事業継続マネジメントシステム(BCMS)

企業における危機管理体制構築のためにISOが定めた国際基準としてISO22301がある。地震や大災害などに遭遇しても被害を最小限に抑え、万一大きな被害が発生したとしても企業が行っている事業すなわちビジネスを迅速に復旧させるための方策を考えておきましょう、という規格である。このため、この規格は事業を継続するためのマネジメント・システムの在り方を定めたものとして「事業継続マネジメントシステム(Business Continuity Management System)」と言われる。ただし、厳密に言えば対象となるのは私企業に限定されていないので、NPOにも適用できるだろうし、極端な話をすれば国家全体をひとつの組織として考えれば国家全体にISO22301を適用して考える、ということも不可能ではない。ISO22301を適用するか否かは別としても、国家全体の生き残り方法、国家内で運営されている全ての事業を継続するためのマネジメントシステムを構築することは必要不可欠なことである。

一昔前、BCP(Business Continuity Plan)つまり「事業継続計画」を作りましょう、と内閣府が音頭をとって推奨し、多くの企業や行政機関が作っていたことがある。今でも多くの企業などで作っていないところは作っているとは思うが、BCPは一般にインシデントが発生した後にどうするかということを考えておく文書である。しかしながら、災害等による被害を最小限にするためにはインシデント発生後にどうするということを考えるのは当然重要だが、それ以外にも実施しなければならないことも多数あり(例えば地震に耐えられるように建物を強化する、防火システムを強化するなど)、まず、リスク評価して事前に打てる手はどんなものがあるのか、事後の策はどうするのか、ということをトータルに考えて、マネジメントサイクル(Plan Do Check Action)を回すことによって、継続的に改善していきましょう、という内容の規格がISO22301である。

第1章〜3章は、適用範囲、引用規格、用語及び定義であり、どのISO規格にも必ず書かれている部分である。

第4章は「組織の状況」であり、システム構築の前にまず自らの組織が一体何のためにある組織なのか、何を提供しているのか、どんな利害関係者がいるのか、利害関係者から何を期待されているのか、法律上のどんな義務を負っているのか、などを明らかにして、その上で、どの商品やサービスをBCMSの対象にするのか、どの部署を対象にするのか、などを決定せよ、と説く。第5章は「リーダーシップ」であり、まず、社長などの組織トップが、自ら積極的な姿勢を示し、方針を示して、システム構築に必要な役割分担を決めよ、と説く。第6章は「計画」であり、リスク及び機会を明確にし、事業継続目的を定めて、それを関連部署などに周知せよ、と説く。第7章は「支援」であり、BCMS構築の担当者に教育・研修するとともに、組織内外からの支援を得るためのコミュニケーション方法を定めよ、と説く。なお、ISO規格上のPlan-Do-Check-Actionサイクルで考えると第4〜7章までがこの規格における広義のPlanに関係するものとして整理されている。つまり、この部分は、災害などへの具体的リスクに対する計画の作り方を定めたものではなく、BCMSそれ自体を作るための体制構築などの準備作業を定めた部分ということができる。

最も核となる部分は、第8章「運用」である。Plan-Do-Check-Actionサイクルの中で見るとDoに該当する部分とされる。この章では、まず、「事業影響度分析」を実施するよう要求する。事業影響度分析ではまず自らが提供しているサービスや商品が一体何なのかを明確にし、それぞれのサービスや商品の提供を支えている「活動(activity)」が何なのかと特定する。ここでいう「活動」とは、民間企業で言えば、生産、販売、販促、コールセンター、ITなど、サービスや商品の提供を支えている企業内プロセスのことである。これら活動は必ずしも1つのサービスや商品のためだけにあるわけではなく、複数のサービスや商品の提供に関わっている場合もある。例えば生産という活動は、商品Aと商品Bを作っている企業であれば、そのどちらの商品にも必要になる活動ということになるであろう。そして、これらの活動が何らかのインシデントによって止まった場合の影響を評価するのである。個々の活動が何日位止まっても大丈夫なのかを明確にし、それによって復旧すべき優先順位を決める。

更に個々の活動が何に依存しているのかも明確にしておく。製造業であれば仕入先が被災してしまえば自らの生産活動もできないので、仕入先は重要な依存先であるし、販売という活動はそれがもし特定の非常に少数のお客様への提供を前提としている活動であるならばそのお客様が被災し、サービスなり商品を購入してもらえなくなれば企業の存続に影響するのでそのお客様も重要な依存先ということになる。依存先は、人や組織だけではない。製造業の生産活動であればその製造設備が被災して使用できなくなると致命傷になるのでその製造設備も重要な依存先であるし、インターネットビジネスなどを行っている企業のサービス提供という活動を捉えればそれを支えているサーバーというのも重要な依存先になるであろう。このように人や組織、箱物や機械まであらゆるものが重要な依存先になりうる。そして個々の「活動」を保護するためにはその「活動を支えている依存先」を保護しなければならないという論理の下で、特定された依存先に停止や中断といった重大な被害を生じさせるようなハザードは何かを明らかにし、リスク評価する。個々の依存先ごとにリスクの高低を数量化する。

次に事業影響度分析及びリスク評価の結果に基づいて、優先活動を保護するため、各依存先毎に「戦略」を考える。戦略には、(1) 発生可能性の低減、(2) 中断や停止時間の短縮化、(3) 商品やサービスへの影響の最小化 の3つがあるとされる。リスク(R)は一般に R=Likelihood(被害の発生しやすさ(確率や頻度)) x Consequence(被害の規模)として定義されるが、(1)はLikelihoodを下げる、つまり被害が発生しにくくするということ、例えば、工場の耐震構造を強化して地震による被害が生じにくくするというような戦略を意味する。専門的な用語を使えば「脆弱性を下げる」とか「防護策を強化する」と言葉に言い換えることもできる。英語で言えば「Mitigation(減災)」であるので筆者はこれを「減災戦略」と呼ぶことにする。(2)と(3)は、どちらもConsequenceを下げる、つまり、被害の広がりを抑えるという戦略であるが、下図で考えれば、(2)は早く対応して中断時間を最小限にするという戦略、(3)は被害の広がり直線の傾きを小さくするという戦略を意味する。例えば(2)は製造設備が被災した場合に一刻も早く修理する、(3)は商品の在庫を一定数備えておき製造設備が使えなくなった場合には在庫から商品供給を続ける、というようなイメージであろう。英語で言えば「Preparedness(準備)」に相当するものであるので筆者はこれらを「準備戦略」と呼ぶことにする。

時間の最小化と影響の最小化_pptx

なお、リスクというものは必ずしも何らかの対処措置を常にとらなければならないというものではない。発生可能性(L)も低く、かつ、発生したとしてもその結果(C)が小さいものはほっておいてもよい(これをリスクの受容(Accept)という。)。しかし、Lは小さいがCが大きいもの、Lは大きいがCが小さいもの、及び、LとCともに大きいのもについては何らかの対処を考える必要がある。例えば、ある製造業を例に取ると山の中にあるありふれた部品の仕入先A社が津波の被害を受けて部品供給が止まるというリスクは、山の中の会社が津波の被害を受ける可能性(L)自体が極めて低く、かつ、その部品も直ちに他のものよって代替可能なものであるため結果(C)も低い。このようなLもCも低いリスクについては考える必要はない。しかしながら、三陸沿岸にあるB社に極めて重要な基幹部品の供給を依存しているような場合には、B社が津波の被害を受ける可能性(L)も高く、かつ、他によって代替できない部品であるため結果(C)も高い。このようなリスクは、当然、何らかの対処、すなわち、リスク・マネジメントが必要ということになる。リスク・マネジメントの手段には、すでに述べた受容(Accept)の他、分散(Spread out)、転換(Transfer)、回避(Avoid)、削減(Reduce)などがあり、ケースバイケースで考えていかなければならないのだが、この事例の場合だと、B社以外に代替部品を供給可能な企業を探しておく(分散(Spread out))、B社が被災したときにはこちらから救援に出向き、その復旧を積極的に支援する(削減(Reduce))などということになるであろう。転換(Transfer)とは保険をかけておきお金をもらって我慢するようなものであり、回避(Avoid)とは特定のハザードが発生しないようにする(例えば、地震が絶対に発生しない国に工場を作る、津波が絶対に発生しない山奥に工場を作るなど)ことだが、事業継続という目的がある場合には保険金をもらっただけではその目的を達成することはできないし、日本にいる限り、地震などの自然災害を完全に回避するということも不可能である。従って、BCMSで取り得る戦略は、発生可能性の低減(リスク分散)と結果の最小化(リスク削減)が主にならざるえないのであり、リスクの分散が「減災戦略」、リスクの削減が「準備戦略」である。

risk_matrix

リスク選好の結果、減災戦略はとるものととらないものに分かれるが、とらなくても「準備戦略」は必要である。発生可能性はリスクを完全に回避しない限り、どんなにリスク分散を図ったとしても決してゼロにはならないためである。準備戦略とは文字通り災害などのインシデントに備える、用意しておく、考えておくという意味だが、概ね準備しておく内容は次のとおりである。

  1. インシデント発生直後の体制確立手順(権限、発動基準、発動・運用・調整など)
  2. 警報の発出、コミュニケーション手順
  3. 暫定的に事業を継続するための計画(責任、役割、プロセスなど)
  4. 完全に復旧するための計画

更にこれらの手順やプロセスを確認するための演習や訓練も必要となる。第8章には概ね以上のような内容が書かれている。

第9章「パフォーマンス評価」には、第8章に従って策定された減災⇒準備⇒対応⇒復旧という危機管理サイクルがきちんと回っているかどうかを定期的に経営陣がチェックして下さいと規定され、第10章「改善」には、パフォーマンス評価の結果、何か問題があれば修正して下さいと規定されている。ISO規格におけるPDCAサイクルで考えた場合には、第9章が「Check」、第10章が「Action」の相当する。