(出所)BCI / Continuity and Resilience Report 2018

事業継続マネジメント(BCM)の専門家や実務者による非営利団体である BCI(注1)は2018年11月に新しい調査報告書「Continuity and Resilience Report 2018」(以下「本報告書」と略記)を発表した。これは事業継続に関連する分野である情報セキュリティ、リスクマネジメント、物理的セキュリティ(physical security)といった分野との関係を通じてBCMの役割を明らかにすることを意図してまとめられたものである。本稿では本報告書の中から、前述の各分野の担当部門との協働に関する部分をピックアップして紹介する。

なお過去に本連載で紹介させていただいたBCIによる他の調査報告書と同様、調査対象が主にBCIの会員であるため、回答者のプロフィールが特定の地域や業種に偏っている。したがって本稿についてもそのような偏りがあることを念頭に置いてお読みいただければと思う。詳細は注釈をご参照いただきたい(注2)。

図1は災害をもたらす様々な事象に対してどのような部門が関わっているかを尋ねた結果である(注3)。物理的セキュリティや情報セキュリティ(サイバー攻撃や情報漏えいなどが含まれる)については、ある程度の規模の組織であれば担当部門(または担当者)を置いていることが多く、それらの業務範囲もある程度明確になっているので、これらの事象に関しては当然ながら担当部門がトップに挙げられているが、これらを含めてどの事象を見ても、BCM 担当部門が関与しているという回答が2割前後含まれている(注4)。

図1. 災害をもたらす様々な事象に対してどのような部門が関わっているかを尋ねた結果(複数回答):左上から順に悪天候(severe weather)、物理的セキュリティ(physical security)、サイバー攻撃や顧客情報の漏洩(cyber attack or customer data breach)、感染症の大流行(pandemics, disease outbreak)(出所)BCI / Continuity and Resilience Report 2018

図1に示されている事象はいずれも結果として事業中断に繋がりかねないので、これら全ての事象に対してBCM担当部門が関与するのは当然であろうが、あらためてこのようなデータが示されることによって、BCM担当部門が他の担当部門や専門家と密接に連携すべき必要性が視覚的にもわかりやすくなっていると言えるであろう。

また何らかの緊急事態が発生した場合、発生した事象に応じて複数の部門や専門家などの協働が必要となるため、緊急事態対応に必要な情報や資源管理を集中させる体制を取られることがある。そのような体制の名称は個々の組織によって様々であるが、本報告書では便宜上これらを「統合センター(fusion centre)」と総称している。図2はそのような統合センターの設置状況を尋ねたものである。回答者の30%が既に統合センターを設置済みであり、8%が今後12カ月以内に、6%が今後12〜24カ月の間に準備する予定であると回答している。

図2.統合センター(fusion centre)の設置状況 (出所)BCI / Continuity and Resilience Report 2018

なお図は省略させていただくが、このような他の分野の担当部門や専門家との協働を推進するために行われている施策としては、計画の統合(75%)、緊急事態対応後のふり返り(post-incident briefing)の実施(68%)、リスクや脅威のアセスメント結果の共有(65%)、合同演習(60%)などが挙げられている(複数回答)。現在BCMに携わっておられる方々が本報告書をお読みになり、海外の BCM関係者の多くが実践していることや今後のトレンドを掴んでいただくと、BCMの活動をより深化させたり活動の幅を広げるヒントが得られるのではないかと思う。

■報告書本文の入手先(PDF32ページ/約2.4MB)
https://www.thebci.org/news/first-bci-continuity-and-resilience-report-2018.html

注1)BCIとは The Business Continuity Institute の略で、BCMの普及啓発を推進している国際的な非営利団体。1994年に設立され、英国を本拠地として、世界100カ国以上に8000名以上の会員を擁する。http://www.thebci.org/

注2)全回答者853人のうち欧州からの回答が43%を占める。次いで22%が北米、11%がアジアからの回答となっている。回答者が所属する組織の業種は多い順に金融・保険(27%)、弁護士やコンサルタントなどの専門的サービス(16%)、IT・通信(11%)となっており、製造業からの回答は5% しかない。なお回答者の主な役割は事業継続(52%)、リスクマネジメント(12%)、IT災害復旧/ITサービス継続(6%)、危機管理(3%)などとなっている。

注3) 本報告書において「organizational functions」(組織の機能)と表記されているが、本稿ではこれを便宜上「部門」または「担当部門」と表記している。

注4) 前述(注2)のとおり回答者の半数がBCM関係者であることも影響しているであろう。

(了)