計画書に基づいて事業影響度分析を行い、企業にとって重要な事業などに関する具体的な計画をBCPとして策定し文書化(BCMの文書体系とその内容を決定し、業務継続の具体的な対応手順を定めて、ドキュメンテーションを行うこと)した後は、実際に策定したBCPを現場などに導入します。
策定されたBCMは、不測の事態発生時に備える現業部門などに対する準備と、BCMとして発動させた場合の結果の確認が必要です。策定されたBCMを不測の事態発生時に有効にするために関係部署へ展開することを「BCMの導入」といい、これは次の4つの活動から成ります。
1.BCMに基づく事業継続で必要とする物品などの調達
2.受け入れテストの実施
3.教育・訓練の実施
4.BCMの公表と配付
この活動が完了してはじめて、当該のリスクシナリオに対するBCM発動が可能となり、BCMが発効したことになります。
BCMに基づく調達とは、それぞれのリスクシナリオに対して策定したBCMを導入する際に必要な内部・外部資源を調達し、現業部門に設置、配付、確保などを実施することです。また、調達は、BCMで規定されたすべての資源を、不測の事態発生時のBCMの発動に備えて、使用できる状態にすることを意味します。この調達は必ずしも「物」のみが対象ではなく、事態発生時の外部からの支援の約束の取り付け(あるいは契約)なども含まれています。具体的には、外部から原材料や部品の調達が何らかの原因で停止した場合に、自社のBCMの発動時の通常時とは異なる調達先からの調達について関係先と契約しておくことなどです。
従って、調達の対象は幅広く、次の項目が挙げられます。
新しいBCMが策定されたら、最初に受け入れテストを実施しなければなりません。受け入れテストを実施し、問題点が解消してはじめてBCMの実効性が確認されたことになります。
BCMの実効性を確認するための受け入れテストにおいては、次の確認をします。
1.想定した手順どおりの結果が得られたか
2.初期対応、暫定対応、本格復旧対応の段階分けは、BCMに基づく実作業において、適切な区分けであったか
3.それぞれの段階の組織、要員の関係、連携は問題なかったか
4.想定した時間内でどれだけ作業ができたか
5.暫定作業の環境下でどの程度ミスなく事務処理をこなせたか
6.暫定作業から本格復旧への移行作業に漏れがなかったか
7.手順書、資料などは正確であり、理解しやすかったか
BCMを発動しなければならないような不測の事態は、日常の業務活動と比較すると「異常な事態」です。不測の事態の対応を想定してBCMが策定されていますが、BCMにおけるそれぞれの作業項目も、日常業務における作業項目とは異なり、平常時には実施したことがない特別な作業項目です。そのため、関係者が戸惑わないよう、BCMの一環として作業手順、方法などに関するマニュアルを整備し、このマニュアルに従って作業を実施していきます。しかし、事態が逼迫(ひっぱく)している場合には、BCM発動時の対応作業が順調に実施できるとは限りません。従って、策定したBCMの関係者に対する教育と、それに基づく訓練の実施が日常的に必要となります。
策定したBCMは、差し支えのない範囲で社内外の関係者に公表します。また、BCM発動時の関係者に対しては、それぞれのリスクシナリオを配付すると同時にその内容を周知することも必要です。
▼著者名 喜入 博(きいれ ひろし)
1969年日本ユニバック(現日本ユニシス)入社。 都銀第1次オンラインシステムの開発、金融機関の情報システムの開発などに従事。 2002年KPMGビジネスアシュアランス入社。2003年より金融庁CIO補佐官を兼務。2005年まで、内閣官房「情報セキュリティ基本問題研究会第二分科会」委員、および経産省「企業における情報セキュリティガバナンスのあり方に関する研究会」委員。
Copyright © ITmedia, Inc. All Rights Reserved.