用語」カテゴリーアーカイブ

YouTube> 第 38 回:オールハザード型 BCP とはどういうものか

このエントリーをはてなブックマークに追加

YouTube「事業継続マネジメントについて語りつくすチャンネル」で新しい動画を公開しました。

第 38 回: オールハザード型 BCP とはどういうものか

今回は、ここ数年よく目にするようになった「オールハザード型 BCP」、もしくは「マルチハザード型 BCP」という言葉がどういうものなのか、そのような BCP を作るにはどうすればよいのか、というテーマで語っております。

–   –   –   –   –

事業継続マネジメント(BCM)に関するガイドブックを出版させていただきました。特に中小企業の皆様が自力でに取り組まれることを想定して執筆させていただきましたので、お役立ていただければ幸いです。

田代邦幸(著)『困難な時代でも企業を存続させる!! 「事業継続マネジメント」実践ガイド』(セルバ出版)1,980 円(税込)

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加

「IT-BCP」という言い方は間違い

このエントリーをはてなブックマークに追加

事業継続マネジメント(BCM)に関する話のなかで、IT システムの災害対策などを指して、「IT-BCP」という言葉が使われることがあります。つまり「IT の BCP」という意味ですね。

ところが、この「IT-BCP」という言い方は正しくありませんので、お使いにならないことをお勧めします。これが正しくない理由は、基本的な用語の定義に照らし合わせれば明らかです。

以下、国際規格「ISO 22301」の 2019 年版、およびそれを和訳して作られた「JIS Q 22301」の 2020 年版を拠り所として説明します。本稿の中で「規格」とはこれらの 2 つの規格を指します。

まず、「IT-BCP」というのは「IT-Business Continuity Plan」の略ですから、「IT 事業継続計画」という意味になります。つまり「継続」の対象として「IT」と「事業」の 2 つが含まれています。IT に対する継続性のことを言いたいのであれば「事業」は邪魔であって、「IT-Continuity Plan」(IT 継続計画)と呼ぶ方が自然でしょう。

これだけでも「IT-BCP」という言い方が正しくないことの説明としては十分だと、個人的には思うのですが、中には「これは IT-BCP という言い方が《不自然》だと言っているのであって、《間違い》とは言い切れないのではないか?」と思われる方もいらっしゃるかも知れませんので、もうひとつ説明を加えます。

まず、「事業継続」という用語は規格で次のように定義されています。

事業継続
事業の中断・阻害を受けている間に、あらかじめ定められた範囲で、 許容できる時間枠内に、製品及びサービスを提供し続ける組織の実現能力

(JIS Q 22301:2020 より引用/下線は筆者)

そして、「製品及びサービス」については同規格の中で「組織によって、利害関係者に提供されるアウトプット又は結果」と定義されています。つまり組織内部の業務のために運用されている IT システムは、「製品及びサービス」には含まれないことになります(注 1)。

「製品及びサービス」に含まれない以上、事業継続の対象ではありませんので、「IT-BCP」という言い方はすべきでないのです(注 2)。

一方、規格では BCM において検討すべき資源(resources)について、次のように例示されています。つまり BCM においては、IT システムは資源のひとつとしてとらえるのが正しいということです。

  • 情報及びデータ
  • 建物、職場、その他の施設などの物理的インフラストラクチャー、及び関連するユーティリティ
  • 設備及び消耗品
  • 情報通信技術(ICT)システム
  • 交通手段及び輸送手段
  • 資金
  • パートナー及びサプライヤ

 

一方、IT の分野では昔から(注 3)「IT Disaster Recovery」(IT 災害復旧)、「Redundancy」(冗長性)などという用語が使われていました。また事業継続との関連では「IT continuity」(IT の継続性)という用語が使われることもあります。したがって、「IT-BCP」などという言い方はやめて、これらのいずれかを使われることをお勧めしたいと思います。

 

【注釈】

  1. クラウドサービスなど、IT サービス業の企業が顧客に対して提供しているような IT システムは「製品及びサービス」に含まれます。
  2. 本稿の説明は前述の規格に基づいていますので、筆者個人の主張ではなく、国際的に認められている標準的な考え方だとご理解いただければと思います。
  3. BCM という概念や用語が生まれる前から、これらの用語は普及していました。

–   –   –   –   –

事業継続マネジメント(BCM)に関するガイドブックを出版させていただきました。特に中小企業の皆様が自力でに取り組まれることを想定して執筆させていただきましたので、お役立ていただければ幸いです。

田代邦幸(著)『困難な時代でも企業を存続させる!! 「事業継続マネジメント」実践ガイド』(セルバ出版)1,980 円(税込)

 

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加

「自然災害」と呼ぶのをやめよう

このエントリーをはてなブックマークに追加

昨年から「#NoNaturalDisasters」というキャンペーンが始まっているのを最近知りました。

日本語でもよく「自然災害」という言葉が使われますが、端的に言えばこのキャンペーンは、「自然災害」(natural disaster)という言葉を使うのをやめよう、というものです。

本来は「自然災害」という言葉は、地震や津波、洪水、土砂災害などの自然現象によって人間社会に発生する被害の総称として用いられます。これらの被害をもたらす自然現象そのものを人間の力で防ぐことはできませんが、これらの現象による被害を防いだり、被害規模を小さくすることはできます

しかし実際には、前述のような自然現象そのものを指して「自然災害」と呼ばれることも多いため、自然現象とそれらによる被害(災害)との区別が曖昧になりがちです。このような混同の結果として、自然現象による被害も避けられないという誤解を助長しかねず、災害対策なんてやってもムダという諦めに繋がりかねません。

英語では地震や風水害など、災害をもたらす現象を「hazard」と呼ぶので、上のような誤解を防ぐために、これからは災害をもたらすような自然現象を「natural hazard」と呼び、「natural disaster」という用語を使うのをやめよう、と提案されています(注 1)。

以上は英語での話ですが、hazard とそれらによる被害とを区別すべきなのは日本語でも同様です(注 2)。ただし hazard に相当する適当な単語が日本語になく、そのままカタカナで「ハザード」と呼ぶことが一般的なため、natural hazard は「自然ハザード」ということになります。

「自然ハザード」という呼び方は日本では馴染みがないと思いますし、私自身もそのような呼び方を使ったことはありませんが、これからは「自然ハザード」という呼び方を広めていきたいと思います。この趣旨にご賛同いただける方は、ぜひ積極的に「自然ハザード」という呼び方を使ってみてください。

ちなみに「#NoNaturalDisasters」キャンペーンの Web サイトは下記 URL のとおりです。英語だけですが、ぜひアクセスしてみてください。

https://www.nonaturaldisasters.com/

【注釈】

  1. 国連防災機関(UNDRR)(旧名称:国連国際防災戦略事務局 UNISDR)から発表される各種資料では、数年前から「natural hazard」という用語が使われています。
  2. 日本の災害基本法でも、「災害」は「災害 暴風、竜巻、豪雨、豪雪、洪水、崖崩れ、土石流、高潮、地震、津波、噴火、地滑りその他の異常な自然現象又は大規模な火事若しくは爆発その他その及ぼす被害の程度においてこれらに類する政令で定める原因により生ずる被害をいう」と定義されています(第二条)。長すぎて分かりにくいですが、要するに最後の「〜により生ずる被害をいう」という部分を見れば、hazard ではなくそれらによる被害のことを「災害」と定義していることが分かります。

 

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加

「避難」という用語の理解が生死を分けるかもしれない

このエントリーをはてなブックマークに追加

ここ数年は大規模な豪雨災害が頻発したこともあって、自治体からの避難勧告などの発令や、実際の避難行動、さらに避難所の開設などいった場面が度々ありました。それに伴って、避難勧告等の発令の内容やタイミング、避難のしかた、さらには避難所の開設や運営などが、マスコミを含め様々なところで話題になりました。

しかしながら、このようにあちこちで「避難」に関する説明、会話、議論が行われている中で、「避難」という言葉の意味や使い方に関して、若干の誤解や混乱が見られます。

災害に関する「避難」には、大きく分けて次の 2 つの意味があります。これらを正しく理解しておくことが、災害に対する備えや、いざという時の適切な避難行動に繋がると思いますので、今のうちにしっかり理解していただければと思います。

  • a) 命を守るために、危険な状況から逃れること(evacuation)
  • b) 居場所を失った方々が、仮の場所に一時的に滞在すること(sheltering)

それぞれ右側のカッコ内に書いたように、英語ではそれぞれ別の単語があるのですが、日本語では両方とも「避難」と呼ぶので紛らわしいのです。したがって、文章や会話の中で「避難」という言葉が出てきたら、この場合は a)、b) どちらのことなのか?を考えて区別しないと、誤解が生じたり話が噛み合わなくなったりします。

本稿では混乱を避けるために、上の a) を「避難行動」、b) を「避難生活」と仮に呼ぶことにします(注 1)。

典型的な例としては、これらが混同された結果、「避難 = 避難所に行くこと」という思い込みができてしまうという問題があります。しかも過去の災害事例で再三問題になっているように、避難所生活には様々な困難があり、特に目立った課題の一つとして、犬などのペットと一緒に避難所に入れないという問題があります。もしペットを飼ってられる方がこの問題を知っており、かつ「避難 = 避難所に行くこと」だと思いこんでしまうと、

避難所にペットを連れて行けない

自分は避難所に行けない

自分は避難できない

と考えて自宅にとどまり、結果的に災害に巻き込まれて犠牲になってしまうという悲しい結果になりかねません。

そこで「避難行動」と「避難生活」とを区別していただき、「ペットと一緒に避難生活ができない」としても、「ペットと一緒に避難行動をとることはできる」と考え、自分自身やペットの命を守る行動をとっていただきたいと思います。

以下、少し長くなりますが、これらの意味や根拠について具体的に説明させていただきます。

続きを読む

「演習」と「訓練」は使い分けるべき

このエントリーをはてなブックマークに追加

本件については既にいろいろなところで申し上げていますし、私のオリジナルでもありませんので、特に目新しい話題ではありませんが、少しずつでも普及させるには地道に繰り返していく必要があると思いますので、ここで改めて文章にしておきたいと思います。

災害対策や事業継続マネジメント、さらには緊急事態対応などに関する活動において、演習や訓練が不可欠なのは言うまでもありません。しかしながら「演習」と「訓練」は別の用語であるにも関わらず、日本においてはこれらが正しく使い分けられておらず、混同されることが多いのが現状です。

例えば内閣府(防災担当)が 2013 年 8 月に発表した「事業継続ガイドライン」第三版(注 1)では、本来は「演習」と「訓練」とが本来使い分けられるべきであることを認識しつつも、「日本国内における一般的な分かりやすさを優先し、厳密な使い分けはしない」という立場がとられています(P. 30)。内閣府(防災担当)がそう書かざるをえないくらい、世間では混同されているということでしょう。

しかしながら、これらの用語が正しく理解されないと、演習や訓練を行う際の目的が曖昧になるおそれがあり、その結果として演習や訓練から期待される成果が得られにくくなる可能性があります。そこで本稿ではこれらの用語の意味や使い分け方を整理して説明させていただきます。また、本稿の内容は私の勝手な意見や思い込みではなく、国際的なコンセンサスに基づいていますので、その根拠もお示ししておきたいと思います。

なお本稿はあくまでも、災害対策や事業継続マネジメントなどの分野における用語に関する文章ですので、他の分野では異なる定義や用法があるかもしれません。その点はご承知おきください。

用語の意味

「演習」とは、主に計画や対応手順の妥当性や準備状況の確認などを目的として実施されるものです。これに対して「訓練」とは、主に手順の理解や習熟度の向上を目的として実施されるものです。

もちろん、演習を行うことによって対応手順をより深く理解できるということもあります(特に、その手順に関する演習を初めて行う場合)。また訓練を行うことの副産物として、マニュアルなどの文書の間違いが見つかることもあります。このように、実際にはこれらの間には相互補完的な部分があります。

しかしながら、演習や訓練を企画、準備、実施する際には、これから行う演習(もしくは訓練)の主な目的は何なのか?ということを明確にして行う必要があります。これが明確でないままだと、演習や訓練を実施したあとの成果が分かりにくくなります。

演習に期待すべき成果は、計画やマニュアル、および様々な準備に関する間違い、更新漏れ、解決すべき課題、改善の余地などが明らかになることです。もし仮に、演習の途中で重大な問題が見つかって演習を中断せざるを得なくなったとしても、それは演習を行うことによって問題を発見できた結果なのですから、演習としては成果が得られたことになります(もっとも、それが演習しなくても分かるような初歩的な問題だったのであれば、単なる時間の空費です)。

一方、もしこれが訓練だったのならば、予定されていた訓練を全て実施できなかったのですから、訓練としてはうまくいかなかったということになります。このとき参加者の中に、演習としての成果を期待していた人と、訓練だと思って参加した人とが混在していたら、一部の方々は結果に不満を感じ、今後の演習や訓練に協力してくれなくなくなるかもしれません。

特に経営層の方々との間で、成果に関する認識がズレてしまったらたら致命的です。したがって、演習や訓練を実施する際には、どのような成果を期待するのかという点について、参加者の間で共通認識ができていることが非常に重要です。このような認識のズレを防ぐために、「演習」と「訓練」という 2 つの用語を適切に使い分けることが必要です。

国際規格における「演習」と「訓練」

日本で事業継続や危機管理などの分野で用いられる主な用語が定義されているのは、日本産業規格(注 2)のひとつである「JIS Q 22300 – 社会セキュリティ – 用語」です。この規格は国際規格「ISO 22300」をほぼ完全に和訳して作られたもので、この規格の中で演習や訓練に関する用語が次のように定義されています。

訓練(drill)
ある特定の技能を練習し、複数回の繰返しを伴うことが多い活動。

教育訓練(training)
知識、技能及び能力の、学習及び育成を促し、ある任務又は役割のパフォーマンスを改善するために策定された活動。

演習(exercise)
組織内で、パフォーマンスに関する教育訓練を実施し、評価し、練習し、改善するプロセス。

(出典:JIS Q 22300:2013)

まず訓練に関しては「訓練」と「教育訓練」の 2 つがありますが、いずれも前項で述べたとおり、主に習熟度の向上という観点で行われるものとして定義されています。

一方、「演習」については定義の中に「教育訓練」という言葉が含まれているため混乱を招きそうですが、注記として次のような記述があり、これを見ると主に妥当性の確認や検証、評価が主な目的であることが分かります(注 3)。

注記1 演習は、次のような目的のために利用することができる。
– 方針、計画、手順、教育訓練、装置又は組織間合意の妥当性確認
– 役割及び責任を担う要員の明確化並びにそれらの教育訓練
– 組織間の連携及びコミュニケーションの改善
– 資源の不足部分の特定
– 個人のパフォーマンスの改善、及び改善の機会の特定
– 臨機応変な対応を練習する統制された機会

(出典:JIS Q 22300:2013)

前述の通り、この定義は「ISO 22300」という国際規格に基づいています。つまり、これが世界各国からこの分野の専門家が集まって合意された定義ということになります。本稿の序盤の部分で「国際的なコンセンサスに基づいています」と述べたのはこのためです。

事業継続マネジメントにおける「演習」と「訓練」の位置付け

事業継続マネジメントシステムに関する国際規格「ISO 22301」(およびその日本語訳である「JIS Q 22301」)の中で、訓練は人員に必要な力量を備えさせるためのものとして、項番 7.2 に記述されています。一方で演習については、「事業継続手順が事業継続目的に合致していることを確実にするため」に行うものとして項番 8.5 に記述されています。

下図は JIS Q 22301 に対する指針として作られた規格「JIS Q 22313」からの引用で、事業継続マネジメントに必要な 5 つの活動の関係を表したものです。この図の中で「事業継続手順の確立及び実施」が項番 8.4、「演習及び試験の実施」が項番 8.5 となっています。この中で事業継続計画(BCP)を文書化する作業は 8.4 の中で行われますので、文書化された BCP の内容を確認・検証するためのものとして演習が位置付けられていることが分かります。

(出典:JIS Q 22313:2014)

(参考)軍隊における「演習」と「訓練」

海上自衛隊の出身でおられる、(株)イージスクライシスマネジメント代表取締役の林祐氏が、軍隊における「演習」と「訓練」について、ご自身のブログで次のように書いておられます。表現は若干異なりますが、本稿で説明させていただいている定義や用法と概ね一致していると言えます。

軍隊では「訓練」は練度の向上を目的として行われます。
一方の「演習」が練度の向上を目指していないわけではないのですが、直接的な目的は「検証」です。

「訓練」は個人や部隊の練度の向上を目指していますので、その効果が最大限に上がるように様々な工夫がなされています。極めて初歩的・基礎的なレベルから高度に複雑なレベルへ段階を踏むのが普通です。

「演習」はその練度がどのレベルにあるのか、あるいは立案された計画に何か問題はないのか、その計画に従うとどういう結果になるのかを検証してみる場合などに行われるのが普通です。

(出典:専門コラム「指揮官の決断」:第 38 回「演習」と「訓練」
https://aegis-cms.co.jp/622

ちなみに林氏による下記の著書には、図上演習の手法が具体的に分かりやすく書かれていますので、ご一読をお勧めします。

林祐(2019)『知らないと損をする経営トップのための「図上演習」活用術』日本コンサルティング推進機構
https://www.amazon.co.jp/dp/4908617694

【注釈】

  1. http://www.bousai.go.jp/kyoiku/kigyou/pdf/guideline03.pdf
  2. かつては日本工業規格と呼ばれていました。
  3. 私の推測ですが、恐らく ISO で規格の内容を検討する際に各国の委員から出された意見を取り込んだ結果、妥協の産物としてこのような定義になったのではないかと思います。ちなみに ISO 22300 より前に作られた英国国家規格(BS 規格)の中では、「exercise」は教育訓練的な内容を伴わない形で定義されています。
(BiBTeX)
author = "林 祐",
yomi = "Yu Hayashi",
title = "知らないと損をする経営トップのための「図上演習」活用術",
publisher = "日本コンサルティング推進機構",
year = 2019,

 

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加

ISO 22301 2019 年版における「solutions」の意味

このエントリーをはてなブックマークに追加

事業継続マネジメントシステム(BCMS)に関する要求事項を定めた国際規格『ISO 22301』が 2019 年 11 月に、これに関するガイドラインである規格『ISO 22313』も 2020 年 2 月に、それぞれ改訂されました。この改訂において BCMS の概念や方法論が大きく変わったわけではありませんが、いくつかの用語に関しては重要な変更が行われています。その中で本稿では「solutions」という用語について解説したいと思います。

ISO 22301 および 22313 では、項番 8.3 のタイトルが「Business continuity strategies and solutions」となっています。これは改訂前の旧版では「Business continuity strategies」であり、両規格の日本語訳である JIS 規格では「事業継続戦略」と訳されています。改訂版ではこれに「and solutions」が追加されました。

では「Business continuity strategies」と「Business continuity strategies and solutions」とでは何が違うのか?という話になりますが、結論から申し上げると、これらの実質的な意味はほとんど変わらないと考えて差し支えありません。

このような説明だと単に無駄な変更が加えられたように思われるかもしれませんので、このような変更が行われた背景を説明させていただきたいと思います。

この部分の改訂は、BCI から発行されている『Good Practice Guidelines』(略称 GPG)の影響を受けています。GPG の 2013 年版では ISO 規格と同様に「business continuity strategies」という用語が使われていましたが、2018 年版にむけて改訂される際に「business continuity solutions」に変更されました。このような変更が行われた理由については、GPG 2018 年版の 9 ページ目に次のような記述があります。

The previous use of the term ‘business continuity strategies’ in the Design stage of the business continuity management lifecycle has caused some confusion with organizational level strategies. Consequently, the GPG 2018 edition adopts the term “business continuity solutions”.

つまり、BCM の範疇で使われる business continuity strategies と、例えば経営戦略、ビジネス戦略といったような組織全体としての strategies との間で若干の混乱があったため、BCM の中では「strategies」という用語を使うのをやめて、これを「solutions」で置き換えたということです。つまり GPG においては「business continuity strategies」と「business continuity solutions」とは同じ意味で使われています。

その後、ISO の委員会で ISO 22301 の改訂に関する議論が始まったときに、BCI のメンバーから、同様の用語変更が提案されたそうです。この提案を行ったのが具体的に誰なのかは聞いていませんが、ISO においてこの規格を担当している技術委員会 TC292 には、BCI のメンバーが複数含まれていますので、それらのうちの誰かだと思われます。しかしながら「strategies」を「solutions」で置き換えることについては合意に至らず、いわば折衷案のような形で「strategies」が残されたまま「solutions」が追加された形となったようです。

そして合意され正式に発行された ISO 22301 においては、8.3.1 節に次のように説明されています。

The business continuity strategies shall be comprised of one or more solutions.

つまり「business continuity strategies」は 1 つまたは複数の「solutions」の集まりだと定められています。また、もし solutions が 1 つだけならば strategies = solutions ということになります。

また両規格のどこにも、strategies や solutions の違いや要件が説明されている箇所はありませんし、多くの箇所で「strategies and solutions」としてまとめて扱われています。そう考えると BCM においては、strategies と solutions との間に実質的な違いはほとんど無いと言ってよいでしょう。

実務的には、自組織における BCM の中では「business continuity solutions」という用語を使っておき、外部の方々に対してなにか説明する必要があるとき(例えば認証審査など)には、その solutions を指して「これがうちの strategies です」と言えばよいでしょう。

もちろん strategies、solutions という単語そのものが持つニュアンスの違いがありますので、全く同じと言うと語弊があると思いますが、実務上問題となるような違いはないと考えられます。どちらを使うべきか迷うくらいでしたら、前述のとおり GPG に述べられている理由から、「solutions」を使うことをお勧めしたいと思います。

なお現時点(2020 年 3 月)ではまだ JIS 規格の方が改訂されていませんので、この solutions がどのように訳されるかは分かりません。直訳すると「解決策」などということになりますが、事業継続に関して「解決策」というのは違和感があります。どう訳されるのでしょうか?

 

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加

今さらですが「BCP」とは何か?という話

このエントリーをはてなブックマークに追加

当サイトにアクセスされた方であれば、既に「BCP」という用語はご存じかと思います。言うまでもなく、これは「事業継続計画」(Business Continuity Plan)の略称です。

私がこの用語に初めて触れたのは 1998 年ごろでした。当時は情報セキュリティに関する仕事をしていたので、情報セキュリティに関する英国規格「BS 7799」に記載されていたものを読んだのが最初です(まだ ISO/IEC 17799 などが発行される前の話です)。あの当時に比べると、今では日本でも「BCP」という用語がずいぶん普及してきたように思います。

このような用語が普及するのは良いことではあるのですが、一方で明らかな誤用や、かなり本来の意味から外れた使い方などが横行するようになってきました。そこで本稿では、「BCP」とは本来どのような意味なのかを整理しておきたいと思います。

まず、「BCP」の公式な定義は次のようになっています。

business continuity plan

documented information that guides an organization to respond to a disruption and resume, recover and restore the delivery of products and services consistent with its business continuity objectives

事業継続計画

事業の中断・阻害に対応し、組織の事業継続の目標に一致するように製品およびサービスの提供を再開し、回復し、復旧するように組織を導く、文書化された情報。

(出典:ISO 22301:2019)(和訳部分は筆者)

この定義がなぜ「公式」かというと、国際規格「ISO 22301」で決められている定義だからです。ISO でこの規格を作ったときの委員会には日本からも委員が代表で参加していますので、日本を含む国際社会において公式に定められた定義と言えます。

また、この規格は和訳され、日本産業規格(JIS)の「JIS Q 22301」として制定されています。上記の ISO 規格は 2019 年に改訂されましたが、JIS 規格の方はまだ改訂作業中のため、今のところ 2013 年版が現行最新版となっています。そしてその JIS 規格では、BCP は次のように定義されています。若干表現は変わっていますが、本質的な意味は上の ISO 規格における定義と同じです。

事業継続計画(business continuity plan)

事業の中断・阻害に対応し,事業を復旧し,再開し,あらかじめ定められたレベルに回復するように組織を導く文書化した手順。

(出典:JIS Q 22301:2013)

今のところ日本には BCP に関する法律はありませんので、これが日本における公式な定義ということになります。

(ちなみに日本では、公的機関(政府や自治体など)の BCP が「業務継続計画」と呼ばれています。これは「事業」という単語が営利事業を想起させるためだと聞いていますが、英語では非営利組織に対しても区別なく「business continuity plan」と呼ばれています。)

この定義に従えば、BCP とは次のようなものだという事がわかります。

  • (1) 文書化されたものである
  • (2) 事業の中断・阻害が発生した後にやること(事後対応)が書かれているものである
  • (3) 事業を再開・復旧・回復させるための活動に関することが書かれているものである
  • (4) 必ずしも元どおりに復旧するための計画であるとは限らない

まず最初に明らかなのは、BCP とは何らかの形で文書化された「計画」のことだということです。これに対して、代替事業所の活用や外部への業務委託、自宅で業務を行うことなど、事業継続のための方策のことを「これが当社の BCP だ」などと表現する方がおられますが、これは正しくありません。

「これらの方策を使うことが当社の BCP に書かれている」というなら分かりますが、文書化されていない状況で、このような方策そのものを BCP と呼ぶのは間違いです。ひどい例では、災害対策関連の商品やサービスの売り文句として、「BCP 対策」という表現を見ることがあります。「BCP」つまり文書化された計画に対する「対策」とは何なのでしょうか?意味が分かりません。明らかに誤用です。どうも災害やリスクに対する対応のしかたや取り組み全般に対して、幅広く「BCP」という言葉が使われてしまっているようです

また、平常時にどのような準備をしておくか(例えばデータのバックアップ、物資の備蓄、従業員の教育訓練など)が書かれた文書に「事業継続計画」というタイトルが付けられている場合がありますが、これは上の (2) に照らして考えれば BCP の趣旨とは異なります。もし同じ文書の中に、上の (2) のような事後対応も書かれていれば BCP と呼んでも間違いではありませんが、そのようなことが書かれていなければ、それは BCP ではありません。

次に指摘しておきたいのは、文書に書かれた事後対応の内容です。BCP に含まれうる事後対応は、大まかに次のように分けられます。

  • a) 事故や災害などの緊急事態が発生した直後の初期対応(「初動」と呼ばれることがあります)
  • b) 製品またはサービスの提供を再開・継続させるための活動
  • c) 製品またはサービスの提供を、平常時の状態に復旧させるための活動

実際に企業などで作られている BCP の中には、これらのうち a) しか書かれていないものが散見されますが、それらは上の (3) を満たしませんので、BCP とは言えません。

ところで上の (4) はちょっと分かりにくいかもしれませんが、これは ISO の定義における「組織の事業継続の目標に一致するように」という部分と、JIS の定義における「あらかじめ定められたレベルに」という部分が該当します。これは、事業の中断・阻害が発生した後にそれらをどのくらいの時間で、どのくらいのレベルまで復旧させるか、という目標をあらかじめ決めて BCP に書いておき、その目標に合わせて復旧を目指すということです。もちろん、これらの目標は経営層から承認されている必要があります。

例えばある企業で、「商品 A の生産量を一ヶ月後までに 50% まで復旧させる」という目標が決まっていて、「とりあえずこのレベルまでたどり着けば、あとは走りながら考えて復旧させるのでも間に合う」というような判断をしたとします。この場合、その企業の BCP には「一ヶ月後までに 50% まで復旧させる」ための方策や、それを実施するための手順が含まれていればよく、そこから先の(100% まで復旧させるための)方策については文書化する必要がないということです。

以上は規格における定義にできるだけ忠実に説明していますが、本稿の意図は、全ての BCP(もしくは「BCP」と呼ばれるもの)に対して、これらを厳密に当てはめるべきだという事ではありません。しかしながら用語の定義があまりにもバラバラだと話が噛み合わなくなりますので、「BCP」という用語の本来の意味を正しく理解した上で、あまりにもかけ離れた拡大解釈や誤用などは今後あらためていくことを提案したいと思います。

 

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加