2006年11月28日、BSI(英国規格協会)が事業継続マネジメント(BCM)を実現するための規格「BS25999-1」を発行した。A4判42ページにわたって、BCM導入・改善の指針を示している。BCMに取り組み始めた企業や自社の仕組みが有効であるかを確認したい企業にとって有用だ。

篠原 雅道 BCI(事業継続協会)日本支部代表

 BS25999-1の正式名称は、「British Standard, Business Continuity management-Part1:Code of practice」。発行の目的は、「組織内におけるBCMの理解、発展および実施の基礎となること」と、「企業間取引および顧客と企業間の取引を確かなものにすること」である。そのために必要な、BCMの定義やBCM取り組みのフレームワーク、取り組み方法などを示している。すでにBCMを導入している組織であれば、その実効性を推し量る“ものさし”として使うこともできる。

 実はBS25999-1とは別に同-2が存在する。今回の「-1」は自己認証のための規格。昨年6月にBSIがドラフトを公表してパブリック・コメントを募集し、11月に正式版を発行した。現在は国際標準化機構(ISO)に対して、国際標準として活用するように提案している段階だ。一方の「-2」は第三者認証の規格になる見込みである。すでに議論が始まっており、企業監査条件やチェックポイントなどを規定して今年7月の発行を予定している。

 BS25999-1のベースとなったのは、BCMに特化したNPO(非営利組織)であるBCI(事業継続協会)が発行した「BCI Good Practice Guidelines」や、ANSI(米国規格協会)が作成した「NFPA1600」、シンガポールの「TR19」などである。ドラフト作成から正式な発行までは、英国政府、BCI、欧州のリスクマネジメント団体であるAIRMICや主要な産業界のメンバー約35人で構成した委員会が担当した。

最初のステージは組織の理解

 BS25999-1は10章で構成する(表1)。1章では、前述した目的のほか、適用対象を示す。具体的には適用対象として、経営層から現場の業務担当者まで、巨大企業から個人事業主までと、あらゆる階層、組織で利用できる。

表1●BS25999-1の章構成
表1●BS25999-1の章構成  [画像のクリックで拡大表示]

 2章で用語を定義しており、3章と合わせてBCMの全体像を明らかにする。実際のBCPやBCMの定義は、表2の通り。BCPは事業継続のための“計画”であり、その活用を含めて、事故や災害などが発生したときに事業を継続させ、継続に向けた活動を企業内に根付かせることを戦略的にマネジメントするのがBCMである。

表2●BS25999で定めているBCP、BCMの定義
表2●BS25999で定めているBCP、BCMの定義  [画像のクリックで拡大表示]

 そうしたBCMを実現するには、PDCAサイクルに基づいたマネジメント・システムの構築や、BCM文化を組織に浸透させることが必要不可欠だ。最終的には図1にあるようなBCMのライフサイクルを確立する。そのために何をすべきかを、5章以下で説明している。

図1●BCM構築・確立のためのプログラム・マネジメント
図1●BCM構築・確立のためのプログラム・マネジメント
[画像のクリックで拡大表示]

 まず5章のプログラム・マネジメントは、全体の進め方だ。組織の大きさや複雑さに合わせて、どのように考えればよいかを示している。具体的には、責任者をどう割り当てるか、ステークホルダー(利害関係者)との連携やトレーニングの実施といった実装法、継続的なマネジメント実施の重要性を説く。

 プロセス確立の最初のステージである「組織の理解」を説明するのが、6章だ。組織の重要な製品やサービス、それらを提供するのに必要な活動とリソースについて説明する。

 特に重要な作業が、ビジネス・インパクト分析である。事業が停止した場合の影響を洗い出し、事業が継続できなくなった後にその活動を再開する必要があるまでの最大許容停止時間を確立する。その際には、事業の再開時における事業活動の最低レベルや、事業を通常レベルまでに復旧させる時間も考慮する。最大許容停止時間を勘案しながら、企業としての戦略でもある目標復旧時間を定める。

 災害発生時などには、優先順位に応じて活動する必要がある。ビジネス・インパクト分析の結果から、即座に復旧すべき活動(アクティビティ)を「重要なアクティビティ」として特定する。目標復旧時間内に確実に復旧できるよう事前に手配しておかなければならない活動も、「重要」だ。

 こうした活動を支えるため、リソースを確保する必要がある。人(People)、サイト(Premises)、技術(Technology)、情報(Information)、外部機関・取引先(Supplies)が、リソースである。例えば「人」であれば、人数のほか、必要なスキルや知識も考慮に入れなければならない。

 最後に、重要なアクティビティに対するリスク評価を実施する。