ここが日本のBCMSの欠点だ！ | 誌面情報 vol34 | リスク対策.com

7割の企業が評価をしてない

ISO22301の要求項目に基づいて調査

日本企業の事業継続マネジメントシステム（以下、BCMS）の取り組みを、国際規格ISO22301の要求項目と照らし合わせたところ、「評価」や「改善」についてほとんどの組織が実施できていない傾向が本誌の実施したアンケート調査の分析結果から明らかになった。特に、評価については7割の企業ができていなかった。調査に協力したNECシステムテクノロジーのBCPコンサルタント・森徳行氏は「単に評価の方法がわからないという表面的な問題ではなく、そもそも計画の策定時においてBCMSへの取り組みが評価できるほど目的や目標が明確になっておらず、経営トップも関与していないためマネジメントレビューができないなど、計画の甘さやリーダーシップの無さがBCMSを“骨抜き”にしている」と指摘している。国際規格の認知度が広まりつつある中、根本からBCMSへの取り組みを見直す必要がありそうだ。

本誌は、今年9月にNECシステムテクノロジーと共催で「ISO22301レベル診断＆解説セミナー」を開き、この中で、参加者に対して自社のBCMSへの取り組み状況をアンケート調査し48社から有効回答を得た。このうち、記事にすることへの承諾を得た36社の回答をまとめた。

内訳は製造業が17社、サービス業が10社、その他9社。組織規模別では従業員1万人以上が6社、1000人以上15社と中堅−上場が半数以上を占めた。

ISO22301は第1章から第10章で構成されるが、このうち要求項目は、4章（組織の状況）から10章（改善）で、この中に組織が具体的にすべき事項がまとめられている。それぞれの項目をP（計画）、D（実行）、C（評価）、A（改善）にあてはめると、4章∼7章が計画に該当し、章が実行、章が評価、8910章が改善となる（上図表）。

調査は、これらの要求項目に基づいて、取り組みの可否を判断するため、54の質問について、「できている」「一部だけできている」「できていない」などをチェックシートに記入してもらう方法で行った。

目的・目標がないから評価ができない

結果は、第9章（評価）と、第10章（改善）に該当する質問について、ほとんどの企業で取り組まれていない傾向が顕著に表れた。その要因として、4章から第7章の計画策定の段階においても、第BCMSの目的や目標がしっかりと定義されていないこと、利害関係者が明確になっておらずニーズが完全に把握できていないこと、リスクの許容基準や許容可能レベルがトップによって定められていないこと、誰がいつまでに何をするのかなど達成計画やBCMSに必要な資源が明確になっていないこと、などの課題があることもわかった。

また、BCPやBCMSで最も重要とされる教育や訓練についても大半が目標などを決めて取り組んでいない実態も浮かび上がった。なお、回答企業の8割以上が、「BCP策定には取り組み済み」と答えている。

■第4章組織の状況
ISO22301の第4章は、4.1）組織とその状況の理解、4.2）利害関係者のニーズおよび期待の理解、4.3）マネジメントシステムの適用範囲の決定、4.4）事業継続マネジメントシステムで構成されている。

調査では、計6問から各組織の取り組み状況を質問。このうち、自組織の活動、「機能、サービス、製品、取引先、利害関係者との関係、および業務の中断の影響が明確になっているか」との問いには、「関係や中断による影響を明確にしている」（できている）との回答は25％にとどまり、「一部の関係先や中断の影響は把握しているが、全体はわからない」が72.2％と大半を占めた。「影響がわからない」2.8％もあった。

「自組織の目的、およびBCMSの目的が定義されているか」との問いには、「定義されている」が33.3％で、「組織の目的は決まっているが、BCMSの目的が明確に決められていない」47.2％と最多。が「事業継続の目的はまだない」も19.4％あった。

「BCMSに関連のある利害関係者の明確化、および利害関係者のニーズや期待を理解しているか」との問いには、「完全に把握していない」との回答は約8割にのぼった。

■第5章リーダーシップ
第5章は、5.1）リーダーシップおよびコミットメント、5.2）経営者のコミットメント、5.3）方針、5.4）組織の役割、責任および権限で構成される。

調査では全3問を質問。このうち、「経営者はリスク許容基準およびリスク許容可能レベルを定めているか」との問いに対しては、「経営者が定めている」との回答は16.7％にとどまり、「経営者ではなくBCMS実務担当者で定めている」が41.7％、「リスク許容基準について定められたものはない」も41.7％を占め、トップのコミットメントがされていない状況が浮き彫りになった（グラフ1）。

■第6章計画
第6章は6.1）リスクおよび機会に対応するための処置、6.2）事業継続目的および達成計画で構成される。調査では全4問を質問。

「会社の被災を考えた時、地震にとらわれず、会社が直面するリスクを考慮した上でリスクを決定しているか」との問いには「地震以外のリスクについても検討した上でリスクを決定している」が55.6％で、「地震以外のリスクについては検討していない」（38.9％）を上回った。日本では地震だけを想定してBCPを策定している企業が多いように思われるが、回答企業が比較的大企業が多かったことに加え、森氏は「過去にパンデミックがあったためではないか」と推測している。

ただ、リスク評価については「リスクや機会に対応する処置および処置の有効性評価が含まれているか」との問いに「有効性まで評価して計画を立てている」との回答はわずか2.9％にとどまったことから、損失の影響度やリスクの発生頻度などまで考慮したリスク評価体制はできていると言えそうもない。

また、「事業継続の目的を達成するために、誰がいつまでにどのような資源を使って実施する等の達成計画が作られているか」との問いには「目的はあるが、達成計画は決められてない」との回答が50％を占め、こうしたことが、評価のできない直接的な原因となっていることが推測される（グラフ2）。

■第７章支援
第７章は7.1）資源、7.2）力量、7.3）認識、7.4）コミュニケーション、7.5）文書化した情報で構成される。調査では全10問を質問。

まず、「BCMSに必要な資源について明確になっているか」との問いには「人員や施設、技術などの資源が明確になっていて提供されている」が33.3％にとどまり、「一部の資源は明確になっているが全体では明確になっていない」が55.6％、さらに「資源が明確にされていない」も11.1％あった（グラフ3）。「サーバ、システムなどの重要機器の復旧手順は明文化され、共有されているか」との問いもほぼ同じ傾向。

力量については「BCMS要員に必要な力量を定め、要員への教育や訓練を行っているか」との問いに、「教育や訓練を行っている」はわずか13.9％にとどまり、「一部の要員に対してのみ行っていて、すべての要員ではない」が47.2％、さらに「事業継続教育や訓練は行っていない」38.9％もあったが（グラフ4）。

認識については「従業員が事業継続方針やインシデント発生時の役割について認識しているか」については、「認識している」が19.4％にとどまり、「一部の従業員のみが認識している」が69.4％と大幅に上回った。

コミュニケーションについては、インシデント発生時のリスクコミュニケーションについて聞いたところ、「連絡手段が決められている」（47.2％）との回答と、「一部だけ決められている」（50％）との回答がほぼ同じ割合を占めた。

定期的な演習が行われていない

■第８章運用
第８章は、マネジメントシステムの中で、BCPの策定と維持・管理について示した最も重要とされる部分。ISO22301が組織全体としてのPDCAのマネジメントサイクルを示しているのに対して、BCPそのものについてのマネジメントサイクルの必要性を説いている。そのため、他の章と似たような要求事項が時折目につくのが特徴だ。小項目の構成は、8.1）運用の計画および管理、8.2）事業影響度分析およびリスクアセスメント）8.3）、事業継続戦略、8.4）事業継続手順の確立および導入、8.5）演習および試験の実施、となっている。

調査では、全14問について質問。このうち、事業継続戦略や手順については、比較的理解がされ、取り組みも進んでいる傾向が明らかになった。理由について調査に協力したNECシステムテクのロジーの森氏は、「これまで、内閣府などで示されているさまざまなガイドラインでもこの部分については手厚く書かれているためではないか」と推測する。ただし、第７章までの傾向と同様に、明確な計画の策定や、継続的な取り組み、組織外との連携といった項目については、道半ばと言わざるを得ない。

具体的には「BCMS運用に必要な要求事項は、計画的に管理され、運用されているか」との問いでは「必要な事項が決められ、管理運用されている」は25％にとどまり、「一部の事項についてのみ明確になっているが完全でない」「運用のための必要事項が不明確」を足した回答が７割以上を占める。

サプライヤーとの関係についての問いでは、「関係を調査した上で事業停止時の影響を評価している」は30.6％で、「一部のサプライヤーのみについて評価している」「サプライヤーの関係は把握しているが影響は考慮していない」をあわせると7割近い。

また、リスクアセスメントについての問いでも、第６章での質問結果で、リスクの評価体制が不十分という回答結果とほぼ同じで、「リスクの決定方法やリスクへのアプローチ方法が明確に決められている」は22.2％にとどまった。

最も懸念される傾向が示されたのが、演習だ。

「BCMSの達成目標に合致した演習および試験を実施しているか」との問いに、「評価のために定期的に訓練している」との回答はわずか25％で、「演習・試験・訓練は実施していない」との回答が44.4％で最多となった（グラフ5）。一方、避難訓練・災害対応訓練については、すべての回答企業・団体で取り組まれている。事業継続訓練を実施したことがある企業・団体と比較すると、取り組みには倍近くの開きがあることがわかる（グラフ６）。森氏は「事業継続訓練が実施できていない背景には、事業継続訓練の必要性が認識されていない、BCMSの意識が弱い、訓練を実施するスキルが無いなどの理由があると想定されるが、事業継続訓練は、“評価”を行うポイントの１つであり、BCPが本当に有効なものであるかを確認するためにも確実に行うことが重要である」と話している。

■第9章パフォーマンス評価
■第10章改善
評価、改善については、ほとんどできていると思われる回答は少なかった。

第9章については9.1）監視、測定、分析および評価、9.2）内部監査、9.3）マネジメントレビューで構成される。調査では、「BCMSのパフォーマンス評価」「事業継続手順の評価」「組織改編などの際の評価」「内部監査の有無」「トップマネジメントによるレビュー」の５問を質問。結果は５問ともすべて、「できていない」が「できている」「一部だけ、できている」を超え、最多となった（グラフ7・8）。