事業継続計画」タグアーカイブ

Kenja(株)Web セミナーの動画が公開されました

このエントリーをはてなブックマークに追加

去る 7 月 30 日に開催されました「Kenja BCP WEB セミナーシリーズ」第 4 回『企業レジリエンス向上!BCP作成/運用3アプローチ』の動画が公開されました。

下のリンクからご覧いただければ幸いです。

 

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加

note> BCP を「ISO 規格と同じように作らなければいけない」という誤解がいまだにある

このエントリーをはてなブックマークに追加

当サイトにアクセスされた方であれば、事業継続マネジメント(BCM)に関する国際規格として「ISO 22301」という規格があるのをご存じの方も多いと思いますが、この規格に関して重大な誤解をされている方がおられるようなので、少しでもそのような誤解を解消していければと思って文章にまとめてみました。下記リンク先よりお読みいただければ幸いです。

note: BCP を「ISO 規格と同じように作らなければいけない」という誤解がいまだにある
https://office-src.biz/2E46An2

 

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加

寄稿> 米国の投資顧問業における BCP の実態

このエントリーをはてなブックマークに追加

リスク対策.com Web サイトに連載記事を掲載していただきました。

【海外のレジリエンス調査研究ナナメ読み!】
第 110 回: 米国の投資顧問業における BCP の実態
The Investment Adviser Association / Investment Management Compliance Testing Survey

米国投資顧問業協会が会員を対象として実施したアンケート調査の結果です。
回答者が主にコンプライアンスを担当されている方々であることから、BCP に関する他の実態調査とは一味違った回答結果が見られて面白いです。

下記 URL をクリックしてお読みいただければ幸いです。
https://office-src.biz/306D7RH

 

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加

BCI 日本支部 2020 年度第 1 回定例会を開催しました

このエントリーをはてなブックマークに追加

今日は私が事務局を務めさせていただいております BCI 日本支部にて、今年度初めての定例会を開催しました。BCI 会員でない方々も含めて 20 名程度の皆様にご参加いただきました。

ご参加くださいました皆様、ご多忙のところお時間をいただきまして、ありがとうございました。

新型コロナウイルスの感染拡大防止という観点に加えて、東京以外の地域におられる方々にとっての利便性も考慮して、オンラインでの開催となりました。

今回の主なテーマは「BCP に記述されるべき内容」ということで、BCI の Good Practice Guidelines に基づいて事業継続計画(BCP)にどのような内容を含めるべきか、解説させていただきました。

会議室などで行うのとは勝手が違うので、やりにくさを感じられた方もおられたかと思いますが、質疑応答も含めて皆様には理解を深めていただけたのではないかと思います。

また新型コロナウイルスに関する情報共有として、BCI から発表された調査報告書の紹介などもさせていただきました。

定例会の内容は録画されていますので、後日 BCI の Web サイトにてご覧いただけるようになる予定です。公開されましたら、あらためてお知らせしたいと思います。

このエントリーをはてなブックマークに追加

note> 「BCP とは何か?」に関する情報が入り乱れているので整理したい

このエントリーをはてなブックマークに追加

「事業継続計画」の略である「BCP」という用語が、数年前から世間で広く使われるようになってきました。私自身が仕事で BCP に関わるようになったのは 2001 年ごろですが、それ以降に大規模な地震や感染症の流行が発生するたびに、BCP が話題に上ってきたように思います。

このような用語が広く認知されるようになるのは良いことなのですが、一方で本来の意味から微妙に外れた解釈や自己流の定義、さらには明らかな誤用まで入り乱れ、混沌とした状況となっています。

そこで、国際的に受け入れられている「BCP」の標準的な定義のポイントを、ISO 規格に基づいて解説させていただきました。下記リンク先よりお読みいただければ幸いです。

note:「BCP とは何か?」に関する情報が入り乱れているので整理したい
https://office-src.biz/3h1v5Qs

 

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加

YouTube> BCP には何をどこまで書くのか

このエントリーをはてなブックマークに追加

YouTube の『事業継続マネジメントについて語りつくすチャンネル』に新しい動画をアップロードしました。

第 8 回: BCP には何をどこまで書くのか

国際的に共通認識となっている考え方をお伝えするために、ISO 22301 という国際規格に書かれている内容を中心にお話していますが、認証取得を前提とした説明ではありません。

規格による認証取得に興味がないという組織の皆様にとっても、このような考え方で BCP の作成や見直しに取り組んでいただくことが有効です。

 

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加

書籍紹介『BCM(事業継続マネジメント)入門』小林誠・渡辺研司(著)

このエントリーをはてなブックマークに追加

事業継続計画(BCP)や事業継続マネジメント(BCM)に関して、「入門者向けに何か良い参考書はありませんか?」と聞かれたら、私が迷わずお勧めする本がこちらです。

発行されたのは 2008 年ですので若干古いですが、内容は現在でも十分通用します。

もちろん、この本が出た後に BCM に関する ISO 規格(ISO 22301 など)が発行されたり、BCI や内閣府などから発行されている様々なガイドラインが改訂されたりしましたので、若干のアップデートは必要です。しかしながら、BCM に取り組む上で実務者として知っておくべき基本的な考え方は大きく変わっていません。したがって、まずこの本をお読みになって BCM の基本的な知識や考え方のベースを作ってから、他の本やガイドラインなどを読み進めると、勉強しやすいのではないかと思います。

この本は「第 1 章 BCM 総論」と「第 2 章 Q&A で知る BCM の実際」から構成されており、第 1 章は正味 32 ページ、全体でも 113 ページしかありませんが、BCM の概念を理解するために必要なことは、ひととおり網羅的に書かれています。

また第 2 章は、BCM に取り組み始めた方々が疑問に思うような典型的な質問 30 項目に答える形で、BCM の活動全般にわたって様々なノウハウが記述されています。この本を読むだけでは、BCP を作れるようにはならないと思いますが、まず BCM としてどのような活動が必要になるのか、自社においてどのあたりが難しそうか、などを把握することができると思います。

ところで、(私の独断ですが)本書の最大の特徴のひとつは、タイトルに「BCP」と書かれていないことだと思います。Amazon で検索していただければすぐ分かると思いますが、タイトルに「BCP」もしくは「事業継続計画」と書かれている本の数に比べると、「BCM」もしくは「事業継続マネジメント」と書かれている本はごく少数です。日本ではまず「BCP」を作ってから、それを維持管理するために「BCM」に取り組むと思っておられる方が多いこともあって、用語としても「BCP」の方が普及しています。本書は日本におけるそのような認識に対して、あえて本来の BCM の概念や方法論に忠実に書かれているため、タイトルに「BCM」を掲げています。2008 年に発行されて以来、いまだに通用するのはそのためです。

著者両名とも私が大変お世話になっている大先輩ですので、私が申し上げるのもおこがましいですが、BCM の概念や方法論を、これだけ網羅的かつコンパクトにまとめられた本は珍しいと思います。BCM に関する勉強を始める際には最初に読むべき一冊だと思いますし、実務者の方々も絶版になる前に手に入れておくことをお勧めしたいと思います。

 

【書籍情報】

小林誠・渡辺研司(2008)『BCM(事業継続マネジメント)入門(やさしいシリーズ 21)』日本規格協会

《Amazon リンク》

 

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加

今さらですが「BCP」とは何か?という話

このエントリーをはてなブックマークに追加

当サイトにアクセスされた方であれば、既に「BCP」という用語はご存じかと思います。言うまでもなく、これは「事業継続計画」(Business Continuity Plan)の略称です。

私がこの用語に初めて触れたのは 1998 年ごろでした。当時は情報セキュリティに関する仕事をしていたので、情報セキュリティに関する英国規格「BS 7799」に記載されていたものを読んだのが最初です(まだ ISO/IEC 17799 などが発行される前の話です)。あの当時に比べると、今では日本でも「BCP」という用語がずいぶん普及してきたように思います。

このような用語が普及するのは良いことではあるのですが、一方で明らかな誤用や、かなり本来の意味から外れた使い方などが横行するようになってきました。そこで本稿では、「BCP」とは本来どのような意味なのかを整理しておきたいと思います。

まず、「BCP」の公式な定義は次のようになっています。

business continuity plan

documented information that guides an organization to respond to a disruption and resume, recover and restore the delivery of products and services consistent with its business continuity objectives

事業継続計画

事業の中断・阻害に対応し、組織の事業継続の目標に一致するように製品およびサービスの提供を再開し、回復し、復旧するように組織を導く、文書化された情報。

(出典:ISO 22301:2019)(和訳部分は筆者)

この定義がなぜ「公式」かというと、国際規格「ISO 22301」で決められている定義だからです。ISO でこの規格を作ったときの委員会には日本からも委員が代表で参加していますので、日本を含む国際社会において公式に定められた定義と言えます。

また、この規格は和訳され、日本産業規格(JIS)の「JIS Q 22301」として制定されています。上記の ISO 規格は 2019 年に改訂されましたが、JIS 規格の方はまだ改訂作業中のため、今のところ 2013 年版が現行最新版となっています。そしてその JIS 規格では、BCP は次のように定義されています。若干表現は変わっていますが、本質的な意味は上の ISO 規格における定義と同じです。

事業継続計画(business continuity plan)

事業の中断・阻害に対応し,事業を復旧し,再開し,あらかじめ定められたレベルに回復するように組織を導く文書化した手順。

(出典:JIS Q 22301:2013)

今のところ日本には BCP に関する法律はありませんので、これが日本における公式な定義ということになります。

(ちなみに日本では、公的機関(政府や自治体など)の BCP が「業務継続計画」と呼ばれています。これは「事業」という単語が営利事業を想起させるためだと聞いていますが、英語では非営利組織に対しても区別なく「business continuity plan」と呼ばれています。)

この定義に従えば、BCP とは次のようなものだという事がわかります。

  • (1) 文書化されたものである
  • (2) 事業の中断・阻害が発生した後にやること(事後対応)が書かれているものである
  • (3) 事業を再開・復旧・回復させるための活動に関することが書かれているものである
  • (4) 必ずしも元どおりに復旧するための計画であるとは限らない

まず最初に明らかなのは、BCP とは何らかの形で文書化された「計画」のことだということです。これに対して、代替事業所の活用や外部への業務委託、自宅で業務を行うことなど、事業継続のための方策のことを「これが当社の BCP だ」などと表現する方がおられますが、これは正しくありません。

「これらの方策を使うことが当社の BCP に書かれている」というなら分かりますが、文書化されていない状況で、このような方策そのものを BCP と呼ぶのは間違いです。ひどい例では、災害対策関連の商品やサービスの売り文句として、「BCP 対策」という表現を見ることがあります。「BCP」つまり文書化された計画に対する「対策」とは何なのでしょうか?意味が分かりません。明らかに誤用です。どうも災害やリスクに対する対応のしかたや取り組み全般に対して、幅広く「BCP」という言葉が使われてしまっているようです

また、平常時にどのような準備をしておくか(例えばデータのバックアップ、物資の備蓄、従業員の教育訓練など)が書かれた文書に「事業継続計画」というタイトルが付けられている場合がありますが、これは上の (2) に照らして考えれば BCP の趣旨とは異なります。もし同じ文書の中に、上の (2) のような事後対応も書かれていれば BCP と呼んでも間違いではありませんが、そのようなことが書かれていなければ、それは BCP ではありません。

次に指摘しておきたいのは、文書に書かれた事後対応の内容です。BCP に含まれうる事後対応は、大まかに次のように分けられます。

  • a) 事故や災害などの緊急事態が発生した直後の初期対応(「初動」と呼ばれることがあります)
  • b) 製品またはサービスの提供を再開・継続させるための活動
  • c) 製品またはサービスの提供を、平常時の状態に復旧させるための活動

実際に企業などで作られている BCP の中には、これらのうち a) しか書かれていないものが散見されますが、それらは上の (3) を満たしませんので、BCP とは言えません。

ところで上の (4) はちょっと分かりにくいかもしれませんが、これは ISO の定義における「組織の事業継続の目標に一致するように」という部分と、JIS の定義における「あらかじめ定められたレベルに」という部分が該当します。これは、事業の中断・阻害が発生した後にそれらをどのくらいの時間で、どのくらいのレベルまで復旧させるか、という目標をあらかじめ決めて BCP に書いておき、その目標に合わせて復旧を目指すということです。もちろん、これらの目標は経営層から承認されている必要があります。

例えばある企業で、「商品 A の生産量を一ヶ月後までに 50% まで復旧させる」という目標が決まっていて、「とりあえずこのレベルまでたどり着けば、あとは走りながら考えて復旧させるのでも間に合う」というような判断をしたとします。この場合、その企業の BCP には「一ヶ月後までに 50% まで復旧させる」ための方策や、それを実施するための手順が含まれていればよく、そこから先の(100% まで復旧させるための)方策については文書化する必要がないということです。

以上は規格における定義にできるだけ忠実に説明していますが、本稿の意図は、全ての BCP(もしくは「BCP」と呼ばれるもの)に対して、これらを厳密に当てはめるべきだという事ではありません。しかしながら用語の定義があまりにもバラバラだと話が噛み合わなくなりますので、「BCP」という用語の本来の意味を正しく理解した上で、あまりにもかけ離れた拡大解釈や誤用などは今後あらためていくことを提案したいと思います。

 

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加