当サイトにアクセスされた方であれば、既に「BCP」という用語はご存じかと思います。言うまでもなく、これは「事業継続計画」(Business Continuity Plan)の略称です。
私がこの用語に初めて触れたのは 1998 年ごろでした。当時は情報セキュリティに関する仕事をしていたので、情報セキュリティに関する英国規格「BS 7799」に記載されていたものを読んだのが最初です(まだ ISO/IEC 17799 などが発行される前の話です)。あの当時に比べると、今では日本でも「BCP」という用語がずいぶん普及してきたように思います。
このような用語が普及するのは良いことではあるのですが、一方で明らかな誤用や、かなり本来の意味から外れた使い方などが横行するようになってきました。そこで本稿では、「BCP」とは本来どのような意味なのかを整理しておきたいと思います。
まず、「BCP」の公式な定義は次のようになっています。
business continuity plan
documented information that guides an organization to respond to a disruption and resume, recover and restore the delivery of products and services consistent with its business continuity objectives
事業継続計画
事業の中断・阻害に対応し、組織の事業継続の目標に一致するように製品およびサービスの提供を再開し、回復し、復旧するように組織を導く、文書化された情報。
(出典:ISO 22301:2019)(和訳部分は筆者)
この定義がなぜ「公式」かというと、国際規格「ISO 22301」で決められている定義だからです。ISO でこの規格を作ったときの委員会には日本からも委員が代表で参加していますので、日本を含む国際社会において公式に定められた定義と言えます。
また、この規格は和訳され、日本産業規格(JIS)の「JIS Q 22301」として制定されています。上記の ISO 規格は 2019 年に改訂されましたが、JIS 規格の方はまだ改訂作業中のため、今のところ 2013 年版が現行最新版となっています。そしてその JIS 規格では、BCP は次のように定義されています。若干表現は変わっていますが、本質的な意味は上の ISO 規格における定義と同じです。
事業継続計画(business continuity plan)
事業の中断・阻害に対応し,事業を復旧し,再開し,あらかじめ定められたレベルに回復するように組織を導く文書化した手順。
(出典:JIS Q 22301:2013)
今のところ日本には BCP に関する法律はありませんので、これが日本における公式な定義ということになります。
(ちなみに日本では、公的機関(政府や自治体など)の BCP が「業務継続計画」と呼ばれています。これは「事業」という単語が営利事業を想起させるためだと聞いていますが、英語では非営利組織に対しても区別なく「business continuity plan」と呼ばれています。)
この定義に従えば、BCP とは次のようなものだという事がわかります。
- (1) 文書化されたものである
- (2) 事業の中断・阻害が発生した後にやること(事後対応)が書かれているものである
- (3) 事業を再開・復旧・回復させるための活動に関することが書かれているものである
- (4) 必ずしも元どおりに復旧するための計画であるとは限らない
まず最初に明らかなのは、BCP とは何らかの形で文書化された「計画」のことだということです。これに対して、代替事業所の活用や外部への業務委託、自宅で業務を行うことなど、事業継続のための方策のことを「これが当社の BCP だ」などと表現する方がおられますが、これは正しくありません。
「これらの方策を使うことが当社の BCP に書かれている」というなら分かりますが、文書化されていない状況で、このような方策そのものを BCP と呼ぶのは間違いです。ひどい例では、災害対策関連の商品やサービスの売り文句として、「BCP 対策」という表現を見ることがあります。「BCP」つまり文書化された計画に対する「対策」とは何なのでしょうか?意味が分かりません。明らかに誤用です。どうも災害やリスクに対する対応のしかたや取り組み全般に対して、幅広く「BCP」という言葉が使われてしまっているようです。
また、平常時にどのような準備をしておくか(例えばデータのバックアップ、物資の備蓄、従業員の教育訓練など)が書かれた文書に「事業継続計画」というタイトルが付けられている場合がありますが、これは上の (2) に照らして考えれば BCP の趣旨とは異なります。もし同じ文書の中に、上の (2) のような事後対応も書かれていれば BCP と呼んでも間違いではありませんが、そのようなことが書かれていなければ、それは BCP ではありません。
次に指摘しておきたいのは、文書に書かれた事後対応の内容です。BCP に含まれうる事後対応は、大まかに次のように分けられます。
- a) 事故や災害などの緊急事態が発生した直後の初期対応(「初動」と呼ばれることがあります)
- b) 製品またはサービスの提供を再開・継続させるための活動
- c) 製品またはサービスの提供を、平常時の状態に復旧させるための活動
実際に企業などで作られている BCP の中には、これらのうち a) しか書かれていないものが散見されますが、それらは上の (3) を満たしませんので、BCP とは言えません。
ところで上の (4) はちょっと分かりにくいかもしれませんが、これは ISO の定義における「組織の事業継続の目標に一致するように」という部分と、JIS の定義における「あらかじめ定められたレベルに」という部分が該当します。これは、事業の中断・阻害が発生した後にそれらをどのくらいの時間で、どのくらいのレベルまで復旧させるか、という目標をあらかじめ決めて BCP に書いておき、その目標に合わせて復旧を目指すということです。もちろん、これらの目標は経営層から承認されている必要があります。
例えばある企業で、「商品 A の生産量を一ヶ月後までに 50% まで復旧させる」という目標が決まっていて、「とりあえずこのレベルまでたどり着けば、あとは走りながら考えて復旧させるのでも間に合う」というような判断をしたとします。この場合、その企業の BCP には「一ヶ月後までに 50% まで復旧させる」ための方策や、それを実施するための手順が含まれていればよく、そこから先の(100% まで復旧させるための)方策については文書化する必要がないということです。
以上は規格における定義にできるだけ忠実に説明していますが、本稿の意図は、全ての BCP(もしくは「BCP」と呼ばれるもの)に対して、これらを厳密に当てはめるべきだという事ではありません。しかしながら用語の定義があまりにもバラバラだと話が噛み合わなくなりますので、「BCP」という用語の本来の意味を正しく理解した上で、あまりにもかけ離れた拡大解釈や誤用などは今後あらためていくことを提案したいと思います。
合同会社 Office SRC 代表 田代邦幸