 |
パンデミックでのBCP見直しを考える--インフルエンザの感染爆発と事業継続のポイント(2) |
前回、パンデミックとは何か、それが今までの脅威とどう異なるのかを確認した。また、パンデミックを想定した場合、事業継続管理(BCM)は基本的に同じアプローチで対策を進める一方、事業継続計画(BCP)はその内容をパンデミックに合わせて変更しなければならないことも確認した。
今回はパンデミックを想定した場合、BCPの見直しが必要な部分や追加すべき点を、具体的な内容を踏まえて検証する。
BCP見直しの背景
パンデミックを脅威とした場合、BCPは今までのものでは不十分だと前回述べた。では、全く新たにBCPを作成するのかというとそうではなく、骨格さえきちんと整っていれば1から作成する必要はない。しかし、対策の内容は今までの脅威の場合と全く違った考え方で検討しなくてはならない。 それは、パンデミックの場合、事業を運営する人的資源が徐々になくなることを想定し行動計画を立てなければならないからだ。言い換えると、パンデミックでは時間の経過と共に、継続する業務の操業レベルを徐々に下げることになる。
災害などの脅威発生時とパンデミック発生時の時間経過と業務操業レベルの違い(パンデミックフェーズはWHO参照)パンデミックが発生した場合、継続する業務を初期段階から必要最低限に絞り込むといった行動計画もあるが、一般的には業務停止をなるべく避けるよう、上記の図のようなイメージになると考えられる。
BCP見直しのポイント
パンデミックの場合にBCP全体を通して見直すポイントは、以下の通りだ。
1. BCP発動プロセス
パンデミックフェーズまたは独自の判断により、どの段階でインシデントとするのかを判定する基準を新たに設ける。地震などの場合はその被害状況を実際に確認して判断するが、パンデミックの場合は被害が広がる前の段階で判断するため、あらかじめパンデミック時のBCP発動基準を決めておくのだ。また、判断するための情報ソースやその入手方法なども前もって決め、BCMの運用として確立しておく。
2. 停止業務の順位決定
今までの災害を想定したBCPでは、業務の優先順位を決め、重要とした業務の継続は最低限守るとしていた。パンデミックの場合は、例えば欠勤率が20%の場合にどの業務を止め、40%の場合はさらにどの業務を止めるといった形で、停止業務の順番を決める。パンデミックが発生してから停止業務を決めると現場が混乱するため、事前に停止業務を決めた上で社内にその内容を通知し、代替手段等を共有しておく。
3. BCP解除と業務再開プロセス
BCPの発動と同様に、いつBCPを解除するのか、またどの業務から再開するのかなどについても、あらかじめ判断基準を設けておく。パンデミック期には、政府からの広報も含め各種メディアから情報が提供される。そういった状況下で、自宅待機の社員が個人の判断で1人だけ出社しても組織として運営はできない。何の情報を、どのような基準で、誰が判断し、どのように周知させるかを明確にしておく。
4. 財務手当の方針決定
業務を停止する場合、社員が自宅待機する場合や、在宅勤務といった形態をとることが考えられる。この場合の給与支払いの基準も、給与額の割合や支払い期間をあらかじめ検討すべきだろう。現在、こうしたケースの明確なガイドラインは作成されていないので、会社の方針として決めればよい。
例えば、2カ月間収入がない状況で社員が自宅待機を続けるのは一般的に厳しいが、スペイン風邪のように3年にも渡って何度も流行の波が発生することもある。財務的な手当ては他のインシデントの場合も予算化されているかもしれないが、パンデミックを想定した場合はその規模を考慮しなくてはならない。なお、取引先への請求や支払いについては、通常業務に関するBCP策定の中で考えるものとし、ここでは社員に対する予算のみを考えるものとする。
5. 感染拡大防止策の作成
このポイントは、平常時のBCP行動計画に、パンデミックを想定して新たに追加すべき項目だ。内容はパンデミック期前(流行間期)とパンデミック期に大別される。パンデミック期前は、予防として感染防護具などを備蓄することや、海外赴任社員に注意を呼びかけることなどが必要となる。パンデミック期は、どうしても出勤しなければならない社員への感染を防ぐため、感染防護具の支給や薬の投与、公共以外の交通手段の確保または会社近辺の宿舎の確保といった対応について考える。これらを計画書としてまとめ、実際に運営する。
パンデミック時におけるBCPの見直しポイント※クリックすると拡大画像が見られます
最新の情報収集がキーポイント
上記以外にもBCPの見直しが必要な部分はあるが、それは会社の業務内容や状況にあわせて適宜見直してほしい。また、パンデミック用のBCPを準備するアプローチもあるので会社にとって運用しやすい形をとれば良いだろう。
パンデミックにおいてもBCPの行動計画で重要なのは、安否確認や状況の把握、政府広報などの最新情報を正確に押さえることだ。BCP発動後の行動も、正確で最新の情報を基に行動しなくてはならない。海外で勤務している社員がいる場合は、赴任先におけるパンデミックの最新情報の確認も必要だ。情報ソースの確認は、いつの時点の情報であるかを常に留意して取り扱うよう心がけたい。
次回は、情報システム災害対策(IT-DR)の具体的な見直しポイントについて検証する。
筆者紹介
小林啓宣(こばやし はるひさ)
ストレージベンダーにおいてバックアップシステム/災害対策の構築、情報保護に関するコンサルティングやBCP策定のプロジェクトを経験後、2005年にシマンテックに入社。現在はグローバルコンサルティングサービス本部 リードプリンシパルとして同様のプロジェクトを担当すると共に、セキュリティ監査も実施する。CBCP、CISA、PMP、事業継続推進機構(BCAO)会員 BIA研究会所属。