COP解説の最終回をお届けする。前号では、1)危機管理を自動化する前提としての標準化と実装における課題、2)COPを運用する仕組みとしてのIT化の課題、について述べた。また末尾で「災害対応の標準化・自動化の評議会の開催」についてのご案内を予告した。この評議会については、誠に申し訳ないが本稿の〆切時点で実施方法について検討中のため、本稿は前号に続いて「標準化」の手法を紹介させていただくこととする。

編集部注:「リスク対策.com」本誌2016年1月25日号(Vol.53)掲載の連載を、Web記事として再掲したものです。(2016年6月14日)

前号では、主にJISQ22301「4.1 組織及びその状況の理解」の部分を用いて、業務継続にかかわる情報項目の定義と対応の標準化について考察した。

本稿では、前号の続きという形で、危機管理の標準仕様JISQ22320:2013「社会セキュリティ- 危機事態管理- 危機対応に関する要求事項」の規格から、どのように災害対策本部の活動内容を決定し、また活動情報の項目を定義してCOP化すれば良いか、考察を深める。内容の一部については前号の復習として重複する部分があることをご承知願いたい。

JISQ22320の構成と本稿の解説範囲

この規格の本体部分は大別して3つのパートから構成される。

簡単に要約すると、第4章で「災害対策本部はどのように活動するか」という手順についての仕様が書かれ、第5章では「その活動を支えるための情報をどのようなプロセスで提供するか」について書かれている。本稿では第4章で災害対策本部の活動プロセス概要を確認し、第5章の情報提供プロセスの一部を扱って「標準化」について述べることとする。第6章については割愛する。

「4.2.5 指揮・統制プロセス」について

指揮・統制プロセスについては以下のような仕様となっている。下記と同時に図1をご参照いただきたい。

 改めて指摘するまでもなく、このプロセスを見ると災害対応における情報操作の重要性を認識することができる。また規格には触れられていないが、「インシデント」と「状況」を的確に把握するためには、単に情報を文字で記述するだけでは不十分であると筆者は考えている。

例えば、生産機械の被害を伝えるためにコンソールから読み取った各種パラメータを災害対策本部に伝えても役に立たない。

重要なことは、人間で言えばバイタルサイン(体温・脈拍・呼吸速度・血圧)を医師が読取り、診断を行い、その結果を本人と家族に報告して安堵をもたらすことである。切り傷や擦り傷のひとつひとつを数えて生の情報を家族に伝えることには意味がない。

生産環境でいえば、個別機械のパラメータではなく、「稼働に耐えるか」「いつから動くか」「動かない場合に代替は在るか」が経営者およびマネージャに伝わることが重要である。

このように、組織の「状況」を把握するためには、起こった事象が「組織のバイタル」にどのように影響しているかを表現するための比喩的モデリングおよびダッシュボード化を事前に行っておかなければならない。これについては連載第3回「危機状況をダッシュボード化する」で詳述したのでご参照いただきたい。

「5.2 活動情報提供プロセス」について

活動情報提供プロセスについては、以下の規格となっている。

この後に続く規格の中で、a) 〜 f)のそれぞれについて、更に詳細なプロセスの規格が定義されている。本稿では、そのうち「計画策定及び指示」の部分に関する標準化を試みる。

「5.2.2 計画策定及び指示」について

計画策定及び指示のプロセスについては、以下のようになっている。

 このa)〜 i)のそれぞれについて、どのように活動情報を定義していくか、その考え方の流れを示す。

a)危機対応業務を実施するための指示及び達成目標の提示

そもそも会社などの組織は、その存続を脅かす危機に対して図2に示す3つの対応を必要とする。この内容を目的と目標として表1に要約した。なお、この目的・目標の設定の仕方は筆者独自の考え方に基いており、違う方法もあろうかと思う。読者の属されるそれぞれの組織で実装される場合は、組織の災害対応方針を適用されたい。

更に具体化する。表1で「使命を守る」という目的について方針を立てるとすると、大きくは次の2つの方針が考えられる。

方針1)は理解しやすいと思うので、方針2)について解説をする。「災害時に重要となる業務」とは、たとえば、エレベーターやIT 機器など、顧客先に設置されて日々稼働しているハードウェア・ソフトウェアなどの継続的な使用を保証するメンテナンス業務が挙げられる。筆者の多くの顧客では、このような顧客資産を持つ場合、その対応を災害対応の優先順位において最上位に掲げることが多い。

方針が定まったとして、更に情報項目を具体化するにはどうしたら良いか?

b)効率的な意思決定のための、主要な問題の特定

危機発生時に起こる組織にとっての「問題」とは、重要なステークホルダー・資産・使命・環境などの「あるべき姿」に比べて「現実」が望ましくない状態になっていることを指す。このギャップが大きければ、より大きな問題となる。

災害対応を効率的に行うためには、前述したように組織の重要なステークホルダー・資産・使命・環境が何なのか?について定義をしておくことが重要である(ことが起こってから考えているようでは遅い)

表2をご覧いただきたい。①目的、②方針に続いて③何を・誰を守るのか?(サンプル)を定義してみた。この内容によって情報処理活動の細部が変わってくる。

「組織を守る」活動については、JISQ22320「4.2.5 指揮・統制プロセス」の内容を充てた。表中のような活動を実施すると良いだろう。

「資産を守る」活動については、重要と考えられるステークホルダーと資産のサンプルを列記した。簡単に解説する。

1)被災した地域に在住する従業員

現在、市中でサービスされている安否確認システムの多くは、地震などの広域災害が起こった場合は、該当する地域に勤務ないしは在住する要員にのみ、安否確認を行わせるためのプッシュが行われる仕様になっている。揺れていない地域の要員にまで確認を行う必要がないためだ。

2)被災した地域に在住する従業員の家族と家庭

1)と同様に、家族・家庭の安否を確認することも現在主流となっている。1)と2)については、安否確認システムの普及により、情報処理活動は容易である。

3)会社の資産 4)就業環境、周辺環境

会社の資産については言うまでもないが、よく見落とされるのは就業環境の定義である。「安全・安心・業務に適当な職場環境」というものは何もせず手に入れることはできない。たとえば「危険物・泥土等で汚染」「水平が保たれていない状態」「適当な温度・湿度が保たれていない状態」などの状態は、資産に瑕疵が生じていると捉えるべきである。

これについては、必要とされる環境についてのパラメータを細かく定義しておき、それを満たしているかどうかの調査・測定が必要となる(例:ISOクラス7のクリーン度)

5)機器納入済で震度5強以上の被災をした顧客

一般的に「守るべきステークホルダー」として、「顧客」が入ることに異論はないだろう。ここで考えるべきは、非常時にすべての顧客に平等に対応できるほど組織は十分な人的資産を持たないことが多い、ということである。

そこで、企業ではさまざまな工夫を凝らしてステークホルダーの優先順位付けを行うこととなる。

ここでは例として「機器納入済」で「震度5強以上」の被災をした顧客を挙げている。他にも「公共性の高い顧客(官庁・自治体・病院等)」、「メンテナンス契約を締結している顧客」「売上比率の高い顧客」「社会的影響力の高い顧客」など、さまざまな基準を設けて優先順位を付けると良いだろう。

そして重要な事は「測定可能」であることだ。顧客の被災した震度を知ることは、一般的にそれほど容易ではない。

「問題の特定」のための「あるべき姿」定義

前述したように「問題」とは「あるべき姿」からのギャップである。次に表3をご覧いただきたい。「問題」を特定するための手段として「④何が確認できればよいか?」を定義した。
以下に、それぞれで「問題」を見出すために必要な情報項目を挙げていく。

1)従業員が無事であることの確認
2)家族が無事で家庭生活が営めること

一般的に従業員の安否を確認刷る場合、無事かどうかだけでではなく、就業の可否を確認することも多い。情報項目としては以下のようになる。
・自身の無事、(気持ちも含めた)就業の可否
・家族の無事、家庭環境の無事、通勤手段の有無

3)資産が無事であること、危険でないことの確認

会社資産のリストを作成し、その瑕疵を調べるための基準値を作成するケースが多い。例えば建屋の被害を調査する場合の情報項目は次のようになる。
・構造物の破損(柱・梁)、建物の傾斜
・壁、床の破損
・内装の破損
・地盤の異常(地滑り、崖崩れ、地割れ、噴砂・液状化、地盤沈下、敷地流出など)

また危険物、高圧ガス、高圧変電設備、重量物などを扱っている場合はそのチェックも必要である。

4)環境が就業できる程度に安全且つ機能していることの確認

この場合の環境とは、就業環境ならびに組織の敷地周辺の近隣環境を現す。情報項目としては以下の通り。
・就業環境の瑕疵(温度・湿度・傾き・クリーン度、等)
・周辺環境の瑕疵(汚染・液状化・浸水、等)

5)被災した顧客の業務復旧の必要性の有無

製品やサービスなどを顧客に納入している場合、現在ではメインテナンス契約の結果として、遠隔監視の仕組みを導入しているケースが多い。そのような場合は監視センターからの情報を持って、復旧の必要性を検討することが一般的である。

6)サプライヤーが稼働していることの確認

一般的に、現代のビジネスモデルはサプライヤーやサードパーティからの供給やアウトソースに大きく依存しており、自組織だけではほぼ何も出来ない業務まで出現している。一般的に組織外のアウトソース先に出来ることは少なく、危機発生時に稼働しているかどうかの確認と、依頼している業務の進捗の確認程度が精一杯である。

しかしながらこの場合でも、連絡先リストと確認内容をチェックリスト化しておくことは重要である。

7)7日以内に平常時の80%まで保守業務が稼働することの確認

業務を継続するためには、業務リソースの被害情報のみならず稼働レベル情報が重要であることは、連載第3回「危機状況をダッシュボード化する」で述べた通りである。詳細は前号をご参照願いたい。

c) 収集方法及び成果物に関する指針も含めた情報収集計画の策定

前述したように、災害対策本部の意思決定支援のために必要な活動情報は、組織の「問題」を定義することによって導き出すことができる。

同様に、組織にとって都合の悪い状況を想定すれば、チェックすべき内容も明確になる。

ここまで整理したあとは、情報収集方法と、それをどのように表現して活用するか?についてまとめた情報収集計画をまとめておく必要がある。

情報項目が整理されていれば、次のような項目を計画にプロットしておけば良い。
・情報収集のための各種帳票
・情報収集のタイミング、頻度
・情報収集の担当者、収集責任者、編集者、等
・情報収集の方法(測定、データベース等システムからの抽出、マスメディアの選別ととりまとめ、伝聞の集約、等)

まとめ

今回はJISQ22320の規格の一部を用いて、情報処理活動の標準化について述べた。ご覧のように、規格の一部だけでもこれだけの情報収集項目、情報収集活動が必要であることが理解いただけたと思う。

これに活動内容の統制情報まで含まれてくると、もはや人手で収集・集約・共有することが困難であることは明白である。

またこれらの活動をシステム化するメリットは多大であり、弊社は今後も広くパートナーを募って標準化・自動化・クラウド化に邁進したい所存である。

連載の最後にあたって、筆者の経験不足や拙い解説をお詫び申し上げておく。連載の内容に関するご質問や、COP策定に関するご相談については、以下のメールアドレスにてお請けしたい。

akizuki@rexmanagement.jp

世界初のCOP策定クラウド・システム「Klotho」(特許出願中)
http://www.bcpcloud.net

(了)