投稿者「srcadmin」のアーカイブ

「想定外」とはどういうことか?

このエントリーをはてなブックマークに追加

巷で「想定外」という言葉が使われる場面が本当に増えたと思います。個人的な感覚としては特に 2011 年の東日本大震災以降、特に使われる頻度が増えたように感じています。しかも BCM や災害対策に関する仕事をしているので、一般の方々よりも「想定外」という言葉を耳にする機会は多いのではないかと思います。

しかしながら一方で、私自身は「想定外」という言葉を極力使わないようにしています。また、理由は後で述べますが、むやみに使うべきでない用語だと思っています。

そこで本稿では「想定外」という言葉についての問題意識を共有させていただきます。あくまでも私自身の個人的な考えですので、よろしかったら皆様もぜひ考えてみていただきたいと思います。

 

1. 「想定外」の意味もいろいろある

人が「想定外」という言葉を使っているのを聞いた時、ちょっと気をつけなければならないと思っています。というのは、どうも「想定外」という言葉の使い方が、人によって異なると思われるからです。

私が聞いた範囲での「想定外」は、だいたい次の 2 つのどちらかの意味で使われていると思います。

  • a) そういう事が起きるとは全く思っていなかった
  • b) そういう事が起きる可能性もあると思っていたが、そこまでは対策できないので検討対象から外した

(稀に、ご自分の中で上の a、b が混ざっている方もおられます。)

もちろん、どちらの用法が正しい(もしくは間違い)などと断じるつもりはありません。厄介なのは、上のような 2 通りの意味で使われているということと、相手がどちらの意味で使っているかが、前後の文脈を踏まえて考えないと分かりにくいことです。これはもちろん、私が「想定外」という言葉を使った時に、どちらの意味で受け止められるかが分からないということでもあります。

雑談ならば別に構わないのですが、ちょっと真剣な議論や仕事上の会話でお互いの用法がズレていると、誤解を招いたり議論がかみ合わなくなったりする可能性があります。

このような理由から、私自身は「想定外」という言葉を極力使わないようにしていますし、真面目な議論の中で相手が「想定外」という言葉を使ったら、上の a、b どちらの意味なのか確認するようにしています。

 

2. では事業継続マネジメント(BCM)ではどう考えるのか

ここから先は、私の個人的な考え方というよりは、標準的な方法論に基づく説明です(注)。

事業継続マネジメント(BCM)においては、「事業活動に必要な資源が使えなくなったらどうするか」を中心に考えます。資源とは例えば人材、設備や装置、建物、IT システム、情報、材料や部品、業務委託先などです。

例えばある建物に対して、「何らかの理由でこの建物が使えなくなったら、どのような方法で代替するか」を考えます。代替方法としては、「他の建物に移る」という方法もあるでしょうし、業務の内容によっては在宅勤務に切り替えるとか、その建物で行われていた業務を社外に委託するという方法も現実的かも知れません。

ここで、この建物が使えなくなる原因として、どのようなものが考えられるでしょうか?

地震、火災、洪水、停電、放火、テロ、飛行機の衝突、建物の欠陥、戦争…….実際に起こる可能性がどの程度かは別として、考えるだけなら無限にあり得ます。つまり「地震が起きたらどうするか」、「洪水が起きたらどうするか」、…….を考え始めたら、どこまで考えても終わりません。そして、もし「テロが起きたらどうするか」を考えていなかった企業がテロに遭遇したら、「想定外でした」ということになってしまいます。

一方で、事業活動に使われている資源は有限です。したがって「この建物が使えなくなったらどうするか」、「この設備が使えなくなったら…..」という検討には必ず終わりがあります。もちろん、会社中の全ての資源に対して検討するのは大変なので、検討対象を優先順位の高い事業活動に限定するなどの工夫は必要です。

そして、それらの「有限の資源」に対して網羅的に代替策を検討できれば、「まさか○○○が使えなくなるとは想定外でした」ということは起こりません。

つまり、BCM において資源を中心に代替策を検討するという考え方は、地震や火災などの原因を考えることに時間や労力を使いすぎず、かつ「想定外」になることを防ぐという意味でも有効だということになります。

 

2001 年に発生したニューヨーク同時多発テロ事件では、複数の企業(主に金融業)が事業を短期間で再開させました。当時 BCP という名称を使っていたかどうかは分かりませんが、オフィスが使えなくなった場合の代替策として、臨時オフィスや PC を確保するための準備がされていました。

恐らく彼らも「ビルに飛行機が突っ込んでくる」ことを想定していたのではなく、「ビルが使えなくなる」ことを想定して準備していたのだろうと思います。このような準備ができていれば、「まさか飛行機が突っ込んでくるとは想定外だった」というような言い訳をせずに済むでしょう。

 

3. (オマケ)原因事象型/結果事象型

日本では、前述のように「地震」、「火災」……などの原因から考えて事業継続計画(BCP)を作るのを「原因事象型」、資源から考えるのを「結果事象型」などと呼ぶ方が多いようです。

もし、これらの呼び方に合わせて言うならば、標準的な BCM の方法論は最初からもともと「結果事象型」だということになります。

BCP を作る際に「原因事象型」で考え始めると、前述の b のような意味での「想定外」が増える可能性が高くなるので、標準的な BCM の方法論のとおり「結果事象型」で取り組むのが合理的です。

 

ただし、災害などが発生した直後の対処手順(「初動対応」もしくは「インシデント対応」などと呼ばれます)の部分は、当然ながら事象ごとに異なりますので、この部分は事象に合わせて個別に作る必要があります。この点は区別していただければと思います。

(そのあたりは下記の書籍に詳しく書かせていただきました。)

 

【注釈】

  • 本稿で「標準的な方法論」とは、ISO 22301 に代表される国際規格や、世界で広く参照されている BCI Good Practice Guidelines で体系化されている方法論を指します。

–   –   –   –   –

事業継続マネジメント(BCM)に関するガイドブックを出版させていただきました。特に中小企業の皆様が自力でに取り組まれることを想定して執筆させていただきましたので、お役立ていただければ幸いです

田代邦幸(著)『困難な時代でも企業を存続させる!! 「事業継続マネジメント」実践ガイド』(セルバ出版)1,980 円(税込)

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加

事業継続マネジメントにおける IT の継続性をどう考えるか

このエントリーをはてなブックマークに追加

多くの組織にとって、事業継続マネジメント(BCM)に取り組むうえで IT の継続性は重要なテーマのひとつだと思います。俗に「IT-BCP」などと呼ばれたりしていますが、IT が多くの組織にとって非常に重要な資源となっている現状において、IT システムが稼働停止しないように、もしくは停止した場合に短期間で稼働再開できるようにするための対策は、避けて通れない分野と言ってもいいでしょう。

そのようなニーズに対して、IT システムに関しては、冗長化やバックアップなど、トラブルや災害などによる稼働停止を予防したり、被害を軽減するためのテクノロジーや製品・サービスが豊富に提供されています。これは BCM の概念が形成される前から、「IT Disaster Recovery」、「fault tolerant」、「redundancy」などといったキーワードとともに開発が進められてきましたが、BCM の概念や方法論が体系化され、日本でも「BCP」という用語が普及してきたことに対応して、「IT-BCP」という言葉が使われるようになってきました(注 1)。

しかしながら、IT の継続性に関してどの程度の対策を講じるべきなのかを、どう決めればよいか分からないと思われる方もいらっしゃるかも知れません。

–   –   –   –   –

一般的に、対策のために必要なコスト(または投資)と、その対策を行ったことによって稼働停止をどれだけ短く出来るかは、トレードオフの関係にあります。もちろんこれは IT に限った話ではなく、BCM においては全ての資源に対して当てはまります。

したがって、BCM の方法論から考えると、事業影響度分析(BIA)の結果から目標復旧時間を決め、それに間に合うような対策方法を選ぶべきだということになります。

このような考え方は、国際規格 ISO/IEC 27031(注 2)でも具体的に示されています。この規格は和訳されていないこともあって、日本ではあまり知られていないと思いますが、BCM の中で IT の継続性をどのようにマネジメントしていくべきかという観点で、様々な指針が示されています。

下の図は、ISO/IEC 27031 で示されている図のひとつですが、障害が発生してからユーザーがそのシステムを利用できるようになるまでの時間が製品・サービスの目標復旧時間(RTO)として示されているのに対して、障害発生から対応作業の開始までにかかる時間や、対応作業が完了してからユーザーが動作確認する時間を考慮して、ICT サービスの RTO を設定すべきであることが示されています。

(出所:ISO/IEC 27031:2011 の Figure A.1 に一部追記)

このような関係になることを踏まえ、BIA の結果から製品・サービスの RTO を決め、それに見合うように IT システムの RTO を決めたうえで、それに間に合うような対策方法を選ぶというのが本来の考え方です。

–   –   –   –   –

しかし一方で、BCM に取り組まれる前から、既に IT 部門の方で何らかの対策が講じられている場合も少なくありません。

その場合には IT 部門と相談しながら、もし目標復旧時間に対して現在の対策方法が不足であれば、より短期間で稼働再開できるような対策を導入できないか、検討していただく必要があります。

逆に、現在の対策方法が過剰だったとしたらどうでしょうか?

例えば(少々極端な例ですが)3 日程度で稼働再開できれば十分なシステムが、ほぼノンストップで稼働継続できるような常時完全二重化で運用されていたとしたら、その対策方法は目標復旧時間に対して過剰(=お金をかけすぎ)ということになります。

もし運用コストがあまり問題にならないのであれば、今後のシステム更新時期までそのまま維持されてもいいかもしれませんが、運用コスト(作業の手間なども含みます)を削減したいような状況であれば、対策方法をダウングレードすることも選択肢に入るでしょう。実際にはダウングレードのためにかかる費用や手間との兼ね合いも含めて、IT 部門と一緒に慎重に検討する必要があります。

もちろん実際には、組織内で複数のシステムが稼働していて相互に依存関係があったり、ひとつのシステムが複数の製品・サービスに関与していたりしますので、これらの事情を考慮して総合的に評価・判断する必要があります。ぜひ IT 部門の方との間で、本稿のような考え方を共有した上で、十分相談し、協力関係を築きながら、組織全体として事業継続に関する対策コストの最適化を目指していただければと思います。

–   –   –   –   –

余談ですが、巷でよく使われている「IT-BCP」という呼び方は正しくありませんので、お使いにならない方が良いと思います。この件については別の記事にしましたので、下記の記事をご参照いただければ幸いです。

弊社 Web サイト:「IT-BCP」という言い方は間違い https://office-src.com/archives/3298

【注釈】

  1. 多くの IT ベンダーがそのような用語を使って活発にセールスプロモーションを行っているという事情もあります。
  2. ISO/IEC 27031:2011 Information technology — Security techniques — Guidelines for information and communication technology readiness for business continuity

–   –   –   –   –

事業継続マネジメント(BCM)に関するガイドブックを出版させていただきました。特に中小企業の皆様が自力でに取り組まれることを想定して執筆させていただきましたので、お役立ていただければ幸いです

田代邦幸(著)『困難な時代でも企業を存続させる!! 「事業継続マネジメント」実践ガイド』(セルバ出版)1,980 円(税込)

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加

「IT-BCP」という言い方は間違い

このエントリーをはてなブックマークに追加

事業継続マネジメント(BCM)に関する話のなかで、IT システムの災害対策などを指して、「IT-BCP」という言葉が使われることがあります。つまり「IT の BCP」という意味ですね。

ところが、この「IT-BCP」という言い方は正しくありませんので、お使いにならないことをお勧めします。これが正しくない理由は、基本的な用語の定義に照らし合わせれば明らかです。

以下、国際規格「ISO 22301」の 2019 年版、およびそれを和訳して作られた「JIS Q 22301」の 2020 年版を拠り所として説明します。本稿の中で「規格」とはこれらの 2 つの規格を指します。

まず、「IT-BCP」というのは「IT-Business Continuity Plan」の略ですから、「IT 事業継続計画」という意味になります。つまり「継続」の対象として「IT」と「事業」の 2 つが含まれています。IT に対する継続性のことを言いたいのであれば「事業」は邪魔であって、「IT-Continuity Plan」(IT 継続計画)と呼ぶ方が自然でしょう。

これだけでも「IT-BCP」という言い方が正しくないことの説明としては十分だと、個人的には思うのですが、中には「これは IT-BCP という言い方が《不自然》だと言っているのであって、《間違い》とは言い切れないのではないか?」と思われる方もいらっしゃるかも知れませんので、もうひとつ説明を加えます。

まず、「事業継続」という用語は規格で次のように定義されています。

事業継続
事業の中断・阻害を受けている間に、あらかじめ定められた範囲で、 許容できる時間枠内に、製品及びサービスを提供し続ける組織の実現能力

(JIS Q 22301:2020 より引用/下線は筆者)

そして、「製品及びサービス」については同規格の中で「組織によって、利害関係者に提供されるアウトプット又は結果」と定義されています。つまり組織内部の業務のために運用されている IT システムは、「製品及びサービス」には含まれないことになります(注 1)。

「製品及びサービス」に含まれない以上、事業継続の対象ではありませんので、「IT-BCP」という言い方はすべきでないのです(注 2)。

一方、規格では BCM において検討すべき資源(resources)について、次のように例示されています。つまり BCM においては、IT システムは資源のひとつとしてとらえるのが正しいということです。

  • 情報及びデータ
  • 建物、職場、その他の施設などの物理的インフラストラクチャー、及び関連するユーティリティ
  • 設備及び消耗品
  • 情報通信技術(ICT)システム
  • 交通手段及び輸送手段
  • 資金
  • パートナー及びサプライヤ

 

一方、IT の分野では昔から(注 3)「IT Disaster Recovery」(IT 災害復旧)、「Redundancy」(冗長性)などという用語が使われていました。また事業継続との関連では「IT continuity」(IT の継続性)という用語が使われることもあります。したがって、「IT-BCP」などという言い方はやめて、これらのいずれかを使われることをお勧めしたいと思います。

 

【注釈】

  1. クラウドサービスなど、IT サービス業の企業が顧客に対して提供しているような IT システムは「製品及びサービス」に含まれます。
  2. 本稿の説明は前述の規格に基づいていますので、筆者個人の主張ではなく、国際的に認められている標準的な考え方だとご理解いただければと思います。
  3. BCM という概念や用語が生まれる前から、これらの用語は普及していました。

–   –   –   –   –

事業継続マネジメント(BCM)に関するガイドブックを出版させていただきました。特に中小企業の皆様が自力でに取り組まれることを想定して執筆させていただきましたので、お役立ていただければ幸いです

田代邦幸(著)『困難な時代でも企業を存続させる!! 「事業継続マネジメント」実践ガイド』(セルバ出版)1,980 円(税込)

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加

書籍紹介『ISO 22301:2019 事業継続マネジメントシステム 要求事項の解説』(中島一郎・岡部紳一・渡辺研司)

このエントリーをはてなブックマークに追加

まず重要な前提として、この本が「ISO 22301 による認証取得のためだけの本ではない」という点は強調しておきたいと思います。

日本における非常に残念な誤解のひとつが、「マネジメントシステム規格は認証取得のためだけに使われるものだ」というような思い込みです。実際には、規格では国際的に合意された用語の定義や、取り組み方の枠組みなどが提供されており、認証取得するか否かにかかわらず、広く活用されるべきものです(実際に諸外国ではそのように活用されています)。

ところが日本では、前述のような誤解が根強く残っているために、認証取得を目指さない人や組織は規格を読まないし、規格に関連する参考書も読まない、という状況が続いています。

この問題については下の動画でも語っておりますので、お時間がありましたらご視聴いただければ幸いです(写真をクリックすると YouTube のサイトが開きます)。

さて、前置きが長くなりましたが、今回紹介させていただく本は、JIS(日本産業規格)のマネジメントシステム規格に合わせて、日本規格協会から出版されている一連の書籍群のひとつです。私自身、これ以外にリスクマネジメント(JIS Q 31000)および情報セキュリティ(JIS Q 27001)など、いくつかの書籍を持っていますが、いずれも規格の制定に関わった方々を著者に迎えて作られているので、これらの規格に関わる仕事をする人にとっては必読本となっています。

本稿で紹介させていただく本に関しても、3 名の著者はいずれも JIS Q 22301 素案作成委員会のメンバーであり(委員長は渡辺先生)、また JIS 規格の元となっている ISO 規格を制定するための委員会にも参加されているので、この規格のことを最も熟知されている方々と言えます。

–   –   –   –   –

【書籍情報】

中島一郎・岡部紳一・渡辺研司(2021)『ISO 22301:2019 (JIS Q 22301:2020) 事業継続マネジメントシステム 要求事項の解説』日本規格協会

Amazon リンク

–   –   –   –   –

本書はもともと ISO 22301 の 2012 年版に合わせて出版されていましたが、ISO 22301 が改訂されて 2019 年版に、これを元に制定された JIS Q 22301 も改訂されて 2020 年版となったことを踏まえて、新たに出版されました。

いま私の手元に新旧 2 冊が並んでいますが、本の厚みが概ね 3 割増くらいになっています(価格は約 4 割増)。

(左が旧版、右が新版)

本来、規格というものは、規格本文だけ読めば内容を正しく理解できるように書かれているべきだと思いますが、実際にはなかなか難しいものがあります。しかも、もともと英語で書かれている ISO 規格を JIS 化する際に、和訳によって理解しにくくなっている部分もあります(これは規格の翻訳の質が低いという意味ではなく、翻訳によって意味やニュアンスなどが伝わりにくい部分もあるので、意味が 100% 伝わる翻訳が不可能だという意味です)。

本書では、規格の開発に関わっていた著者らが、そのような部分を(ある程度の背景事情も含めて)丁寧に解説してくださっているので、本来この規格が何を求めているのかを理解する上で非常に有用です。

そして、「本来この規格が何を求めているのか」≒「効果的に事業継続マネジメントに取り組むためには何が必要か」という関係が成り立ちますので、BCMS の認証取得を目指すかどうかは関係なく、事業継続マネジメントに取り組む全ての方々にとって、本書は間違いなく役に立ちます。

また、第 4 章は「ISO 22301 についての Q&A」となっており、日本で多くの方々が抱いていると思われる 16 の疑問に対して、19 ページを割いて回答されています。これらも事業継続マネジメントに対する理解を深める上で大変有用だと思います。企業をはじめとして多くの皆様に活用していただきたい書籍です。

–   –   –   –   –

事業継続マネジメント(BCM)に関するガイドブックを出版させていただきました。特に中小企業の皆様が自力でに取り組まれることを想定して執筆させていただきましたので、お役立ていただければ幸いです

田代邦幸(著)『困難な時代でも企業を存続させる!! 「事業継続マネジメント」実践ガイド』(セルバ出版)1,980 円(税込)

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加

BCI 日本支部 2021 年度第 1 回定例会

このエントリーをはてなブックマークに追加

私が事務局を務めております BCI の日本支部で、7 月 7 日に今年度第 1 回の定例会を開催しましたが、その開催報告が BCI の Web サイトに掲載されました。

下記 URL にて、どなたでもご覧になれます。
https://www.thebci.org/news/bci-2021-1.html

説明に使用したスライド(PowerPoint)もダウンロードできます。

会合の様子を録画した動画もご覧いただけますが、動画にアクセスする際に氏名とメールアドレスを入力する必要がありますので、ご注意ください(BCI 会員でなくてもご覧になれます)。

今回の会合での主な話題は次の 2 つです。

  • CBCI 試験の受験方法に関する説明
  • 自治体における演習の実践事例

これらのうち、演習の実践事例に関しては、私自身が担当させていただいたコンサルティング案件における事例から、具体的な演習手法とその実施結果を共有させていただきました。

また、演習に関しては参加者どうしで活発な情報共有や質疑応答などがありました。動画では私以外の参加者の発言はカットさせていただきましたが、発言内容の要点は開催報告に記述させていただきましたので、ご参照いただければ幸いです。

 

なお、今年度から参加者の皆様に発言していただく時間を増やしたため、開催報告の文字数が多くなり、プレーンテキストだとかなり読みにくくなってしまいました。次回以降は書式を整えて PDF で掲載してもらった方が良いかなと考えています。

 

–   –   –   –   –

事業継続マネジメント(BCM)に関するガイドブックを出版させていただきました。特に中小企業の皆様が自力でに取り組まれることを想定して執筆させていただきましたので、お役立ていただければ幸いです

田代邦幸(著)『困難な時代でも企業を存続させる!! 「事業継続マネジメント」実践ガイド』(セルバ出版)1,980 円(税込)

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加

BCMS 准審査員(Associate Auditor)の資格を取得しました

このエントリーをはてなブックマークに追加

御報告を失念しておりましたが、2021 年 5 月に BCMS 准審査員(Associate Auditor)の資格を取得しました。

BSI グループジャパン様の ISO 22301 審査員研修を受講させていただいて、受講後の修了試験に合格し、IRCA に Associate Auditor として登録されました

国内の BCMS 認証取得組織数がまだ 100 に満たない状況ですので、審査員として活動する機会はかなり限定的だと思われますが、これから認証取得を目指す組織に対しては、審査員としての視点も含めて助言をさせていただくことができます。

また、ISO 規格に基づく認証取得を目指さない場合でも、規格で示されている枠組みや方法論を利用することによって、より効果的に(楽に)事業継続マネジメントに取り組めるという面もあります。

今後は、様々な組織に対するコンサルティングの中で、審査員としてのノウハウも生かしていきたいと思います。

–   –   –   –   –

事業継続マネジメント(BCM)に関するガイドブックを出版させていただきました。特に中小企業の皆様が自力でに取り組まれることを想定して執筆させていただきましたので、お役立ていただければ幸いです

田代邦幸(著)『困難な時代でも企業を存続させる!! 「事業継続マネジメント」実践ガイド』(セルバ出版)1,980 円(税込)

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加

ランサムウェアには本当に身代金を払わない方がいいのか

このエントリーをはてなブックマークに追加

本稿は、最近『リスク対策.com』の連載記事を執筆するために、ランサムウェアに関する資料をいくつか読んで学んだ結果をまとめたものです。私自身の専門分野から若干外れますが、興味深いデータがいくつかあったので、こちらにまとめておきたいと思います。

ランサムウェアとはマルウェアの一種で、コンピューターの操作をロックしたりデータを暗号化してデータへのアクセスができないようにし、これらの解除と引き換えに身代金を要求するものです。2017 年ごろから被害例が急増し、世界的に注目されるようになりました。

JPCERT コーディネーションセンター(JPCERT/CC)は、次のとおり「ランサムウエア対策特設サイト」を設けていますが、こちらではランサムウェアに感染した場合の対処法として、身代金を支払わずにデータの復旧を行うことを推奨しています。

JPCERT/CC「ランサムウエア対策特設サイト」
https://www.jpcert.or.jp/magazine/security/nomore-ransom.html

そうは言っても、データのバックアップがとられていなかった場合など、身代金を支払ってでも何とかデータを取り戻したいと思われるかもしれません。そのような判断をする際に知っておくべきデータがあります。

米国を本拠地として調査やマーケティング、出版などを手がける CyberEdge Group が 2020 年 6 月に発表した「2020 Cyberthreat Defense Report」(注 1)によると、身代金を支払った場合のうち 33.1% は、支払ったにもかかわらずデータを取り戻せなかったそうです。

また、IoT ネットワークのセキュリティー対策などを専門とする Nozomi Networks が 2021 年 7 月に発表した「OT/IoT Security Report」(注 2)によると、ランサムウェアの犯行グループに対して身代金を支払った組織のうち、データを完全に復旧できたのはわずか 8% だったそうです。

つまり、身代金を支払ったとしてもデータを取り戻せるとは限らないということです。

また「OT/IoT Security Report」には、身代金を支払った組織の 80% が再びランサムウェア攻撃を受けており、しかもその半数は同じ犯罪グループからの攻撃だったというデータも記載されています。つまり、身代金を支払うことが次のランサムウェア攻撃を誘発するということです。このような観点からも、身代金を支払うべきではないと考えられます。

したがって、やはり JPCERT/CC が推奨しているとおり、身代金を支払わずにデータの復旧を目指すべきだと言えるでしょう。そして、ランサムウェア対策という観点からもデータのバックアップの重要性が増したと考えられます。

もちろんランサムウェアを含むマルウェアの侵入・感染を防止することが第一ですが、犯罪グループの手口は日々進歩していますので、侵入されてしまった場合を想定して準備しておくことが重要です。

–   –   –   –   –

(注 1)次の URL にアクセスして氏名やメールアドレスなどを登録すれば、無償で入手できます。 https://cyber-edge.com/cdr/

(注 2)次の URL にアクセスして氏名やメールアドレスなどを登録すれば、無償で入手できます。 https://www.nozominetworks.com/ot-iot-security-report/

–   –   –   –   –

事業継続マネジメント(BCM)に関するガイドブックを出版させていただきました。特に中小企業の皆様が自力でに取り組まれることを想定して執筆させていただきましたので、お役立ていただければ幸いです。

田代邦幸(著)『困難な時代でも企業を存続させる!! 「事業継続マネジメント」実践ガイド』(セルバ出版)1,980 円(税込)

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加

YouTube: 『事業継続マネジメント実践ガイド』出版のご報告

このエントリーをはてなブックマークに追加

先日発行された自著の構成や内容について動画で説明させていただきました。
本書の執筆にあたっての考え方や執筆方針などについても語っております。

 

ご興味をお持ちいただけましたら、お買い求めいただければ幸いです。
Amazon (下記リンク先)および一般の書店で購入できます。

 

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加

BCP をつくることには極力手間をかけずに済ませよう

このエントリーをはてなブックマークに追加

本稿は、拙書『困難な時代でも企業を存続させる!! 「事業継続マネジメント」実践ガイド』(セルバ出版)の一部に手を加えたものです。

別の記事で、BCM に継続的に取り組むことの重要性について述べましたが、もちろん BCP が不要という意味ではありません。

事故や災害などが発生した際の行動をわかりやすくしておくために、BCP を文書化しておくことは重要です。また、BCM における検討結果が BCP という形になっていないと、演習や教育訓練などの活動がやりにくくなりますし、改善すべき部分もわかりにくくなります。

しかしながら、BCP をつくる作業そのものは、できるだけ少なく済ませ、他の活動により多くの時間を割いたほうが合理的です。BCP に最低限含むべき内容については、別の記事で詳しく説明したいと思いますが、これらを網羅した簡潔な BCP をできるだけ手間をかけずに作成し、経営層の承認をもらいましょう。

また、経営層の皆様におかれましては、部下から上がってきた BCP 文案が当初期待していたレベルに達していなかったとしても、今後の改善に期待して、まずは承認していただきたいと思います(もちろん期待と現状のギャップや、それらを今後どのように改善していくのか、などといった確認や議論は必要です)。

また、読者の皆様の中には、顧客から「御社の BCP を見せてください」と要求されることを想定して、BCP の体裁を整える必要があるとお考えの方もいらっしゃるかもしれません。しかしながら、BCP は高度な企業秘密を含むはずですので、たとえ顧客から要求されたとしても、BCP そのものは開示すべきではありません。

顧客に対する説明の仕方については、別の記事で説明したいと思いますが、BCP とは別に御社の BCM に関する説明資料を作成し、そちらの資料の体裁を整えるようにしたほうが合理的です。

 

BCP の雛形を有効に活用しよう

読者の皆様の中には、BCP をどのような形で文書化すればいいかわからないという方も少なくないでしょう。そのような方々は、ぜひ、BCPの雛形(テンプレート)を入手してください。

インターネットで検索していただければ、様々な形の雛形が公開されているのが見つかると思いますが、ここでは筆者の知る範囲で、使いやすそうなものを 3 つ紹介します。いずれもサイトにアクセスしていただくと、BCP の雛形だけでなく記入例も掲載されているので、出来上がりのイメージも掴めるのではないかと思います。

 

BCP の雛形を上手に活用するポイント

まず、前提として、これらの雛形は、BCP の正解や理想形を示しているものではない、ということを忘れないでいただきたいと思います。

前節でご紹介した 3 つのサイトは、いずれもより多くの企業に BCP を作ってもらうことを目的としています。したがって、これらのサイトで配布されている雛形は、できるだけ多くの企業にとって使いやすいように配慮して作られています。例えるなら既製品の服のようなものです。

これをそのまま使っても良いのですが、御社にとって都合の悪いところは遠慮なく手を加えていただいて構いません。また、3 つのサイトで配布されている様々な雛形を見比べて、御社のニーズに合う部分だけ「いいとこどり」してもよいでしょう。

雛形は、あくまでも素材、もしくは参考資料と考えていただき、使えるところは上手に活用しながら、御社にとって使いやすい BCP を目指してください。

 

–   –   –   –   –

本稿は、拙書『困難な時代でも企業を存続させる!! 「事業継続マネジメント」実践ガイド』(セルバ出版)の一部に手を加えたものです。是非拙書もお読みいただければ幸いです。

 

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加

他者の力も借りて合理的な事業継続を実現しよう

このエントリーをはてなブックマークに追加

本稿は、拙書『困難な時代でも企業を存続させる!! 「事業継続マネジメント」実践ガイド』(セルバ出版)の一部に手を加えたものです。

倒産リスクの高い中小企業の BCM 戦略

頻発する大規模災害の例を見るごとに、もし自社があのような災害で被災したら企業の存続にかかわるのではないかと懸念されている方も少なくないでしょう。

特に、中小企業の皆様におかれましては、災害で倒産・廃業に追い込まれるリスクを切実に感じておられることかと思います。実際、過去に発生した大規模災害の影響で倒産した企業の大半は中小企業だったという現実もあります。多くの人的資源を抱えており、財務基盤もしっかりしている大企業に比べれば、一般的には中小企業のほうが倒産リスクがより高いと考えられます。

このような厳しい現実を踏まえつつ、それでも諦めずに大規模災害から生き残る可能性を見出すために、いかにうまく他者の力を借りて事業継続を実現するかという観点も、BCM における有効な戦略として考えていただきたいと思います。

他の企業が持つ資源を活用する

売上収入が途絶えて資金が回らなくなれば、最終的には倒産に追い込まれます。資金繰りに関しては、損害保険や融資などといった財務的な対策も必要ですが、BCM の観点からは、いかに事業活動を再開させて売上を生み出すかを考える必要があります。

災害によって事業中断が発生してしまうのは、事業活動に必要な「資源」が、破損や流失などによって使えなくなるからです。ここでいう「資源」には、事業活動のために必要な従業員(人的資源)、設備や装置、建物、原材料や部品、商品在庫などが含まれます。そして、BCM において考えることを大雑把にまとめると、災害などで使えなくなってしまった資源の代わりをどうやって用意するか、ということに尽きます。

これが特に中小企業だと、もともと最小限の資源しか保有しておらず、代わりの資源を用意することが難しい場合が多いので、事業活動を再開することが難しく、結果的に倒産に至ることが多いということです。

そこで、事業中断に陥った後に、いかに他者の資源を利用するかということも含めて考えていただきたいと思います。具体的には、同じような資源を持っている企業の協力を得るということです。

既にこれを実践された事例もあります。2011 年の東日本大震災では、宮城県の廃棄物リサイクル事業者が津波で被災し、同社唯一の事業所が壊滅的な被害を受けました。同社の主要な事業の 1 つは、顧客の工場から廃油を回収し、これを再生して燃料として使える「再生重油」を精製し、販売する事業ですが、精製に必要な設備の大半を津波で失いました。

そこで同社は、廃油精製処理を他県の同業者に一時的に委託することで、部分的ではありますが、被災後 1 週間で事業再開を果たしました(注 1)。もちろん、業務委託費を支払う必要がありますが、それを上回る価格で再生重油を販売できたため、これは同社にとって被災直後の貴重な収益源となりました。

同社がこのような短期間で業務委託できたのは、委託先の同業者との間で被災前から申し合わせができていたからです。契約書の締結までには至っていなかったようですが、もしどちらか一方が災害などで被災したらお互いに助け合うことを、災害が発生する前から申し合わせていたそうです。

もし、被災した後に、災害発生後の混乱した状況のなかで委託先を探して交渉していたら、このような短期間での事業再開はできなかったでしょう。

 

競合する企業の協力を得られるか?

読者の皆様の中には、災害発生前の平常時からこのような協力関係をつくっておくのは難しいとお感じになった方も多いと思います。自社の業務の一部を委託できるような相手とは、自社と同じような資源やノウハウを持っている企業であり、その多くは競合関係にあると思われるからです。

災害発生後とはいえ、競合他社に業務を委託したら、自社のノウハウを盗まれたり、自社の顧客が横取りされたりするかもしれません。そこで、このようなリスクをできるだけ小さくしながら、被災時に助け合うことができるような関係づくりを実現した例をご紹介します。

神奈川県メッキ工業組合と新潟県鍍金工業組合は、大規模災害時に両組合の企業どうしで代替生産などの相互連携を行う協定を締結しました(注 2)。この例では、被災した企業から一時的に業務を受託する場合の品質保証、品物の所有権の帰属、秘密保持、お互いの取引先への営業活動および受注の禁止などを含む契約書が用意されており、これに基づいて委託側と受託側との間で契約を締結することになっています(注 3)。

また、経済産業省の中部経済産業局が 2012 年に発表した『地域連携 BCP 策定ポイント集 工業団地編』には、工業団地など地域内の企業どうしが連携して事業継続に取り組まれている事例が多数掲載されています(注 4)。

競合他社に助けを請うことに対しては、ためらいを感じられるかも知れませんが、大規模災害から生き残るために、あらゆる可能性を模索していただきたいと思います。

 

(注)

  1. 新建新聞社「リスク対策.com」Web サイト「津波被害から 1 週間で事業再開 – 工場壊滅の被害を乗り切る」(https://www.risktaisaku.com/articles/-/99)(アクセス日:2021 年 2 月 28 日)
  2. 中野明安「緊急事態措置と企業の事業継続」『NBL』No. 1169, p.8-12, https://www.shojihomu.co.jp/documents/10452/11653592/NBL1169-008.pdf (アクセス日:2021 年 3 月 4 日)
  3. 「契約文書に込められた想い」『リスク対策.com』vol. 16, 2009/11, p.26-29
  4. https://www.chubu.meti.go.jp/b52bousai/data/BCP_point.pdf (アクセス日:2021 年 3 月 4 日)

–   –   –   –   –

本稿は、拙書『困難な時代でも企業を存続させる!! 「事業継続マネジメント」実践ガイド』(セルバ出版)の一部に手を加えたものです。是非拙書もお読みいただければ幸いです。

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加