リスクマネジメントの専門知識・事例を学ぶ

BCMSの導入及び運用（事業継続戦略の決定）
事業継続戦略を進めるにあたってのポイントは、以下の３点です。

前回は、［１．戦略の決定と選択］について触れましたので、今回は、事業継続戦略のポイント　［２．　戦術の決定と対応策の選定］ならびに　［３．　経営資源レベルの統合］について、BS25999-2においては詳細が記載されていませんので、これをThe Business Continuity Institute (BCI, 事業継続協会)のGOOD PRACTICE GUIDELINES 2010に準拠して説明したいと思います。

１.戦術の決定と対応策の選定
（１）目的
戦術の決定と対応策は、その前のプロセスで実施済の事業インパクト分析（BIA）／リスクアセスメント（RA）とその後のプロセスであるBCPを繋げる重要なプロセスであり、BCMにおける予算の多くの比率を占め、従って、その費用対効果が重要になってきます。また技術革新等により常に新しい対応策が生まれ、その評価も重要となってきます。戦術と対応策の巧拙とその費用対効果が組織のBCM能力に大きく影響を与えるため、BCMライフサイクルの中でも重要なプロセスとされます。

（２）戦術の決定と対応策の選定プロセス
以下のようなプロセスに従い戦術の決定と対応策を選定します。

①個々の製品またはサービスに含まれる活動を特定する
たとえば、食品業における一般的なバリューチェーンでは、図１のようなバリューチェーンとなっています。

②当該製品またはサービスを支援する個々の活動に対しRTOおよび目標復旧ポイント（RPO）を決定する
（留意点）
要求される緊急性の度合いと中断から回復までの難易度に依存して適用する戦術や対応策が決定されます。

製品またはサービスに関連するすべての活動が当該製品またはサービスに対して定められた目標復旧時間（RTO）内に復旧しなければならないというものではありません。たとえば、　図１の例であれば［企画］については時間的猶予が比較的あると考えられます。このように、戦術および対応策の選定にあたっては重要度の高い活動に焦点をあてて考えることが重要です。

活動のRTOおよびRPO　＜　当該活動が支援する製品またはサービスのRPOおよびRPO

③個々の活動に対する戦術および取りうる対応策の決定
（留意点）
復旧レベルに応じた対応策の決定
　初動（Initial Continuity）：　最低限許容されるレベル
　復旧（Recovery）：　　　　　継続可能なレベル
　回復（Resumption ）：　　　通常のレベルへ回帰

対応策の第三者への委託
費用対効果の点からも対応策すべてを自前で提供する必要はありませんが、委託先の与信、情報管理体制、BCMS整備状況等を確認し、組織が定めるBCM委託基準に照らして適切なレベルにあるかどうかを定期的に確認する必要があります。

法律等による制限
国によっては法律等によって対応策の提供事業者を国内事業者に限定し、海外事業者にアウトソースすることを禁止している場合がありますので、該当する規制や許認可等を事前に確認しておくことが必要です。

ステークホルダーへの対応
対応策の対象として図１に例示したようなバリューチェーンを意識することが多いと思いますが、実際インシデントが発生した場合、異なる関心を持つ社内外のステークホルダーから様々な要求がつきつけられます。こういったステークホルダーへの対応策を事前に準備しておかない場合、策定した対応策がそういったステークホルダーの圧力により有効性を発揮できなかったり、対応策自身は実行できてもレピュテーションリスクにより企業評判を落とし、結果として長期にわたり売上が伸び悩むといったケースもでてきます。また、ステークホルダーにはインシデント発生時に協力を仰ぐ各種緊急時対応機関（警察、消防署、自治体その他）も含まれますので、様々なステークホルダーと日頃から良好な関係を構築しておくことが肝要です。

④取りうる対応策に対し費用対効果分析を実施
(留意点)
IT関連等、対応策については技術革新により費用対効果が著しく向上したりその逆だったりすることがあります。また、これにより戦術そのものを見直す必要が発生するケースもあります。費用対効果を含め戦術および対応策については定期的に見直し更新していくことが必須です。

⑤トップマネジメントの同意
トップマネジメントにBCM構築チームから戦術および対応策の評価報告を行い推奨策を提言し決裁を得るとともに、関連する実装のための予算、人員等の承認を取得します。

⑥選定された個々の戦術的対応が適用される対象を明確化する
最終的に決定された戦術、対応策がどの活動のどのプロセスに対し機能するのかを明確にします。

２.経営資源レベルの統合
（１）目的
決定された戦術、対応策の実装にあたり、割り当てられた経営資源が相互に矛盾なく有効に機能するかを検証します。どんなに優れた対応策でもその効果を最大限発揮するには当該対応策を実行することができる適切な能力を有する人員（あるいは自動化されている場合はシステム等）が必要になり、かつ当該対応策を支援する電力等のインフラや金銭等財務的な手当も必要となってきます。経営資源レベルの統合では、こういったリソースにおける矛盾や課題がないかを検証します。

（２）経営資源レベルの統合プロセス
以下のようなプロセスにより経営資源レベルの統合を実施します。

①決定された戦術および対応策を実行するにあたり復旧のためどのような経営資源が統合的に必要とされるのか（復旧要件）を明確にする

②決定された戦術および対応策を俯瞰的、統合的に見たときに、一貫性のあるものであるかを検証する

③決定された戦術および対応策が相互に矛盾していないか検証する（リソースの競合等）

④決定された戦術および対応策のうち第三者に委託するものについて復旧要件を充足しているか検証する

⑤上記検証の結果問題のあった戦術および対応策を修正し再度問題がないか確認する

⑥決定された戦術および対応策、復旧要件それを支援する経営資源が相互に連携し適切であるかどうかについて検証し評価した結果をトップマネジメントに報告する。

⑦トップマネジメントの同意
経営資源レベルの統合プロセス検証の結果見直しや変更が必要となった戦術および対応について改めてトップマネジメントの決裁を得るとともに、関連して発生する実装のための予算、人員等の承認を取得する

⑧選定された個々の戦術的対応が適用される対象を確定する

事業継続戦略は事業継続計画（BCP）の実効性を担保し、費用対効果の高い戦術的対応策を選定するために重要なプロセスであることをご理解いただけたでしょうか。次回は事業継続計画を含めたBCMSについて説明いたします。

『月刊ＩＳＯマネジメント』（日刊工業新聞出版社刊）／RMCAリレー連載⑳「企業経営を強化する実践リスクマネジメント講座」／2011年4月号掲載

執筆者：前田　泉（まえだ　いずみ）
　RMCA-J®上級リスクコンサルタント
　日本ﾘｽｸﾏﾈｼﾞｬｰ&ｺﾝｻﾙﾀﾝﾄ協会(RMCA)　理事
　事業継続協会（BCI日本支部）　理事　事務局長
　URL:http://thebci.jp/
　電子ﾒｰﾙ：imaeda@thebci.jp
　BCM-RM研修コース講師