事業継続マネジメントシステム認証制度の賢い作り方(1)

呉井嬢次(Johji Kurei) 2008-06-15 10:11:00

 海外では昨年に事業継続マネジメントシステムの認証制度が開始され、日本でもようやくスタートした。ただ、日本では一部の審査機関が、大手コンピューターベンダーの保守部門に対して、独自に認証を発行しているオレオレ認証(認定機関に基づかない認証をいう)を出しており、先走った事例もある。

 また、既に内閣府、経済産業省、中小企業庁から「事業継続計画」に関する文書が次々公開されているが、事業継続マネジメントとの違いは大きい。そして、今後の企業に大きな影響を与えていくだろう。そこで企業が取り組める事業継続マネジメントシステムを作る方法を通して、情報セキュリティにどのように軽減し、影響を与えていくのか連載する形式となるが、解説していきたい。

事業継続計画と事業継続マネジメントシステムの違い

 まず、用語が長いので、可読性を考慮し、事業継続計画は、BCPと略し、事業継続マネジメントシステムはBCMSと略して説明する。この違いは、BCPは選択された災害・事故などのインシデントへの計画書であり、BCMSはBCPが想定しないインシデントを含めて考慮された組織の一連の行動を含む態勢全般である。よって、BCMSは、BCPをカバーしていること。

 これは、企業が大切に取り扱う情報として個人情報があり、個人情報基本方針を設けているが、実際には企業が大切に取り扱う情報には、事業戦略、取引先との契約書、商品の価格情報があり、これらを包括した情報セキュリティ基本方針が重要となる。情報セキュリティ基本方針には個人情報基本方針を含むことができるが、逆は不可能だ。包括的な概念をまず、押さえておきたい。

 BCMSを次のように定義することができる。

 BCMS(事業継続マネジメントシステム)とは、「企業や組織の目標を達成する為、事業継続に関するリスクマネジメントを効率的、効果的に行うための仕組み」と定義できる。
 BCP(事業継続計画)とは、「企業や組織が,事前に定めた許容できる水準レベルで、大切な活動を継続できるように、選択されたインシデント発生時に備えて、デザイン、構築され、保たれている記録媒体に記載されている手続きや関連する情報」と定義できる。

BCMSを導入する利点

 BCMSを導入することによって得られる利点をまとめると、次のようになる。

 事業の中断による影響を特定できること
  地震が起きてから、影響を特定しては迅速が対応ができないし、初期対応の遅延は
  被害の拡大につながる。よって、BCMSを導入すれば、影響の特定が可能となる。
 事業の中断における効果的な対処を構築、組織への影響を最小限に抑えられること
  対処の準備がBCPによって作られており、組織は影響を最小限に抑える処置を低コストで
  実現できる。
 チーム横断的な取り組みを実施することにより、幅広い視点で組織を評価できること
  部門単位のバラツキを無くすことができ、経営面から適切な投資ができる。
 ステークホルダーの視点をふまえた事業経営に取組むことができること
  社員の生命確保は当然だが、取引先への手配、株主、地域住民への対処が事前に構築できる。
 実施の状況を継続的に管理し、適正な水準に保てること
  災害、事故は突発的に発生するので、維持管理が大切であり、定期的な見直しの実施により
  柔軟な対処の変更、改善活動ができる。
 事業を継続する能力によって、競争優位を獲得できること
  企業として、競合他社より、どのような分野であれ優位であることは事業機会の確保の点で重要である。

 以上から、BMCSを導入する企業が増えてきている。そこで1つ疑問がある。そのようなBCMSを展開しても顧客、取引先が知らなければ、組織としての優位性の証明、社員の事業継続に関するモラルの維持は難しいのではないか、ということだ。そこで登場してきたのが、BCMSを第三者によって認証し、証明書を与える仕組みである。

 海外では、イギリスのUKASが認定機関となって活動しており、日本ではJIPDECやJABが認定機関として活躍している。このような機関が活発に宣伝していけば、日本企業だけでなく、海外で活躍する企業にとっても大きなメリットとなる。経済産業省は、認証制度に対する費用面の企業負担に懸念をしているが、事故が起きて競争力を失うデメリットを回避できる利点を活かして普及していけば、国益にも貢献するだろう。

※このエントリはZDNetブロガーにより投稿されたものです。朝日インタラクティブ および ZDNet編集部の見解・意向を示すものではありません。

SpecialPR