また、パンデミックの場合、地震や火災などで想定していた代替施設においても同様に感染が広まる恐れがあるため、切り替えや代替手段での業務継続は難しいだろう。さらにパンデミックでは、人への感染が広がり欠勤などの形で影響が出てくる段階と、感染が終息に向かう段階があること、そして数週間から数カ月のサイクルでパンデミックの波が発生するといった特徴があることなどから、事前にBCPの発動と解除の判断ポイントを明確にする必要がある。
したがって、パンデミックの脅威に対しては、以下の点を考慮し、今までとは違った対策を取らなくてはならないのだ。
- 直接的な影響は人的資源(最終的に事業活動に深刻な影響を及ぼす)
- 広範囲における被災想定が必要(地震や火事を想定した代替中心の対策では不十分)
- 予防・感染拡大防止の対策(パンデミックを想定したBCPの判断基準を設定)
パンデミックとその他の脅威における影響範囲を図で表すと、以下のようになる。
脅威と資源の影響の関係BCM対策は同じだが、BCPは脅威に応じた検討を
では、実際のBCM対策にはどのような違いがあるのだろうか。結論を述べると、BCMを構築しシステムを運営するという大きなアプローチは、今までの脅威の場合と変わらない。BCMは、基本的にインパクトベース(インシデントが発生した結果起きる事象を対象として対策を講じること)が推進されるので、脅威の種類によって、事業を継続するために必要なPDCA(Plan、Do、Check、Action)活動を行うことになるからだ。BCM規格BS25999-2の適用範囲に記された「これらの要求事項は汎用的であり、形態、規模及び事業の性質を問わず全ての組織に適用が可能である」といった文言からも想定できる。
しかし、BCMの個々の活動であるリスクアセスメントやビジネス影響度分析(BIA)、そしてBCPの策定においては、パンデミックを想定した場合の検討範囲や時間経過ごとの対応が変わってくる。特にBCPは、リスクベース(具体的なリスク事象に対して個別に対策を講じること)で策定されることが多いので、パンデミック発生時の具体的な事象に対してそれぞれの行動計画を策定する必要があるだろう。
行動計画については、前述したガイドライン以外にも、業種や企業規模に合わせた新型インフルエンザのガイドラインがあるので、必要に応じて確認するとよいだろう。以下にその一例を挙げる。
- 「事業所・職場における新型インフルエンザ対策ガイドライン」(PDF)(新型インフルエンザ専門家会議、2007年3月26日)
- 「海外派遣企業での新型インフルエンザ対策ガイドライン」(PDF)(作成:労働者健康福祉機構 海外勤務健康管理センター,監修:日本渡航医学会、2007年5月18日改訂)
- 「製薬企業における業務継続のための新型インフルエンザ対策ガイダンス」(PDF)(日本製薬工業協会、2008年7月16日改訂)
- 「中小企業のための新型インフルエンザ対策ガイドライン(第1版)」(PDF)(東京商工会議所 地域振興部、2008年10月31日発行)
次回はBCPの具体的な見直しポイントについて検証する。
筆者紹介
小林啓宣(こばやし はるひさ)
ストレージベンダーにおいてバックアップシステム/災害対策の構築、情報保護に関するコンサルティングやBCP策定のプロジェクトを経験後、2005年にシマンテックに入社。現在はグローバルコンサルティングサービス本部 リードプリンシパルとして同様のプロジェクトを担当すると共に、セキュリティ監査も実施する。CBCP、CISA、PMP、事業継続推進機構(BCAO)会員 BIA研究会所属。
