事業継続計画」タグアーカイブ

「想定外」とはどういうことか?

このエントリーをはてなブックマークに追加

巷で「想定外」という言葉が使われる場面が本当に増えたと思います。個人的な感覚としては特に 2011 年の東日本大震災以降、特に使われる頻度が増えたように感じています。しかも BCM や災害対策に関する仕事をしているので、一般の方々よりも「想定外」という言葉を耳にする機会は多いのではないかと思います。

しかしながら一方で、私自身は「想定外」という言葉を極力使わないようにしています。また、理由は後で述べますが、むやみに使うべきでない用語だと思っています。

そこで本稿では「想定外」という言葉についての問題意識を共有させていただきます。あくまでも私自身の個人的な考えですので、よろしかったら皆様もぜひ考えてみていただきたいと思います。

 

1. 「想定外」の意味もいろいろある

人が「想定外」という言葉を使っているのを聞いた時、ちょっと気をつけなければならないと思っています。というのは、どうも「想定外」という言葉の使い方が、人によって異なると思われるからです。

私が聞いた範囲での「想定外」は、だいたい次の 2 つのどちらかの意味で使われていると思います。

  • a) そういう事が起きるとは全く思っていなかった
  • b) そういう事が起きる可能性もあると思っていたが、そこまでは対策できないので検討対象から外した

(稀に、ご自分の中で上の a、b が混ざっている方もおられます。)

もちろん、どちらの用法が正しい(もしくは間違い)などと断じるつもりはありません。厄介なのは、上のような 2 通りの意味で使われているということと、相手がどちらの意味で使っているかが、前後の文脈を踏まえて考えないと分かりにくいことです。これはもちろん、私が「想定外」という言葉を使った時に、どちらの意味で受け止められるかが分からないということでもあります。

雑談ならば別に構わないのですが、ちょっと真剣な議論や仕事上の会話でお互いの用法がズレていると、誤解を招いたり議論がかみ合わなくなったりする可能性があります。

このような理由から、私自身は「想定外」という言葉を極力使わないようにしていますし、真面目な議論の中で相手が「想定外」という言葉を使ったら、上の a、b どちらの意味なのか確認するようにしています。

 

2. では事業継続マネジメント(BCM)ではどう考えるのか

ここから先は、私の個人的な考え方というよりは、標準的な方法論に基づく説明です(注)。

事業継続マネジメント(BCM)においては、「事業活動に必要な資源が使えなくなったらどうするか」を中心に考えます。資源とは例えば人材、設備や装置、建物、IT システム、情報、材料や部品、業務委託先などです。

例えばある建物に対して、「何らかの理由でこの建物が使えなくなったら、どのような方法で代替するか」を考えます。代替方法としては、「他の建物に移る」という方法もあるでしょうし、業務の内容によっては在宅勤務に切り替えるとか、その建物で行われていた業務を社外に委託するという方法も現実的かも知れません。

ここで、この建物が使えなくなる原因として、どのようなものが考えられるでしょうか?

地震、火災、洪水、停電、放火、テロ、飛行機の衝突、建物の欠陥、戦争…….実際に起こる可能性がどの程度かは別として、考えるだけなら無限にあり得ます。つまり「地震が起きたらどうするか」、「洪水が起きたらどうするか」、…….を考え始めたら、どこまで考えても終わりません。そして、もし「テロが起きたらどうするか」を考えていなかった企業がテロに遭遇したら、「想定外でした」ということになってしまいます。

一方で、事業活動に使われている資源は有限です。したがって「この建物が使えなくなったらどうするか」、「この設備が使えなくなったら…..」という検討には必ず終わりがあります。もちろん、会社中の全ての資源に対して検討するのは大変なので、検討対象を優先順位の高い事業活動に限定するなどの工夫は必要です。

そして、それらの「有限の資源」に対して網羅的に代替策を検討できれば、「まさか○○○が使えなくなるとは想定外でした」ということは起こりません。

つまり、BCM において資源を中心に代替策を検討するという考え方は、地震や火災などの原因を考えることに時間や労力を使いすぎず、かつ「想定外」になることを防ぐという意味でも有効だということになります。

 

2001 年に発生したニューヨーク同時多発テロ事件では、複数の企業(主に金融業)が事業を短期間で再開させました。当時 BCP という名称を使っていたかどうかは分かりませんが、オフィスが使えなくなった場合の代替策として、臨時オフィスや PC を確保するための準備がされていました。

恐らく彼らも「ビルに飛行機が突っ込んでくる」ことを想定していたのではなく、「ビルが使えなくなる」ことを想定して準備していたのだろうと思います。このような準備ができていれば、「まさか飛行機が突っ込んでくるとは想定外だった」というような言い訳をせずに済むでしょう。

 

3. (オマケ)原因事象型/結果事象型

日本では、前述のように「地震」、「火災」……などの原因から考えて事業継続計画(BCP)を作るのを「原因事象型」、資源から考えるのを「結果事象型」などと呼ぶ方が多いようです。

もし、これらの呼び方に合わせて言うならば、標準的な BCM の方法論は最初からもともと「結果事象型」だということになります。

BCP を作る際に「原因事象型」で考え始めると、前述の b のような意味での「想定外」が増える可能性が高くなるので、標準的な BCM の方法論のとおり「結果事象型」で取り組むのが合理的です。

 

ただし、災害などが発生した直後の対処手順(「初動対応」もしくは「インシデント対応」などと呼ばれます)の部分は、当然ながら事象ごとに異なりますので、この部分は事象に合わせて個別に作る必要があります。この点は区別していただければと思います。

(そのあたりは下記の書籍に詳しく書かせていただきました。)

 

【注釈】

  • 本稿で「標準的な方法論」とは、ISO 22301 に代表される国際規格や、世界で広く参照されている BCI Good Practice Guidelines で体系化されている方法論を指します。

–   –   –   –   –

事業継続マネジメント(BCM)に関するガイドブックを出版させていただきました。特に中小企業の皆様が自力でに取り組まれることを想定して執筆させていただきましたので、お役立ていただければ幸いです

田代邦幸(著)『困難な時代でも企業を存続させる!! 「事業継続マネジメント」実践ガイド』(セルバ出版)1,980 円(税込)

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加

事業継続マネジメントにおける IT の継続性をどう考えるか

このエントリーをはてなブックマークに追加

多くの組織にとって、事業継続マネジメント(BCM)に取り組むうえで IT の継続性は重要なテーマのひとつだと思います。俗に「IT-BCP」などと呼ばれたりしていますが、IT が多くの組織にとって非常に重要な資源となっている現状において、IT システムが稼働停止しないように、もしくは停止した場合に短期間で稼働再開できるようにするための対策は、避けて通れない分野と言ってもいいでしょう。

そのようなニーズに対して、IT システムに関しては、冗長化やバックアップなど、トラブルや災害などによる稼働停止を予防したり、被害を軽減するためのテクノロジーや製品・サービスが豊富に提供されています。これは BCM の概念が形成される前から、「IT Disaster Recovery」、「fault tolerant」、「redundancy」などといったキーワードとともに開発が進められてきましたが、BCM の概念や方法論が体系化され、日本でも「BCP」という用語が普及してきたことに対応して、「IT-BCP」という言葉が使われるようになってきました(注 1)。

しかしながら、IT の継続性に関してどの程度の対策を講じるべきなのかを、どう決めればよいか分からないと思われる方もいらっしゃるかも知れません。

–   –   –   –   –

一般的に、対策のために必要なコスト(または投資)と、その対策を行ったことによって稼働停止をどれだけ短く出来るかは、トレードオフの関係にあります。もちろんこれは IT に限った話ではなく、BCM においては全ての資源に対して当てはまります。

したがって、BCM の方法論から考えると、事業影響度分析(BIA)の結果から目標復旧時間を決め、それに間に合うような対策方法を選ぶべきだということになります。

このような考え方は、国際規格 ISO/IEC 27031(注 2)でも具体的に示されています。この規格は和訳されていないこともあって、日本ではあまり知られていないと思いますが、BCM の中で IT の継続性をどのようにマネジメントしていくべきかという観点で、様々な指針が示されています。

下の図は、ISO/IEC 27031 で示されている図のひとつですが、障害が発生してからユーザーがそのシステムを利用できるようになるまでの時間が製品・サービスの目標復旧時間(RTO)として示されているのに対して、障害発生から対応作業の開始までにかかる時間や、対応作業が完了してからユーザーが動作確認する時間を考慮して、ICT サービスの RTO を設定すべきであることが示されています。

(出所:ISO/IEC 27031:2011 の Figure A.1 に一部追記)

このような関係になることを踏まえ、BIA の結果から製品・サービスの RTO を決め、それに見合うように IT システムの RTO を決めたうえで、それに間に合うような対策方法を選ぶというのが本来の考え方です。

–   –   –   –   –

しかし一方で、BCM に取り組まれる前から、既に IT 部門の方で何らかの対策が講じられている場合も少なくありません。

その場合には IT 部門と相談しながら、もし目標復旧時間に対して現在の対策方法が不足であれば、より短期間で稼働再開できるような対策を導入できないか、検討していただく必要があります。

逆に、現在の対策方法が過剰だったとしたらどうでしょうか?

例えば(少々極端な例ですが)3 日程度で稼働再開できれば十分なシステムが、ほぼノンストップで稼働継続できるような常時完全二重化で運用されていたとしたら、その対策方法は目標復旧時間に対して過剰(=お金をかけすぎ)ということになります。

もし運用コストがあまり問題にならないのであれば、今後のシステム更新時期までそのまま維持されてもいいかもしれませんが、運用コスト(作業の手間なども含みます)を削減したいような状況であれば、対策方法をダウングレードすることも選択肢に入るでしょう。実際にはダウングレードのためにかかる費用や手間との兼ね合いも含めて、IT 部門と一緒に慎重に検討する必要があります。

もちろん実際には、組織内で複数のシステムが稼働していて相互に依存関係があったり、ひとつのシステムが複数の製品・サービスに関与していたりしますので、これらの事情を考慮して総合的に評価・判断する必要があります。ぜひ IT 部門の方との間で、本稿のような考え方を共有した上で、十分相談し、協力関係を築きながら、組織全体として事業継続に関する対策コストの最適化を目指していただければと思います。

–   –   –   –   –

余談ですが、巷でよく使われている「IT-BCP」という呼び方は正しくありませんので、お使いにならない方が良いと思います。この件については別の記事にしましたので、下記の記事をご参照いただければ幸いです。

弊社 Web サイト:「IT-BCP」という言い方は間違い https://office-src.com/archives/3298

【注釈】

  1. 多くの IT ベンダーがそのような用語を使って活発にセールスプロモーションを行っているという事情もあります。
  2. ISO/IEC 27031:2011 Information technology — Security techniques — Guidelines for information and communication technology readiness for business continuity

–   –   –   –   –

事業継続マネジメント(BCM)に関するガイドブックを出版させていただきました。特に中小企業の皆様が自力でに取り組まれることを想定して執筆させていただきましたので、お役立ていただければ幸いです

田代邦幸(著)『困難な時代でも企業を存続させる!! 「事業継続マネジメント」実践ガイド』(セルバ出版)1,980 円(税込)

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加

「IT-BCP」という言い方は間違い

このエントリーをはてなブックマークに追加

事業継続マネジメント(BCM)に関する話のなかで、IT システムの災害対策などを指して、「IT-BCP」という言葉が使われることがあります。つまり「IT の BCP」という意味ですね。

ところが、この「IT-BCP」という言い方は正しくありませんので、お使いにならないことをお勧めします。これが正しくない理由は、基本的な用語の定義に照らし合わせれば明らかです。

以下、国際規格「ISO 22301」の 2019 年版、およびそれを和訳して作られた「JIS Q 22301」の 2020 年版を拠り所として説明します。本稿の中で「規格」とはこれらの 2 つの規格を指します。

まず、「IT-BCP」というのは「IT-Business Continuity Plan」の略ですから、「IT 事業継続計画」という意味になります。つまり「継続」の対象として「IT」と「事業」の 2 つが含まれています。IT に対する継続性のことを言いたいのであれば「事業」は邪魔であって、「IT-Continuity Plan」(IT 継続計画)と呼ぶ方が自然でしょう。

これだけでも「IT-BCP」という言い方が正しくないことの説明としては十分だと、個人的には思うのですが、中には「これは IT-BCP という言い方が《不自然》だと言っているのであって、《間違い》とは言い切れないのではないか?」と思われる方もいらっしゃるかも知れませんので、もうひとつ説明を加えます。

まず、「事業継続」という用語は規格で次のように定義されています。

事業継続
事業の中断・阻害を受けている間に、あらかじめ定められた範囲で、 許容できる時間枠内に、製品及びサービスを提供し続ける組織の実現能力

(JIS Q 22301:2020 より引用/下線は筆者)

そして、「製品及びサービス」については同規格の中で「組織によって、利害関係者に提供されるアウトプット又は結果」と定義されています。つまり組織内部の業務のために運用されている IT システムは、「製品及びサービス」には含まれないことになります(注 1)。

「製品及びサービス」に含まれない以上、事業継続の対象ではありませんので、「IT-BCP」という言い方はすべきでないのです(注 2)。

一方、規格では BCM において検討すべき資源(resources)について、次のように例示されています。つまり BCM においては、IT システムは資源のひとつとしてとらえるのが正しいということです。

  • 情報及びデータ
  • 建物、職場、その他の施設などの物理的インフラストラクチャー、及び関連するユーティリティ
  • 設備及び消耗品
  • 情報通信技術(ICT)システム
  • 交通手段及び輸送手段
  • 資金
  • パートナー及びサプライヤ

 

一方、IT の分野では昔から(注 3)「IT Disaster Recovery」(IT 災害復旧)、「Redundancy」(冗長性)などという用語が使われていました。また事業継続との関連では「IT continuity」(IT の継続性)という用語が使われることもあります。したがって、「IT-BCP」などという言い方はやめて、これらのいずれかを使われることをお勧めしたいと思います。

 

【注釈】

  1. クラウドサービスなど、IT サービス業の企業が顧客に対して提供しているような IT システムは「製品及びサービス」に含まれます。
  2. 本稿の説明は前述の規格に基づいていますので、筆者個人の主張ではなく、国際的に認められている標準的な考え方だとご理解いただければと思います。
  3. BCM という概念や用語が生まれる前から、これらの用語は普及していました。

–   –   –   –   –

事業継続マネジメント(BCM)に関するガイドブックを出版させていただきました。特に中小企業の皆様が自力でに取り組まれることを想定して執筆させていただきましたので、お役立ていただければ幸いです

田代邦幸(著)『困難な時代でも企業を存続させる!! 「事業継続マネジメント」実践ガイド』(セルバ出版)1,980 円(税込)

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加

BCP をつくることには極力手間をかけずに済ませよう

このエントリーをはてなブックマークに追加

本稿は、拙書『困難な時代でも企業を存続させる!! 「事業継続マネジメント」実践ガイド』(セルバ出版)の一部に手を加えたものです。

別の記事で、BCM に継続的に取り組むことの重要性について述べましたが、もちろん BCP が不要という意味ではありません。

事故や災害などが発生した際の行動をわかりやすくしておくために、BCP を文書化しておくことは重要です。また、BCM における検討結果が BCP という形になっていないと、演習や教育訓練などの活動がやりにくくなりますし、改善すべき部分もわかりにくくなります。

しかしながら、BCP をつくる作業そのものは、できるだけ少なく済ませ、他の活動により多くの時間を割いたほうが合理的です。BCP に最低限含むべき内容については、別の記事で詳しく説明したいと思いますが、これらを網羅した簡潔な BCP をできるだけ手間をかけずに作成し、経営層の承認をもらいましょう。

また、経営層の皆様におかれましては、部下から上がってきた BCP 文案が当初期待していたレベルに達していなかったとしても、今後の改善に期待して、まずは承認していただきたいと思います(もちろん期待と現状のギャップや、それらを今後どのように改善していくのか、などといった確認や議論は必要です)。

また、読者の皆様の中には、顧客から「御社の BCP を見せてください」と要求されることを想定して、BCP の体裁を整える必要があるとお考えの方もいらっしゃるかもしれません。しかしながら、BCP は高度な企業秘密を含むはずですので、たとえ顧客から要求されたとしても、BCP そのものは開示すべきではありません。

顧客に対する説明の仕方については、別の記事で説明したいと思いますが、BCP とは別に御社の BCM に関する説明資料を作成し、そちらの資料の体裁を整えるようにしたほうが合理的です。

 

BCP の雛形を有効に活用しよう

読者の皆様の中には、BCP をどのような形で文書化すればいいかわからないという方も少なくないでしょう。そのような方々は、ぜひ、BCPの雛形(テンプレート)を入手してください。

インターネットで検索していただければ、様々な形の雛形が公開されているのが見つかると思いますが、ここでは筆者の知る範囲で、使いやすそうなものを 3 つ紹介します。いずれもサイトにアクセスしていただくと、BCP の雛形だけでなく記入例も掲載されているので、出来上がりのイメージも掴めるのではないかと思います。

 

BCP の雛形を上手に活用するポイント

まず、前提として、これらの雛形は、BCP の正解や理想形を示しているものではない、ということを忘れないでいただきたいと思います。

前節でご紹介した 3 つのサイトは、いずれもより多くの企業に BCP を作ってもらうことを目的としています。したがって、これらのサイトで配布されている雛形は、できるだけ多くの企業にとって使いやすいように配慮して作られています。例えるなら既製品の服のようなものです。

これをそのまま使っても良いのですが、御社にとって都合の悪いところは遠慮なく手を加えていただいて構いません。また、3 つのサイトで配布されている様々な雛形を見比べて、御社のニーズに合う部分だけ「いいとこどり」してもよいでしょう。

雛形は、あくまでも素材、もしくは参考資料と考えていただき、使えるところは上手に活用しながら、御社にとって使いやすい BCP を目指してください。

 

–   –   –   –   –

本稿は、拙書『困難な時代でも企業を存続させる!! 「事業継続マネジメント」実践ガイド』(セルバ出版)の一部に手を加えたものです。是非拙書もお読みいただければ幸いです。

 

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加

BCM にはどこで手を抜けるか考えながら取り組みましょう

このエントリーをはてなブックマークに追加

本稿は、拙書『困難な時代でも企業を存続させる!! 「事業継続マネジメント」実践ガイド』(セルバ出版)の一部に手を加えたものです。

このたび執筆させていただいた拙書『困難な時代でも企業を存続させる!! 「事業継続マネジメント」実践ガイド』では、できるだけ多様な読者の皆様にとって役立つ本にするために、できるだけ網羅的に細かく解説させていただきました。これは読者の皆様の立場から見ると、自分(または自社)にとって不要なことも、それなりに含まれているということです。

したがって、実際に BCM に取り組まれるときには、本書に書かれている個々の作業が自社にとって必要かどうか、そこまで細かくやる必要があるかどうか考えながら、取捨選択していただきたいと思っています。

しかし一方で、適切に取捨選択できるようになるには、ある程度の経験が必要なのも事実ですので、初めて BCM に取り組まれる方に「取捨選択していただきたい」というのも、われながら勝手な話だと思います。

そこで、まずは「本書の内容を全てそのとおりに実施する必要はない」という前提をご理解いただき、必要かどうかわからない部分はとりあえず飛ばして進めるくらいの気持ちで、手を抜きながら進めていただいてもいいと思います。そして、もしうまくいかない部分や、少し深堀りする必要があると思われた部分が見つかったら、その時に少し戻ってみればいいのです。

–   –   –   –   –

本稿は、拙書『困難な時代でも企業を存続させる!! 「事業継続マネジメント」実践ガイド』(セルバ出版)の一部に手を加えたものです。是非拙書もお読みいただければ幸いです。

 

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加

「はじめに」全文公開(「事業継続マネジメント」実践ガイド)

このエントリーをはてなブックマークに追加

先日出版された著書『困難な時代でも企業を存続させる!! 「事業継続マネジメント」実践ガイド』(セルバ出版)の「はじめに」(前書き)を全文公開させていただきます。ぜひ参考にしていただき、役に立つとお感じになられたらぜひご購入いただければ幸いです。


本書をお手にとっていただき、誠にありがとうございます。

本書のタイトルにある「事業継続マネジメント」(BCM)とは、事故や災害などの影響で事業活動が中断されてしまった場合に、どのような方法で事業再開・継続を果たしていくかを、平常時のうちに検討し、準備しておくための方法論です。また、実際に事業中断に陥ってしまったときに、事業再開・継続を実現するための方法を文書化した計画のことを「事業継続計画」(BCP)といいます。

筆者が本書を執筆している2021年4月においては、世界中で新型コロナウイルス感染症によるパンデミック(世界規模での流行)が猛威を振るっており、いまだ収束の見通しは立っておりません。2020年初頭から日本でも感染者が増加し、多くの企業が規制や自粛などによる事業活動への制限や、顧客の大幅減少などの影響を受けながら、感染防止対策や事業継続、さらには企業の存続のために奔走しておられることと思います。

筆者が専門としている事業継続マネジメントの分野においても、2020年には、このような状況を踏まえて様々な議論がありました。事業継続のための活動をいかにパンデミックに対応させていくかというような観点もあれば、BCPはこのようなパンデミックには役に立たないのではないかといった極端な意見もありましたが、いずれにしてもパンデミックによって事業継続マネジメントの重要性が再認識されたことは疑いようがありません。

しかしながら、一方で、これまで事業継続に関する取組みも検討も進めてこなかったという企業が多いのも事実です。今このページを読んでくださっている方々の中にも、これまで「事業継続マネジメント」という言葉を知らなかった、あるいは何から始めればいいのかわからず手をつけられなかった、という方が少なくないのではないでしょうか。

そのような状況であっても、まず本書をお手に取っていただき、このページを開いて下さったということは(たとえ書店での立読みだったとしても)、あなたが御社の事業継続に関して既に何らかの問題意識を感じておられるということかと思います。

日本企業の、特に中小企業の多くが未だにそのような問題意識を抱いていない現状において、既にこのページを開いておられることは、非常に大きなアドバンテージです。ぜひ、その問題意識を放置せずに、実践への1歩を今すぐ踏み出していただきたいと思います。

本書は、事業継続マネジメントの実務に20年近く携わってきた筆者自身が持つノウハウを、特に中小企業の皆様に自力で取り組んでいただけるように書籍化したものです。しかもそのノウハウは、筆者の我流ではなく、世界的に広く用いられている標準的な方法論に基づいています。

この方法論は、もちろん日本企業にとっても有用であり、正しく理解すれば、特に中小企業の事業継続のために確実にプラスになるノウハウです。しかしながら、参考書などの情報の多くが英語で書かれている等の理由から、日本企業にはあまり普及していないのが現状です。

筆者は、2005年にこの分野のコンサルティングに従事するようになって以来、事業継続マネジメントに関する本家本元の1つである、BCI(The Business Continuity Institute)が発行するガイドラインや、海外のBCI会員および関係者との間での議論から、実践的な事業継続マネジメントのノウハウを学び、また多くのコンサルティング案件での実践を通して、この方法論を日本企業に適用するための勘どころやコツを習得してきました。

本書の執筆にあたっては、そのようなノウハウや経験を、書籍という媒体で表現できる限り、惜しみなく投入しています。その結果として、それなりに分量の多い本になりました。特に第3章〜第4章あたりは文字数が多くなっており、読みにくいと感じられる方も少なくないのではないかと思います。言い訳がましいことを言うようで恐縮ですが、書籍という媒体では質問をお受けすることができないため、多くの方から質問されそうなことをなるべく先回りして説明するようにしています。したがって、自分に関係なさそうな部分については、適宜読み飛ばしていただければと思います。

このような書籍を世に出してしまうと、競合相手となるコンサルタントにそのノウハウを模倣されてしまうのではないかと思われるかもしれませんが、筆者としてはむしろ著作権など本書に関する知的財産権を侵害しない範囲であれば、どんどん模倣していただきたいとさえ思っています。

総務省統計局が発行している『日本の統計2020』によると、平成28年時点での国内企業数は約386万社です(https://www.stat.go.jp/data/nihon/pdf/20nihon.pdf アクセス日:2021年4月29日)。これほど多くの日本企業に事業継続マネジメントを普及させていくためには、実践的なノウハウを持つコンサルタントがもっと増えた方がよいでしょう。

筆者としては、そのくらいの想いで本書を執筆しておりますので、企業で事業継続マネジメントに取り組む皆様におかれましては、ぜひ本書を足がかりとして、御社の事業継続力を維持向上させるための活動を実践していただきたいと思います。

本書は7つの章で構成されていますが、第2章から第7章までで事業継続マネジメントの活動全体を網羅するように執筆しました。これから初めて事業継続マネジメントに取り組まれる方々のために、各章に含まれている項目は、実際に事業継続マネジメントに取り組まれる際に実施される順序を意識して並べてあります。しかしながら、既に取り組みを進めておられる方々であれば、必ずしも最初から最後まで順序どおりに通読されずに、目次を見て気になった項目をピックアップして読んでいただいても、役に立てていただけるのではないかと思います。

一方で、第1章には、事業継続マネジメントの活動全体にかかわる基本的な考え方をまとめました。こちらに関しては、最初にひととおり目を通されることをおすすめします。多くの日本企業は、これらの考え方を知らないために、事業継続マネジメントへの取組みに躊躇されていたり、取り組み始めてから大変な苦労をされたりしています。したがって先にこれらを知るだけでも、今後の取り組みがかなり楽になると思います。

今本書を読んでくださっている皆様のお立場は、企業の経営者から事業継続や災害対策などのご担当者、コンサルタント、さらには災害や危機管理などに関する研究者の方々など様々かと存じますが、どのようなお立場の方々に対しても、本書を通して何かしら新たな知識やヒントをお伝えできることができ、日本企業における事業継続マネジメントの普及に少しでも寄与できれば幸いです。


(Web サイトへの掲載に合わせて、文字種(全角/半角)を一部修正しました。)

 

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加

書籍出版のご報告> 『「事業継続マネジメント」実践ガイド』

このエントリーをはてなブックマークに追加

このたび、セルバ出版様より著書を出版させていただきましたので、ご報告します。

『困難な時代でも企業を存続させる!! 「事業継続マネジメント」実践ガイド』

事業継続マネジメント(BCM)の実践的なノウハウを、できるだけ網羅的に詳しく書かせていただきました。企業などで BCM に取り組まれている方や、この分野でコンサルタントや BCMS 審査員などといった形で活動されている皆様に、ぜひご活用いただければと思います。

1,980 円(消費税込)です。

ちなみに目次は以下のようになっております。

第1章 中小企業にこそ必要な「事業継続」の考え方

– 「事業継続計画(BCP)は中小企業には難しい」というのは誤解
– 最初から継続的なマネジメント活動として取り組もう
– BCPを作ることには極力手間をかけずに済ませよう
– 「防災」と BCM との関係を整理しておこう
– 必ずしも「できるだけ早く復旧させる」ことが BCM の目的ではない
– 御社における災害のリスクを総合的に把握しておこう
– 事業継続のための活動を普段の商売に活かそう
– 非営利組織はどのように事業継続に取り組むべきか
– 他者の力も借りて合理的な事業継続を実現しよう
– どこで手を抜けるか考えながら取り組もう

第2章 まず御社の事業継続の基礎固めをしよう

– 事業継続のための「基礎固め」のために何をすべきか
– 顧客やサプライヤーなどとの関係を大まかに整理しよう
– 資金繰りをザックリ試算してみよう
– 御社が事業継続マネジメントに取り組む目的を文章にしてみよう
– 事業継続マネジメントの適用範囲を決めよう
– 事業継続マネジメントの大まかな年間計画をつくろう

第3章 事業継続における優先順位を整理しよう

– どの製品・サービスを優先的に復旧すべきかを考えておこう
– 復旧を後回しにすべき製品・サービスについてどうするか考えておこう
– 災害が発生してから復旧までの時間を「目標」として決めよう
– 最悪の事態を想定すべきか?

第4章 御社の「事業継続上の弱点」を見極めよう

– この章での分析作業の流れ
– 製品・サービスを顧客に届けるためのプロセスを整理しよう
– 必要な資源を把握しよう
– 事業中断リスクが集中している資源を把握しよう
– 資源が使えなくなった場合のリスクを評価しよう
– サプライチェーンにおけるリスクをどのように評価するか

第5章 弱点をカバーする方策を検討しよう

– 「元に戻す」以外の方策を考えてみよう
– 自社にとって現実的・合理的な方策を見極めよう
– 普段の仕事の見直しが事業継続につながらないか考えよう

第6章 検討結果を「事業継続計画」(BCP)にまとめよう

– BCP に関する文書構成を考えておこう
– BCP に最低限これだけは書こう
– どのような体制で緊急事態に対応するか決めておこう
– 緊急事態における法的要件を確認しておこう
– BCP の雛形を有効に活用しよう
– どこまで詳しく BCP に書く必要があるか見極めよう
– BCP は「災害が発生した直後に見直す」前提でつくろう
– 作成した BCP を社内に周知しよう

第7章 演習などを通して BCP を改善しよう

– 自社にどのような演習が必要なのか検討しよう
– シンプルな方法で「机上演習」を実施しよう
– 演習の結果は必ず記録しよう
– 演習結果を BCP の改善に活用しよう
– 他社での事例なども改善に活かそう
– 規格やガイドラインなども参考にしよう

 

多くの皆様にお役立ていただければ幸いです。

 

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加

事業継続マネジメントの活動を普段の商売に活かしましょう

このエントリーをはてなブックマークに追加

本稿は、拙書『困難な時代でも企業を存続させる!! 「事業継続マネジメント」実践ガイド』(セルバ出版)の一部に手を加えたものです。

事業継続マネジメント(BCM)に関する仕事は「掛け捨ての保険」にたとえられることがあります。これは、BCM はあくまでも万が一の時に備えるための活動であって、事故や災害などが発生しない限り、これらの活動に費やした労力や費用は役に立たないという考え方によるものです。そのような認識のもとで BCM に取り組むのは難しいのではないかと思います。

ところが、BCM の成果を普段の商売に活かす方法があります。主な方法を以下に説明しますので、事故や災害などが発生しなくても価値を生み出す BCM を目指していただきたいと思います。

 

御社のセールスポイントとしてアピールする

もし御社が主に企業を相手に取引をしている、いわゆる B to B のビジネス形態であれば、御社における BCM の取組状況を顧客(および見込み客)にうまく説明できれば、これが御社のセールスポイントになる可能性があります。

特に最近は災害が頻発していることもあって、多くの企業が災害によってサプライヤーや業務委託先で事業中断が発生することを懸念しています。MS&AD インターリスク総研株式会社が国内上場企業を対象として実施したアンケート調査(注)によると、回答した企業の約 9 割が「サプライヤーが BCP を持つことは必要」だと回答しています。また回答した企業の約半数、製造業に限ると 8 割近くが、顧客から災害対策・BCP 整備に関連して何らかの要請をされたと回答しています。

したがって特に B to B の企業では、BCM に取り組んでいることが競合他社との間で差別化要因になる可能性があります。

もしかしたら読者の皆様の中には、「当社の BCM はまだまだレベルが低いから・・・」と躊躇する方がおられるかもしれません。しかし、完璧な BCM を実現できている企業など、まずありません。逆に、BCM に取り組み始めた企業すら少ない現状においては、取り組み始めただけでもアドバンテージになる可能性さえあります。BCP がまだ作成されていないとしても、「当社では社長を責任者として組織的に BCM に取り組んでいます」というような説明ができて、今後のロードマップを示すことができれば、顧客にとっては好印象です。

ぜひ営業部門や広報部門、マーケティング部門などとも協力して、御社における BCM への取り組みを売上アップや既存顧客との関係向上に役立ててください。売上に繋がる可能性が期待できれば、これらの部署からの協力も得られやすいのではないかと思います。

もちろん、その後の活動が続かなければ、逆にかなり印象が悪くなるリスクもありますので、頑張って活動を続けていただきたいと思います。

 

国際規格のネームバリューを利用する

前項で述べた、顧客に対する説明の中で、国際規格のネームバリューを利用することも一案です。これは特に海外の企業と取引がある企業にとっては有効な方法です。

BCM に関しては「ISO 22301」という国際規格があります。日本ではこれが和訳されて、日本産業規格「JIS Q 22301」となっています。この規格は世界中から BCM のエキスパートが集まって議論を重ね、彼らの持つノウハウや経験を反映させて作られたもので、世界各国で広く活用されています。

そこで、国際規格に書かれている基本的な部分を自社の BCM に採り入れ、社外に対して「当社は国際規格 ISO 22301 に基づいて BCM に取り組んでいます」と説明することができれば、BCM に関して決して場当たり的ではなく、組織的かつ計画的に取り組んでいるという印象を持ってもらえます。

しかしながら、規格に書かれている要求事項を全て実施するのは大変です。そこで、まずは以下に説明する 2 つのポイントを押さえることをお勧めします。

1 つめは用語の定義です。残念ながら日本では、「事業継続計画」、「訓練」、「演習」などといった基本的な用語に関しても、多様な定義が入り乱れているのが現状ですので、まず規格に記載されている用語の定義を確認し、正しい用語を使うようにしてください。

2 つめは活動全体の枠組みです。規格では BCM に必要な活動の全体像(別記事にて説明しています)が説明されています。これら全体をどのくらいのスケジュールで進めていくのか、大枠で構わないので計画を作り、経営層の承認を得て進めてください。

これら 2 つができていれば、社外に対して「当社は国際規格に基づいて BCM に取り組んでいる」と胸を張って言うことができます。

なお、この規格に書かれている要求事項を全て満たしていることを、外部の審査機関に確認してもらい、認証を取得できるという制度があるのですが、これは少々ハードルが高いと思います。したがって認証を取得するかどうかは、BCM の活動がある程度軌道に乗った後に検討されると良いと思います。

 

業務プロセスの効率アップに役立てる

BCM に欠かせない作業のひとつとして「事業影響度分析」があります。事業影響度分析においては、社内の業務プロセスや経営資源の状況を調べていきます。

ここで思わぬ副産物として、日常業務において改善すべき課題が見つかることがあります。

かつて筆者が担当させていただいた大手サービス業のお客様で、事業影響度分析のためのヒアリングを実施した時に、不思議な帳票が見つかったことがありました。複数の部署から業務プロセスのフローチャートを見せてもらい、前工程の部署と後工程の部署との連携を確認していたのですが、前工程で作成された帳票のうち、後工程で使われていないものが一つ見つかったのです。

最初はお客様も半信半疑だったのですが、よくよく調べてみると、後工程の業務改善で手続きが変わったという情報が、前工程の部署に伝わっていなかったことが分かりました。試しに前工程の部署で、その帳票の作成を止めて 1 ヶ月様子を見てみたのですが、業務に全く支障がないことが確認できたため、その帳票は正式に廃止されました。

事業影響度分析では、業務プロセスの最初から最後まで通して確認していきますので、日常業務の中では見落とされているような問題やムダが見つかる場合があります。このような成果が得られる可能性もあることを含めて、経営層や各部署の方々に説明していただくと、協力を得られやすくなるのではないでしょうか。

 

損害保険の見直しにつなげる

多くの企業で建物の火災保険などの損害保険を契約されていると思いますが、御社にとって現在の契約内容は十分でしょうか?また、逆に、手厚く保険をかけ過ぎているものはありませんか?

これまで保険会社や保険代理店から様々な損害保険を勧められたと思いますが、残念ながら御社にとって必要な保険と、保険会社が売りたい保険とが常に一致しているとは限りません。

事業影響度分析の中で、製品やサービスの優先順位や資源の状況などを調べていくと、事業継続という観点から考えて必要な損害保険と、現在の契約内容とのギャップが見えてくることがあります。もしそのようなギャップが見つかった場合は、それをもとに保険会社や保険代理店と相談することをお勧めします。結果として従来の保険で不十分だった部分がカバーされるようになったり、過剰にかけすぎていた部分を減らして保険料の支払額を削減できる可能性があります。

企業によっては BCM と損害保険とでは担当部署が別かもしれませんが、その場合でも部署間で協力しあって、BCM と損害保険との相乗効果を発揮できるような取り組みを目指してください。

 

(注)
MS&AD インターリスク総研株式会社(2019 年 2 月)『第 8 回 事業継続マネジメント(BCM)に関する日本企業の実態調査 報告書』 https://www.irric.co.jp/pdf/reason/research/bcm/bcm_8.pdf (アクセス日:2021 年 3 月 15 日)

–   –   –   –   –

本稿は、拙書『困難な時代でも企業を存続させる!! 「事業継続マネジメント」実践ガイド』(セルバ出版)の一部に手を加えたものです。是非拙書もお読みいただければ幸いです。

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加

書籍紹介『見るみる BCP・事業継続マネジメント・ISO 22301』(深田博史・寺田和正)

このエントリーをはてなブックマークに追加

本書は恐らく、ISO 22301 の 2019 年版、およびその日本語訳である JIS Q 22301 の 2020 年版に準拠して書かれた最初の本ではないかと思います。

経歴を拝見したところ、著者のお二人はマネジメントシステム(および関連する規格)に関するスペシャリストのようです。同著者による「見るみる」シリーズとして、BCM 以外にも品質、環境、個人情報、食品安全衛生(HACCP)といったマネジメントシステムに関する書籍が、日本規格協会から出版されています。

本書はこのような、マネジメントシステムのスペシャリストが BCM の参考書を執筆されたことの意義や利点が、とても良い形であらわれていると思います。規格に準拠した形で書かれてはいますが、認証取得する/しないに関わらず、これから BCM に取り組み始める(もしくは既に取り組んでおられる)多くの方々に読んでいただきたいと思います。

–  –  –  –  –

【書籍情報】

深田博史・寺田和正(2021)『見るみるBCP・事業継続マネジメント・ISO 22301: イラストとワークブックで事業継続計画の策定,運用,復旧,改善の要点を理解』日本規格協会

Amazon リンク

–  –  –  –  –

私が思うに、本書の最も良いところは次のような点であり、これらはいずれもマネジメントシステムの使いこなし方を熟知しているからこそ実現できたのではないかと思います。

  • 用語の定義が正確で、国際規格に忠実である。
  • 継続的なマネジメント活動として取り組むことを前提として書かれている。特に、小さく始めて早めに成果を得てから対象範囲を拡大していくというアプローチが明記されている。
  • 日常業務の中で事業継続の観点から実施すべきことが、品質、環境、情報セキュリティ、労働安全衛生といった他のマネジメント領域と関連させて説明されている(しかも本の中で比較的最初の方で)。

私も仕事柄、BCM の参考書は多数見てきましたが、残念ながら上の 3 点が押さえられている本は非常に少ないです。

また、マネジメントシステムという観点とは異なりますが、事業継続に関連する資源や、演習プログラムに関する記述など、規格に忠実に書かれた結果として一貫性を保って整然と説明されている部分もあります。余談ですが、こういうところは下手に自己流で書こうとして、かえって分かりにくくなっている本も多いものです。

BCP を作るだけでなく、その実装として必要な活動についても触れられている点や、非常事態が発生した場合にまず BCP を被災状況に合わせて修正すべきであることが明記されている点も重要です。BCP の作り方に終始した参考書では、このような実務的な内容が書かれないこともあります。

本書が特にユニークなのは第 7 章で、言わば ISO 22301 の読み解き方の解説となっています。特に規格の箇条 4〜10 に関しては、もともと読みにくい文体で書かれている規格本文の内容が、こなれた文体で要約されていて、規格で言わんとしていることをザックリ掴みやすくなっています。もし認証取得を目指すならば、ちゃんと規格の原文(必要に応じて ISO の英文)を読み込んで、要求事項を正しく理解する必要がありますが、「認証取得は目指していないが規格に含まれているノウハウやエッセンスを採り入れたい」という方々にとっては、規格本文よりも本書の方が分かりやすくて便利かも知れません。

強いて本書の弱点を挙げるとすれば、事業影響度分析やリスクアセスメントに関する方法論が、あまり具体的に書かれていないことです、しかしながら、それは他の参考書などで補えばいい話です(そのうち自分自身でもそのような本を書こうとも思っていますが)。まずは本書で BCM の全体像を掴んで、体系的かつ組織的なマネジメント活動として取り組み、組織に定着させていくことを目指すことをお勧めしたいと思います。

 

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加

事業継続には最初から継続的なマネジメント活動として取り組みましょう

このエントリーをはてなブックマークに追加

本稿は、拙書『困難な時代でも企業を存続させる!! 「事業継続マネジメント」実践ガイド』(セルバ出版)の一部に手を加えたものです。

「BCP」と「BCM」

BCP とは「事業継続計画」の英語表記(Business Continuity Plan)の頭文字をとったものです。事故や災害などによる事業中断が発生した場合に、これに対応してどのように製品やサービスの提供を再開・継続させるかを文書化した計画書を BCP といいます。

ここで何となくお察しいただける方も多いと思いますが、そのような計画書があるだけでは事故や災害などに対する対応力は高まりません。まず BCP を作る前に、社内外の状況を把握・分析した上で自社の弱点を把握し、それらを踏まえて合理的な戦略を検討する必要があります。また BCP に書かれていることが実行可能かどうかを確認・検証する作業や、BCP の実行に関する教育訓練なども必要になります。このような活動全体の総称が「事業継続マネジメント」です。これは英語表記(Business Continuity Management)の頭文字をとって BCM と呼ばれています。

 

BCP は BCM の成果のひとつにすぎない

一般的に、BCM の活動は下の図のように整理されており、このような活動を時計回りに継続していく中で、事故や災害への対応力を段階的に高め、維持していきます。この中で BCP は、図の下側の「事業継続計画および手順」という段階で作成されますが、BCP もやはり継続的な BCM の活動の中で改善していきます。

ところで本稿にアクセスしていただいた皆様の中には、以前から「事業継続計画」または「BCP」という言葉をご存知だった方もおられると思いますが、そのような方々でも「事業継続マネジメント」または「BCM」という言葉に聞き馴染みのあった方は少ないかも知れません。どういう訳か、日本では特に BCP ばかりが注目される傾向があり、まず BCP を作ってから、BCP に基づく訓練や BCP の見直し・改善に取り組むという考え方が一般的です。しかしながら、まず BCM としての活動に取り組み、その活動の結果として BCP ができるというのが本来の考え方であり、なおかつ理にかなっています。BCP を作ることばかりが重視されるのは、筆者の知る限り日本だけです。

特に中小企業の皆様におかれましては、「とりあえず BCP を作ろう」と考えるよりも、以上のような考え方をご理解いただいた上で、最初から BCM の活動に継続的に取り組むことを考えていただきたいと思います。それは後述する理由から、その方が合理的であり、かつ難易度も低くなるからです。

 

無理のないペースで BCM に取り組み始めることが大事

BCM に継続的に取り組むという前提で最初から取り組んでいれば、最初に作った BCP の内容の出来が悪くても、割り切って先に進みやすくなります。初版の BCP に足りない部分は、BCM のサイクルを 2 周、3 周と回していく間に改善していければ良いからです。誤解を恐れずに申し上げれば、立派な BCP を作るよりも、まず BCM のサイクルを一周して、これらの活動をひととおり経験することの方が重要です。

ところが、このような考え方を持たずに「まず BCP を作ろう」とする場合、最初からある程度のレベルの BCP を作らねばならないと思いがちです。その結果、最初の BCP ができる前に途中で挫折してしまったり、できたとしても多大な時間を要して息切れしてしまったりして、その後の演習や改善などに手が回らなくなるということが(大企業においても)少なくありません。筆者は残念ながら、そういう例を数多く見てきました。

あえて極論を申し上げれば、立派な BCP が出来ていながら演習などを一度も実施していない企業と、BCP は貧弱だが BCM の活動を 2 周、3 周と積み重ねてきた企業とであれば、後者のほうが事故や災害に対して高い対応力が期待できます。このような考え方のもと、いきなり立派な BCP を作ろうと考えずに、いかに無理なく BCM の活動を継続させるかを最初から考え、その中で対応力を徐々に高めていっていただきたいと思います。

 

BCM の担当部署を決める

企業において、BCM を継続的なマネジメント活動として実施するためには、最初に BCM の担当部署を決める必要があります。では、どの部署が BCM を担当すべきなのでしょうか?

日本では地震や風水害などの自然現象による災害が多発するということもあって、ほとんどの企業で防災を担当する部署か、もしくは担当者が決まっていると思います。中には「名前だけ」、「形だけ」という企業もあるかもしれませんが、たとえ形式的であったとしても、企業に「防災担当」が必要であることは広く認識されているのではないでしょうか。そして、多くの企業において総務部門が防災を担当しています。

ところが BCM は防災に比べて新しい概念ですので、まだそこまで認識が広まっておらず、どの部署が BCM を担当すべきかという問題に関して、定まった共通認識はありません。したがって企業が初めて BCM に取り組み始めるとき、複数の部署の間でどちらが担当するか、お互いに押し付け合いになることも珍しくありません。

日本企業における実態としては、BCM が防災の延長線上にあると認識されていることから、防災と BCM との両方を総務部門で担当されることが多いようです。しかしながら、BCM は「製品やサービスの提供」を中心に考えていくため、経営企画部門や事業部門に BCM を担当させている企業もあります。また IT への依存度が高い企業であれば、情報システム部門が中心となって BCM に取り組まれる場合もあります。大企業では独立した BCM 担当部署を設ける場合もありますし、逆に中小企業では社長自ら取り組まれることもあります。

この問題に関して正解はありません。最も大事なのは、とにかく最初に担当部署を決めることです。担当部署を決めて BCM の活動を始めてみて、もし何か不都合があったら後から変えればいいのです。次に大事なのは、経営層がこれを承認してサポートし、BCM の活動の状況やその成果に対して、経営層が主体的に関与することです。

最悪なのは担当部署を明確に決めずに始めることです。私が聞き及んだ範囲でも、BCM の担当部署が決まっていないのに、半ばコンサルタントに丸投げするような形で BCP が作られたという事例がありました。BCP が出来上がって納品されたにも関わらず、それを引き取る部署が決まらず、しまいには発注時の担当者が全く別の部署に異動してしまったために、せっかく作られた BCP が活用されることはなかったそうです。このような事態を避けるためにも、まず最初に BCM の担当部署を決めてください。

–   –   –   –   –

本稿は、拙書『困難な時代でも企業を存続させる!! 「事業継続マネジメント」実践ガイド』(セルバ出版)の一部に手を加えたものです。是非拙書もお読みいただければ幸いです。

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加