想定外の危機で企業の明暗を分けるもの（前編）：トレンドフォーカス（2/2 ページ）

政府や自治体、企業などで事業継続への関心が高まるっている。BCM（事業継続管理）やBCP（事業継続計画）を本格的に導入する動きが活発化している。

[富永康信（ロビンソン），ITmedia]

事業継続に関する国際統一規格も検討中

　企業がBCM／BCPに取り組む動機には、主に次のようなものが挙げられる。

1. 企業・組織の存続を目指すリスクマネジメントの一環
2. 取引先からの要請（取引選別の基準、他社との差別化など）
3. 政府・官公庁からの要請
4. コーポレートガバナンスやSR（社会的責任）の一環
5. 企業価値向上

　現在、BCM／BCPで最もスタンダードなフレームワークとされているのが、BSIによる「BS25999」（事業継続管理規格）である。06年11月発行の「BS25999-1:2006」（パート1：実践規範）は、BCMのベストプラクティスとBCMライフサイクルに基づく包括的なコントロールを提供し、組織のレジリエンシー（事故前提社会における弾力性のある回復力）を向上させていく目的を持つ。

「BS25999-1:2006」（パート1：実践規範）の概念図

　また、07年11月に発行された「BS25999-2:2007」（パート2：仕様）では、パート1の考えを監査可能な事業継続マネジメントシステム（BCMS）を導入するとともに、PDCAサイクルによるモニタリングやレビューを繰り返して効果を測定できるマネージドビジネスとして、BCMSを企業文化に定着させることを目的とする。つまりパート2は、パート1からコアのエッセンスを抜き出したフレームワークになるわけだ。

「BS25999-2:2007」（パート2：仕様）の概念図

　ここで重要なのは、BIA（Business Impact analysis）という手法だ。業務が中断した際の実質的損失額などの定量的な影響と、顧客や地域社会などのステークホルダーに与える迷惑などの定性的な影響を時系列で分析することで、被災におけるビジネスへの影響を具体化する。

　BSIマネジメントシステムジャパンでマーケティング部部長を務める中川将征氏は、「BS25999の認証は、事業継続へのコミットメントを明示し、組織の生き残りのための投資を意味するとともに、自社における事業継続の力量を市場に保障することにつながる」と訴える。

　一方、国際標準化の動きもある。ISO／TC223（社会セキュリティ）では、自然災害やテロなどから全ての組織を守るための危機管理として、事業継続に関する国際統一規格化を検討中という。その結果、国際標準化機構ではビジネスコンティニュイティという表現ではなく、社会的セキュリティとしての概念にまで広げ、IPOCM（Incident Preparedness and Operational Continuity Management；重大事態準備及び運営継続マネジメント）という呼称によるガイドラインが「PAS（一般公開文書）22399」として年内に発行される予定だ。

　日本においても、経済産業省商務情報政策局の「企業における情報セキュリティガバナンスのあり方に関する検討会報告書」（05年3月）や、内閣府中央防災会議の「事業継続ガイドライン」（05年8月）、中小企業庁事業環境部の「中小企業BCP策定運用指針」（06年2月）などが事業継続のためのガイドラインとして示されている。

（後編に続く）