月別アーカイブ: 2021年2月

ISO 22300 が改定されました(2021 年版)

このエントリーをはてなブックマークに追加

国際規格 ISO 22300 「Security and resilience — Vocabulary」が昨日改定され、ISO Web サイトの「Online Browsing Platform」(下記リンク)で読めるようになりました。

https://www.iso.org/obp/ui/#iso:std:iso:22300:ed-3:v1:en

この規格は、技術委員会 TC292 が管掌している「Security and resilience」に関する規格で用いられる用語を定義するための規格です。

前回の改定が 2018 年でしたので、意外に短いスパンで改定されたという印象です。最近は TC292 で開発される規格の数も増えてきたので、定義すべき用語が増えたために、それらを追加するために改定されたのかもしれません。

自分の仕事に関連するところだけ、ざっと確認してみましたが、BCM に関する基本的な用語も 2018 年版からかなり変更されているので、注意が必要だと思いました。

なお、対応する JIS 規格の方は、ISO 22300:2012 に対応する JIS Q 22300:2013 が最新版となっていますので、二周遅れになってしまいました。一応 ISO 22300:2018 に関しても日本規格協会から「邦訳版」が販売されていますが、これはあくまでも参考訳であって規格ではありません。早急に JIS 規格の方でも最新版に対応していただきたいと思います。

 

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加

非営利組織はどのように事業継続マネジメント(BCM)に取り組むべきか

このエントリーをはてなブックマークに追加

当サイトにアクセスしてくださった皆様の中には、政府や自治体などの公的組織や NGO などといった、非営利組織の方々もおられるかと思います。そこで非営利組織における BCM についても触れておきたいと思います。

結論から申し上げると、BCM の基本的な考え方や方法論は非営利組織に対しても同じです。ただし次項で説明するとおり、営利企業と非営利組織との間で事情が異なる部分が二点ありますので、これらに留意すべきかと思います。

 

営利企業の BCM と非営利組織の BCM との違い

一つめの違いはお金に関することです。営利企業と非営利組織とでは収益や資金繰りなどの構造が大きく異なります。特に公的組織であれば倒産や破産の心配がありません。

二つめの違いは、これは非営利組織の中でも特に自治体や政府機関などの公的組織に関して言えることですが、大規模な災害が発生したときに、自組織の事業継続だけでなく災害対応のための業務が発生するということです。特に自治体においては、自組織が被災して通常通りに業務を遂行できないような状況の下で、地域防災計画に規定されている大量の災害対応業務を遂行しなければなりません。このような事情を踏まえて、内閣府(防災担当)から地方自治体向けに、BCM に関する手引や参考資料などが多数発表されています(詳しくは内閣府の Web サイトをご確認ください)。

 

BCM は非営利組織にも通用する方法論

BCM の「B」はビジネスの頭文字であり、ビジネス=営利目的の活動という認識から、BCM は営利企業のためのものだと思われる方も多いのではないかと思います。ちなみに内閣府(防災担当)から発行されている地方自治体向けの手引などでも、対象が非営利組織であることを考慮して「事業継続」の代わりに「業務継続」という表現が用いられています。

一方で筆者の知る限り、外国では非営利組織に対しても BCM という用語がそのまま使われているようです。これまで英国など英語圏における消防や自治体、議会などの事業継続に関する事例を、文書やプレゼンテーションなどでいくつか見てきましたが、いずれも非営利組織でありながら Business Continuity と表現されいました。

BCM に関する国際規格「ISO 22301」も、非営利組織が対象に含まれることを明らかに考慮して書かれています(※)。このような状況を見ても、BCM の考え方や方法論が非営利組織に対しても適用できることが分かります。したがって、前に述べた二つの違いに留意していただければ、当サイトに掲載している内容や、BCM に関する多くの参考書などに書かれている内容は、非営利組織の皆様にとっても参考になるはずです。


※)ISO 22301 では「組織」(organization)という用語の定義に次のような注釈が付けられており、BCM に取り組む主体のことが一貫して「組織」と記述されています(下の引用部分は JIS Q 22301:2020 より)。

組織という概念には,法人か否か,公的か私的かを問わず,自営業者,会社,法人,事務所, 企業,当局,共同経営会社,非営利団体若しくは協会,又はこれらの一部若しくは組合せが含まれる。ただし,これらに限定されるものではない。

 

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加

寄稿> パンデミック後の将来を見据えて企業はどのように変わっていくべきか

このエントリーをはてなブックマークに追加

リスク対策.com Web サイトに連載記事を掲載していただきました。

【海外のレジリエンス調査研究ナナメ読み!】
第 135 回:パンデミック後の将来を見据えて企業はどのように変わっていくべきか
Aon / Reprioritizing Risk and Resilience for a Post-COVID-19 Future

世界最大級の保険・再保険ブローカーである Aon が 2021 年 2 月に発表した調査報告書です。報告書そのものは次の URL からダウンロードできます。
https://insights.aon.com/reprioritizing-enterprise-risk-management-resilience-and-insurance-covid19/cover/

寄稿した記事では、損害保険の活用に関するデータを抜粋して紹介していますが、報告書そのものはタイトルに「Reprioritizing Risk」(リスクの優先順位付けを見直す)と謳われているとおり、新型コロナウイルスによるパンデミックの後を見据えて、リスクの優先順位付けを見直し、レジリエンスを備えていくために何をすべきかを探る内容となっています。

この報告書の大きな特徴は、企業がパンデミックによる危機を乗り越えていくプロセスを次の 3 つの段階で表しており、それぞれの段階に対応した調査結果とその分析が示されていることです。

  • 反応と対応(react and respond)
  • 復旧(recover)
  • 再形成(reshape)

また調査結果を踏まえて、組織経営の在り方や事業構造の再構築、保険業界の取り組みに対する提言がまとめられています。パンデミックに限らず今後発生するであろう様々な危機を乗り越えていくために、どのようなことを考え、取り組んでいくべきか、視野を広げるのに役立つ報告書ではないかと思います。

 

下記リンクからお読みいただければ幸いです。
https://office-src.biz/37lrWYD

 

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加

書籍紹介『見るみる BCP・事業継続マネジメント・ISO 22301』(深田博史・寺田和正)

このエントリーをはてなブックマークに追加

本書は恐らく、ISO 22301 の 2019 年版、およびその日本語訳である JIS Q 22301 の 2020 年版に準拠して書かれた最初の本ではないかと思います。

経歴を拝見したところ、著者のお二人はマネジメントシステム(および関連する規格)に関するスペシャリストのようです。同著者による「見るみる」シリーズとして、BCM 以外にも品質、環境、個人情報、食品安全衛生(HACCP)といったマネジメントシステムに関する書籍が、日本規格協会から出版されています。

本書はこのような、マネジメントシステムのスペシャリストが BCM の参考書を執筆されたことの意義や利点が、とても良い形であらわれていると思います。規格に準拠した形で書かれてはいますが、認証取得する/しないに関わらず、これから BCM に取り組み始める(もしくは既に取り組んでおられる)多くの方々に読んでいただきたいと思います。

–  –  –  –  –

【書籍情報】

深田博史・寺田和正(2021)『見るみるBCP・事業継続マネジメント・ISO 22301: イラストとワークブックで事業継続計画の策定,運用,復旧,改善の要点を理解』日本規格協会

Amazon リンク

–  –  –  –  –

私が思うに、本書の最も良いところは次のような点であり、これらはいずれもマネジメントシステムの使いこなし方を熟知しているからこそ実現できたのではないかと思います。

  • 用語の定義が正確で、国際規格に忠実である。
  • 継続的なマネジメント活動として取り組むことを前提として書かれている。特に、小さく始めて早めに成果を得てから対象範囲を拡大していくというアプローチが明記されている。
  • 日常業務の中で事業継続の観点から実施すべきことが、品質、環境、情報セキュリティ、労働安全衛生といった他のマネジメント領域と関連させて説明されている(しかも本の中で比較的最初の方で)。

私も仕事柄、BCM の参考書は多数見てきましたが、残念ながら上の 3 点が押さえられている本は非常に少ないです。

また、マネジメントシステムという観点とは異なりますが、事業継続に関連する資源や、演習プログラムに関する記述など、規格に忠実に書かれた結果として一貫性を保って整然と説明されている部分もあります。余談ですが、こういうところは下手に自己流で書こうとして、かえって分かりにくくなっている本も多いものです。

BCP を作るだけでなく、その実装として必要な活動についても触れられている点や、非常事態が発生した場合にまず BCP を被災状況に合わせて修正すべきであることが明記されている点も重要です。BCP の作り方に終始した参考書では、このような実務的な内容が書かれないこともあります。

本書が特にユニークなのは第 7 章で、言わば ISO 22301 の読み解き方の解説となっています。特に規格の箇条 4〜10 に関しては、もともと読みにくい文体で書かれている規格本文の内容が、こなれた文体で要約されていて、規格で言わんとしていることをザックリ掴みやすくなっています。もし認証取得を目指すならば、ちゃんと規格の原文(必要に応じて ISO の英文)を読み込んで、要求事項を正しく理解する必要がありますが、「認証取得は目指していないが規格に含まれているノウハウやエッセンスを採り入れたい」という方々にとっては、規格本文よりも本書の方が分かりやすくて便利かも知れません。

強いて本書の弱点を挙げるとすれば、事業影響度分析やリスクアセスメントに関する方法論が、あまり具体的に書かれていないことです、しかしながら、それは他の参考書などで補えばいい話です(そのうち自分自身でもそのような本を書こうとも思っていますが)。まずは本書で BCM の全体像を掴んで、体系的かつ組織的なマネジメント活動として取り組み、組織に定着させていくことを目指すことをお勧めしたいと思います。

 

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加

寄稿> パンデミックで変わった緊急事態でのコミュニケーション

このエントリーをはてなブックマークに追加

リスク対策.com Web サイトに連載記事を掲載していただきました。

【海外のレジリエンス調査研究ナナメ読み!】
第 134 回:パンデミックで変わった緊急事態でのコミュニケーション
BCI / Emergency Communications Report 2021

BCI が定期的に実施している、緊急事態におけるコミュニケーションに関する実態調査の 2021 年版です。前回の報告書(2020 年 1 月発表)の後に新型コロナウイルスのパンデミックが発生した影響で、調査内容および結果の両面で大きな変化がありました。

例えば、リモートワークの増加によって従業員が事業所内にいることが少なくなったため、緊急事態におけるコミュニケーション手段に変化が見られます。

またパンデミックの影響で日常業務に Microsoft Teams や Slack などといったシステムを導入した企業が増えたため、これらに含まれているチャットやメッセンジャーの機能を緊急事態にも活用するという企業が増えています。

日常業務における会議がオンラインで行われることが普通になったため、緊急事態における対策本部の運用についてもオンライン化が進むと予想されています。

 

下記リンクからお読みいただければ幸いです。
http://office-src.biz/3rAdFyX

 

Female hand holding a smartphone with emergency concept

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加

事業継続には最初から継続的なマネジメント活動として取り組みましょう

このエントリーをはてなブックマークに追加

「BCP」と「BCM」

BCP とは「事業継続計画」の英語表記(Business Continuity Plan)の頭文字をとったものです。事故や災害などによる事業中断が発生した場合に、これに対応してどのように製品やサービスの提供を再開・継続させるかを文書化した計画書を BCP といいます。

ここで何となくお察しいただける方も多いと思いますが、そのような計画書があるだけでは事故や災害などに対する対応力は高まりません。まず BCP を作る前に、社内外の状況を把握・分析した上で自社の弱点を把握し、それらを踏まえて合理的な戦略を検討する必要があります。また BCP に書かれていることが実行可能かどうかを確認・検証する作業や、BCP の実行に関する教育訓練なども必要になります。このような活動全体の総称が「事業継続マネジメント」です。これは英語表記(Business Continuity Management)の頭文字をとって BCM と呼ばれています。

 

BCP は BCM の成果のひとつにすぎない

一般的に、BCM の活動は下の図のように整理されており、このような活動を時計回りに継続していく中で、事故や災害への対応力を段階的に高め、維持していきます。この中で BCP は、図の下側の「事業継続計画および手順」という段階で作成されますが、BCP もやはり継続的な BCM の活動の中で改善していきます。

ところで本稿にアクセスしていただいた皆様の中には、以前から「事業継続計画」または「BCP」という言葉をご存知だった方もおられると思いますが、そのような方々でも「事業継続マネジメント」または「BCM」という言葉に聞き馴染みのあった方は少ないかも知れません。どういう訳か、日本では特に BCP ばかりが注目される傾向があり、まず BCP を作ってから、BCP に基づく訓練や BCP の見直し・改善に取り組むという考え方が一般的です。しかしながら、まず BCM としての活動に取り組み、その活動の結果として BCP ができるというのが本来の考え方であり、なおかつ理にかなっています。BCP を作ることばかりが重視されるのは、筆者の知る限り日本だけです。

特に中小企業の皆様におかれましては、「とりあえず BCP を作ろう」と考えるよりも、以上のような考え方をご理解いただいた上で、最初から BCM の活動に継続的に取り組むことを考えていただきたいと思います。それは後述する理由から、その方が合理的であり、かつ難易度も低くなるからです。

 

無理のないペースで BCM に取り組み始めることが大事

BCM に継続的に取り組むという前提で最初から取り組んでいれば、最初に作った BCP の内容の出来が悪くても、割り切って先に進みやすくなります。初版の BCP に足りない部分は、BCM のサイクルを 2 周、3 周と回していく間に改善していければ良いからです。誤解を恐れずに申し上げれば、立派な BCP を作るよりも、まず BCM のサイクルを一周して、これらの活動をひととおり経験することの方が重要です。

ところが、このような考え方を持たずに「まず BCP を作ろう」とする場合、最初からある程度のレベルの BCP を作らねばならないと思いがちです。その結果、最初の BCP ができる前に途中で挫折してしまったり、できたとしても多大な時間を要して息切れしてしまったりして、その後の演習や改善などに手が回らなくなるということが(大企業においても)少なくありません。筆者は残念ながら、そういう例を数多く見てきました。

あえて極論を申し上げれば、立派な BCP が出来ていながら演習などを一度も実施していない企業と、BCP は貧弱だが BCM の活動を 2 周、3 周と積み重ねてきた企業とであれば、後者のほうが事故や災害に対して高い対応力が期待できます。このような考え方のもと、いきなり立派な BCP を作ろうと考えずに、いかに無理なく BCM の活動を継続させるかを最初から考え、その中で対応力を徐々に高めていっていただきたいと思います。

 

BCM の担当部署を決める

企業において、BCM を継続的なマネジメント活動として実施するためには、最初に BCM の担当部署を決める必要があります。では、どの部署が BCM を担当すべきなのでしょうか?

日本では地震や風水害などの自然現象による災害が多発するということもあって、ほとんどの企業で防災を担当する部署か、もしくは担当者が決まっていると思います。中には「名前だけ」、「形だけ」という企業もあるかもしれませんが、たとえ形式的であったとしても、企業に「防災担当」が必要であることは広く認識されているのではないでしょうか。そして、多くの企業において総務部門が防災を担当しています。

ところが BCM は防災に比べて新しい概念ですので、まだそこまで認識が広まっておらず、どの部署が BCM を担当すべきかという問題に関して、定まった共通認識はありません。したがって企業が初めて BCM に取り組み始めるとき、複数の部署の間でどちらが担当するか、お互いに押し付け合いになることも珍しくありません。

日本企業における実態としては、BCM が防災の延長線上にあると認識されていることから、防災と BCM との両方を総務部門で担当されることが多いようです。しかしながら、BCM は「製品やサービスの提供」を中心に考えていくため、経営企画部門や事業部門に BCM を担当させている企業もあります。また IT への依存度が高い企業であれば、情報システム部門が中心となって BCM に取り組まれる場合もあります。大企業では独立した BCM 担当部署を設ける場合もありますし、逆に中小企業では社長自ら取り組まれることもあります。

この問題に関して正解はありません。最も大事なのは、とにかく最初に担当部署を決めることです。担当部署を決めて BCM の活動を始めてみて、もし何か不都合があったら後から変えればいいのです。次に大事なのは、経営層がこれを承認してサポートし、BCM の活動の状況やその成果に対して、経営層が主体的に関与することです。

最悪なのは担当部署を明確に決めずに始めることです。私が聞き及んだ範囲でも、BCM の担当部署が決まっていないのに、半ばコンサルタントに丸投げするような形で BCP が作られたという事例がありました。BCP が出来上がって納品されたにも関わらず、それを引き取る部署が決まらず、しまいには発注時の担当者が全く別の部署に異動してしまったために、せっかく作られた BCP が活用されることはなかったそうです。このような事態を避けるためにも、まず最初に BCM の担当部署を決めてください。

 

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加

寄稿> 地球規模の気候変動を踏まえつつ自然災害を総括した報告書

このエントリーをはてなブックマークに追加

リスク対策.com Web サイトに連載記事を掲載していただきました。

【海外のレジリエンス調査研究ナナメ読み!】
第 133 回:地球規模の気候変動を踏まえつつ自然災害を総括した報告書
Aon / Weather, Climate & Catastrophe Insight 2020 Annual Report

世界最大級の保険・再保険ブローカーである Aon が毎年発表している報告書です。1 年間に発生した自然災害の被害規模や発生状況のトレンドなどをまとめたもので、特に経済的損失に関するデータが豊富に掲載されています。

特に、米国や欧州においては災害で発生した経済的損失に対して損害保険の活用が進んでいるのに対して、アジア地域では損害保険があまり普及していない様子がうかがえます。このようなデータを見ると、アジア地域(日本も含む)における損害保険の普及が急務であると改めて感じます。

また本報告書には、災害をもたらすような気象現象の発生が今後どのように変化していくかを検討する材料として、地球規模での気候変動に関するデータや解説が充実しています。特に今回は、エルニーニョ・ 南方振動(El Niño-Southern Oscillation:ENSO)の状況に加えて、二酸化炭素の排出量の変化や、北極海における海氷面積の減少などといった、気候の温暖化を示すデータや解説に関するセクションが追加されています。

気候変動問題を身近な問題として考えられる機会は少ないかもしれませんが、本報告書のように自然災害との関連性を示す形でデータや解説が提供されると、気候変動に対する問題意識もより具体的になるのではないかと思います。BCM や災害対策のためのリスクアセスメントに対するインプットとして、活用する価値が高い資料なのではないかと思います。

 

下記リンクからお読みいただければ幸いです。
http://office-src.biz/39FXAS8

 

合同会社 Office SRC 代表 田代邦幸

Thailand floods, Natural Disaster,

このエントリーをはてなブックマークに追加

「防災」と BCM との関係を整理しておきましょう

このエントリーをはてなブックマークに追加

当サイトにアクセスしてくださった皆様の中には、企業などで防災(もしくは災害対策)と事業継続マネジメント(BCM)の両方を担当されている方も少なくないでしょう。これまでの筆者のコンサルティングの経験においても、お客様側のご担当者の多くはこれらの両方を担当されていた方が多かったと思います。そのような事情もあってか、防災と BCM とが混同される場面が少なくありません。

もちろん地震や豪雨などの自然現象による災害が頻発している日本においては、このような災害に起因する事業中断に備えることは絶対条件ですので、防災と BCM を切り離して考えることはできません。しかしながら BCM に取り組む際には、防災とは異なる考え方やアプローチが必要になりますので、ここで防災と BCM との関係を整理しておきたいと思います。

–  –  –  –  –

BCM では「製品やサービスの提供」を中心に考える

まず最初に、言葉の意味をあらためて確認しておきたいと思います。

一般的に「防災」とは、災害による被害を防ぐための取り組み全般を指す言葉です。近年は巨大災害による被害を完全に無くすことは出来ないという認識から「減災」という言葉が使われることもありますが、基本的にはこれも防災と同じ意味だと考えて差し支えありません。ここで、災害によって企業に発生する「被害」には、死者や負傷者といった人的被害や、建物や設備、商品、資材などの損壊といった様々な物的被害などが含まれます

これに対して BCM は、企業が災害や事故などに直面して事業活動が中断されてしまった際に、製品やサービスの提供を再開・継続するための能力を、必要なレベルに維持向上させるための活動を指します。

これらの間で最も大きな違いは、BCM が企業の「製品やサービスの提供」に関する取り組みであるという点です。別の記事で述べた BCP の説明にも、「製品やサービスの提供」という言葉が含まれていたことを再確認していただければと思います。

もし仮に、ある企業の工場での生産活動が 1 ヶ月止まったとすると、本来得られるはずだった 1 ヶ月分の売上が得られなくなります。これは災害発生直後だけでなく、事業活動が中断する期間の長さに応じて継続的に発生する被害と言えます。

事業中断による被害は売上だけではありません。工場からの出荷が遅れることによって顧客に迷惑がかかり、取引上の信頼関係が損なわれることもあります。場合によっては顧客が競合他社に乗り換えることにもなりかねません。また事業中断が長期化した結果、企業のイメージダウンに繋がる可能性もあります。このような被害は事業中断が長引くほど深刻になっていきますので、BCM においては事業中断をいかに短くするか、悪影響をいかに小さく抑えるかを考えていきます。

 

防災は義務、BCM は企業自らの意思で取り組む

全ての企業は従業員の安全を確保する責任を負っています(法律用語では「安全配慮義務」といいます)。したがって地震や豪雨などの自然現象や、火災や爆発などといったリスクから従業員を守るために、必要な措置を講じなければなりません。これは必ずしも「あらゆる災害に対して従業員の安全を 100% 保証しなければならない」ということではありませんが、全ての企業は従業員の命を守るために、一定程度の防災に取り組まなければならないことを意味します。

一方で BCM においては、どのくらいのレベルの対策が必要かは各企業が自ら決めるのが原則です。具体的には別途何らかの形で解説させていただきたいと思っていますが、前に述べたような様々な被害(売上、取引上の信頼関係、顧客の喪失、企業のイメージなど)が発生する可能性や影響の大きさなどを考慮して、事業継続の観点でどのくらいのレベルの対策が必要かを見極めていきます。このような見極めが、BCM に要領よく取り組むためのキモになります。

 

BCM では経営層の主体的な関与が必要

BCM では、経営層の主体的な関与が絶対に必要です。

もちろん防災に関しても、最終的には経営層が責任を持って取り組んでいく必要がありますが、防災と BCM とでは、経営層に求められる役割が大きく異なります

前に述べたとおり、全ての企業は従業員の安全を確保するために防災に取り組む必要があります。また、従業員の安全を確保することだけを考えれば、防災にかける予算は多いに越したことはありません。もちろん実際には利益の確保との兼ね合いで予算枠が決まりますが、経営層は防災のための予算の確保に対して最終的な責任を負い、かつ全ての従業員が防災活動に積極的に取り組むようリーダーシップを示し、さらに実際に災害が発生した場合は、災害対応における指揮統制という重要な役割を担うことになります。

これらは BCM においても同様ですが、BCM ではこれらに加えて、経営層でなければ判断できない重要な選択を迫られる場面が度々発生します。

例えばある企業で、工場の生産能力などの制約から、顧客 A と顧客 B(いずれも重要顧客)の両方に対して同じように納品することができなくなるとします。このような場合、「顧客 A への納品を優先するために、顧客 B への納品を一定期間止める」というような判断が必要になるかも知れません。

顧客 A のためにはこのような判断が必要だとしても、結果的にはもう一つの重要顧客 B に多大な迷惑をかけることになります。場合によってはこれが原因で、顧客 B との取引が終わってしまうかもしれません。このような重大な結果を招きかねない判断を、生産部門や営業部門に任せることはできないでしょう。

BCM ではこのように、会社全体としての利益のために、部分的な(しかも重大な)不利益を受け入れるような判断が求められることがあります。このような判断を経営層が適切に行い、その結果に対して経営層が責任を負わなければならないため、BCM には経営層が主体的に関与する必要があるのです。

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加