。」とあります。ただ、具体的な災害などの名称は記述されていません。日本では、一般的に火災、地震、津波、台風(風害・水害・土砂災害)、新型インフルエンザを対象リスクとする企業が多いのですが、これ以外に、サプライチェーン中断、IT障害、噴火、雪害などについても対象リスクに加えるか否かを分析・評価する必要があります。
一番重要なのはリスクの特定ですが、これは下図などを作成し、検討するのが良いと思います。この図は、社長を中心に置き、社長の興味が高いリスクを中心の近く配置したものです。

リスクの特定

図 リスクの特定

次はリスクの分析ですが、特定と言いますかリストアップ、または図示されたリスクを次の観点から分析します。

  1. 顕在化すると自社に大きな影響をもたらすリスク
  2. 顕在化すると自社を経由して社会に大きな影響をもたらすリスク
  3. 顕在化する可能性が高いリスク

「影響」には、直接被害と間接被害を含んでいます。間接被害とは、サプライチェーン中断やインフラ中断のことです。また、「自社を経由して社会に大きな影響をもたらすリスク」とは、自社への影響は金額的にあまり多くないが、社会に与える影響は大きいリスクで、通信会社の通信一時途絶、材料メーカーの寡占された材料の供給停止などがあります。
この分析結果に基づき、対象リスクを評価して、実際に対策を講ずるリスクを選ぶことになります。ここでの注意点は、選ぶリスクが多く、かつ対策の充実度が高い方が企業の事業継続性は高くなりますが、その分BCMSの構築費用も増加することです。
また、企業の経営環境は日々変化しますので、本来は対象とすべきリスクも日々変化します。そのため、BCMSの対象とするリスクも日々変更するのが望ましいですが、これは現実的とは思えませんので、半年毎または毎年、リスク特定・分析・評価をすることになります。

続く議論

日本の多くの方は、BCMSは自然災害リスクのみを対象としていると誤解されていますが、実は「BCMSは各企業が対象リスクを選べ」との記述になっており、上図のとおり市場・戦力・操業リスクも含まれます。
先に、日本の企業では、一般的に火災、地震、津波、台風(風害・水害・土砂災害)、新型インフルエンザを対象リスクとすることが多いと書きましたが、この背景には、発生する可能性と影響度が高いとの判断が、なんとなく入っています。BCMSはこの「なんとなく」をもう少し検討し、自社が対策を取るべきリスクを評価しましょうと、言っています。
そして、実は図にある市場・戦略・操業リスクについての記述がBCMS(ISO 22301)は不十分であるとTC 223の内外から指摘され、この議論が今も続いています。現在の主な論点は次の三点です。

  • サプライチェーン中断関係
  • IT障害関係
  • 市場・戦略リスクを含む対策関係 (ERM*に近い)
    * ERM Enterprise Risk Management

以下の三点は、既にそれぞれがISO文書として制定または検討されています。

  • ISO/PAS 28002:2010 サプライチェーンのためのセキュリティマネジメントシステム
  • ISO/IEC 27031:2011 情報技術-セキュリティ技術-事業継続のための情報通信技術の準備態勢に関する指針
  • ISO/WD 22323 社会セキュリティ-組織のレジリエンスのマネジメントシステム-要求事項及び使用の手引

この三点の特徴は、「命を守る」が希釈され、「事業を守る」が濃くなっていることで、「命を守る」を優先している政府および企業は強く見直しを求めていますが、「ISOとしてどこまで国際規格化すべきか」も遡上に乗っています。実際に、国連の人権会議で討議すべきような内容の文書をTC 223 に提案する政府機関もあります。

守るべきモノ

BCMSは守るべきものとして次を掲げています。対象となるリスクが異なると守る方法も異なりますので、BCMS自体は具体的な対策例は記述されていません。

  1. 情報及びデータ
  2. 建物、作業環境及び関連設備
  3. 施設、設備及び消耗品
  4. 情報通信技術(ICT)システム
  5. 交通機関
  6. 資金
  7. パートナー及び供給者

ここでお分かりになると思いますが、対象リスクの数がひとつ増えますと、対策の項目は8個増加します。地震から人命を守ると、火災から人命を守るは似ている点が多いと思いますが、津波になると守る方法も異なってきます。お薦めは、初めてBCMSを構築する場合は、対象リスクを5個前後(それでも項目は40になります)に限定することかと思います。その後、対象リスクの数を増やすのが現実的と思います。
また、実際のBCMSの構築作業は、「人=命」を守る対策と事業を守る対策を分けた方が、理解も対策構築も容易になると思います。基本は命を守るのが優先ですが、新型インフルエンザの感染防止対策のケースのように、感染防止のためには全従業員・関係者が自宅待機することが理想だが、そうすると医薬品や食料の供給も、警察・消防の機能も止まることになり、社会が維持できなるような事例では、命を守ると事業を守るが対立します。
東日本大震災で、自治体や民間の水防関係者が多く犠牲になりましたが、この背景にも命と事業を守るバランスの難しさがあります。

客観的な評価

それから、BCMSも品質ISOや環境ISOと同様に客観的な評価を求めます。しかしながら、現在の所BCMSには広く世間に受け入れられているモノサシ(客観的な指標)がありません。

ISOのマネジメントシステム規格(MSS)と客観的な指標

現在、世界の各種機関がBCMSのモノサシを検討中ですので、数年後には広く受け入れられる指標が確立されると思います。なお、日本では一般社団法人 レジリエンス協会がこの指標の確立を目指して活動をしています。



事業継続マネジメントシステム(BCMS)のISO化 コラム著者

LRQA ジャパン エキスパート
一般社団法人レジリンス協会 理事
黄野 吉博

(掲載日:2012年5月28日)

    

関連コラム一覧 <開く>

コラム

全てのコラムを表示

【事業継続】セキュリティ(6):BCMSと利益保険

基本的に、利益保険や営業継続保険は、火災保険に特約として追加するようになっている損保会社が多いと思われます。BCMに関係する保険や保険の特約には、利益保険、営業継続保険、賠償保険があります。

規格改定関連ニュース検索方法のご案内 <開く>

規格改定関連ニュース検索方法のご案内

規格改訂関連ニュースフィルター「ニュース一覧」では、規格改定情報のみを絞込み、ご参照いただけます。

  • ニュース一覧ページを開きます。
  • 右記のようなフィルター画面が表示されますので、[トピック]⇒[ISO 規格改定最新情報]を選択します。
  • [ISO 規格改定最新情報] のニュース一覧が表示されます。

[ISO 規格改定最新情報]を選択後には、[規格]など、さらに検索を行うことができます。 

リンク: ニュース一覧