Ｗｅｂ教材一覧＞ 法規・基準

学習のポイント

地震のような大規模災害は事業の継続ができなくなる危険がありますので，通常のセキュリティ対策とは質的に異なる対策が求められます。事業継続のための計画をＢＣＰ，それをマネジメントすることをＢＣＭといいます。
　本章では，ＢＣＰ／ＢＣＭについて，
　　　その重要性と概念
　　　国の策定したガイドライン
について学習します。

キーワード

ＢＣＰ（事業継続計画），ＢＣＭ，ビジネスインパクト分析，ＣＳＲ（企業の社会的責任），事業継続計画策定ガイドライン，事業継続ガイドライン，中小企業ＢＣＰ策定運用指針

事業継続計画の必要性

事業継続の必要性

地震，火災，テロなどもよる大規模なシステム障害が発生すると，基幹事業が停止している間の利益損失が発生しますし，取引先や顧客を失う大きな原因にもなり，事業からの撤退につながることがあります。
　また，自社の事業停止が取引先や顧客の事業停止へと影響が連鎖することもあります。さらに，業種や情報システムによっては，社会全般に大きな影響を与えることになります。

ですから，企業には危機に直面したときでも
　　　　許容限界以上のレベルで事業を継続させること
　　　　許容される期間内に操業度を復旧させること
ことにより，事業を継続する社会的責任があるのです。
　そのための計画立案・実施，そのマネジメントシステムがＢＣＰ／ＢＣＭです。

（拡大図）

ＢＣＰ／ＢＣＭ

ビジネスインパクト分析

事業継続に重要な箇所・事象（ボトルネック）を特定して，対策を検討・実施することです。どのシステムがダウンしたり，どのデータが消滅したら，事業にどう影響するか，復旧するのにどの程度の時間がかかるかなどの分析です。これがＢＣＰ策定のベースになります。

ＢＣＰ（Business Continuity Plan）

企業が自然災害、大火災、テロ攻撃などの緊急事態に遭遇した場合において、事業資産の損害を最小限にとどめつつ、中核となる事業の継続あるいは早期復旧を可能とするために、平常時に行うべき活動や緊急時における事業継続のための方法、手段などを取り決めておく計画のことです。

ＢＣＭ（Business Continuity Management）

ＢＣＰを策定し継続的運用するマネジメントシステムのことです。①事業の理解、②BCPサイクル運用方針の作成、③BCPの構築、④BCP文化の定着、⑤BCPの訓練、BCPサイクルの維持・更新、監査といった活動をＰＤＣＡサイクルとして継続的に行い向上させること。

（拡大図）

ＢＣＰ／ＢＣＭと他基準等との関連

事業継続は社会的責任の重要な側面ですし，システムの維持は情報セキュリティ対策での重要目標です。それでＢＣＰ／ＢＣＭは，多くの基準等に関係しています。

ＣＳＲ（Corporate Social Responsibility：企業の社会的責任）

企業が事業継続性を確保することは，顧客や取引先への製品・サービスの継続的供給，地域社会のライフラインや生活の保証につながります。ＢＣＭとＣＳＲは互いに密接に関連するものであり，双方を推進していく必要があります。

ISO 27001（ＩＳＭＳ），JIS Q 2001（リスクマネジメント）

情報セキュリティマネジメントシステム（ＩＳＭＳ）の国際規格であるISO 27001は，情報セキュリティ全般を網羅したものですが，そこでも，「事業継続管理手続」「事業継続計画作成のための枠組み」など，ＢＣＭが重要な要素の一つになっています。
また，JIS Q 2001（リスクマネジメントシステム構築のための指針）は，阪神淡路大震災の教訓を生かすために制定されたものですが，総論的なリスクマネジメントを対象にしています。
これらに対して，ＢＣＭでは，そのうちの「事業継続」に限定した具体的に立案・実施・推進する場合の具体的な方法論です。

ＣＰ（コンティンジェンシープラン：緊急時対応計画）

ＢＣＰもＣＰもインシデント発生時の対応計画ですが，ＣＰは緊急事態発生直後の行動を中心とした計画であるのに対し，ＢＣＰは事業の継続性の観点からビジネスインパクト分析に基づいて計画するのが特徴です。

ＳＬＡ（サービスレベルアグリーメント）

情報システムの構築・運用・保守，データ保存などを外部に委託していることが多くあります。そのときは，ＳＬＡの重要項目として，目標復旧時間を定めること，その具体的な方法を取り決めておくことが望まれます。

国のガイドライン

経済産業省「事業継続計画策定ガイドライン」（2005年3月）

http://www.meti.go.jp/policy/netsecurity/downloadfiles/6_bcpguide.pdf

主にＩＴ事故を対象として，ＢＣＰの実務者がＢＣＰ作成するときに参考とするべき，基本的な考えかた，具体的な計画の構築手順，検討項目などを網羅的に記載しています。

　本文
　　第Ⅰ章　基本的考え方
　　　ＢＣＰの必要性，求められる背景，ＢＣＰの特性，世界と日本の動向
　　第Ⅱ章　総論（フレームワーク）
　　　ＢＣＰ策定での考慮事項，組織体制，ＢＣＰ策定の手順，教育・訓練，維持・管理
　　第Ⅲ章　ＢＣＰ策定にあたっての検討項目
　　　発動，業務再開，業務回復，全面復旧のフェーズでの対応ポイント
　　　リスクコミュニケーションの重要性
　　第Ⅳ章　個別計画（ケーススタディ）
　　　大規模システム障害，セキュリティインシデント，情報漏洩，データ改ざんへの対応
　参考資料集
　　参考１ 各フェーズにおける実施項目
　　参考２ 対策本部室に備えるべき設備・備品類チェックリスト
　　参考３ フェーズ毎の対策本部の役割
　　参考４ フェーズ毎の各チームの役割
　　参考５ システム関連BCP一覧表の項目
　　参考６ 代替手段の検討項目事例
　　参考７ 総括の項目（システム関連）
　　参考８ ベストプラクティス：BCP構築事例

ＢＣＰプロジェクトの組織体制の例	検討項目の全体像とポイント	緊急連絡ルール（システム障害関連）
（拡大図）	（拡大図）	（拡大図）

経済産業省「事業継続計画策定ガイドライン」2005年3月 企業における情報セキュリティガバナンスのあり方に関する研究会報告書参考資料 http://www.meti.go.jp/policy/netsecurity/downloadfiles/6_bcpguide.pdf

中央防災会議専門調査会（内閣府）「事業継続ガイドライン」（第一版　2005年8月）

http://www.bousai.go.jp/MinkanToShijyou/guideline01.pdf

「事業継続計画策定ガイドライン」と比較して，次の特徴があります。
　　１　対策をＩＴだけでなく，業務全般を対象にしている。
　　２　逆に，脅威を自然災害，特に地震を対象にしている。
　　３　そのために，地域との連携を重視している。
　　４　全体の考えかたを主にして，具体的なＢＣＰ作成には触れていない。
　　５　経営者のためのチェックリストを添付している。

本ガイドラインの構成は次の通りですが，「Ⅱ 事業継続計画および取組みの内容」が中心であり，事業継続の取組みの流れを図のように示しています。
　　ポイント
　　Ⅰ 事業継続の必要性と基本的考え方
　　Ⅱ 事業継続計画および取組みの内容
　　Ⅲ 経営者および経済社会への提言
　　別添チェックリスト

（拡大図）

中小企業庁「中小企業ＢＣＰ策定運用指針」（2006年2月）

http://www.chusho.meti.go.jp/bcp/contents/level_a/bcpgl_00.html

中小企業は，財政的能力が弱いために，災害等の被害が事業継続に深刻な打撃を与えることが多いのに，事業継続への成熟度が未熟な面があります。
　この指針は，経済産業省中小企業庁が，中小企業経営者が自らＢＣＰを策定し運用することができるよう，わかりやすく解説したものです。

大規模災害において事業継続を図るためには，
　　１　優先して継続・復旧すべき中核事業を特定する
　　２　緊急時における中核事業の目標復旧時間を定めておく
　　３　緊急時に提供できるサービスのレベルについて顧客と予め協議しておく
　　４　事業拠点や生産設備、仕入品調達等の代替策を用意しておく
　　５　全ての従業員と事業継続についてコニュニケーションを図っておく
ことが重要であると指摘して，次の内容になっています。

　　1. はじめに
　　2. 基本方針と運用体制
　　3. 策定運用(基本，中級，上級)
　　　　事業の理解，ＢＣＰの準備，ＢＣＰの策定，ＢＣＰ文化の定着，
　　　　ＢＣＰの更新，自己診断など
　　4. 緊急時のＢＣＰ発動(共通)
　　　　発動フロー実施項目，初動対応のポイントなど
　　5. 財務診断モデル(基本，中級，上級)
　　　　復旧費用の算定，損害保険の整理，緊急時の資金財務診断と対策など
　　6. 事前対策メニュー(共通) 
　　7. ＢＣＰの様式類
　　　　基本方針策定，運用体制，中核事業影響度，ボトルネック資源など
　　8. ＢＣＰ関連資料
　　9. 用語集

「事業継続計画策定ガイドライン」「事業継続ガイドライン」と比較して，次の特徴があります。
　　１　対象企業の成熟度に応じて基本・中級・上級に分けて説明しています。
　　　　　　ステップバイステップで改善することが重要だとしています。
　　２　特に復旧費用や保険など財務面の対策を重視しています。
　　３　ＢＣＰで作成するべき各種文書のひな型を提供しています。
　　　　　　これらを作成することにより，ＢＣＰのベースを整備するのが目的です。