セキュリティ対策コラム事業継続管理（BCM）が本格始動へ＜第1回＞

（1）内部統制とBCM

SOX法や新会社法等に見られるように、企業に対して内部統制による適正な企業活動や社会的責任（CSR）が今日強く求められています。また、情報セキュリティの観点からも、ISMS（Information Security Management System）で事業継続を求めています。こうした動きを背景に、先進的な企業を中心として、BCMをより積極的にとらえ、事業回復力（レジリエンシー）の早期整備を競争要因とするようになってきました。

（2）サプライチェーンとBCM

日経新聞によると、四川大地震では、操業停止に追い込まれた現地企業（国有企業または年商500万元以上の一般企業）のうち、27％に相当する1482社は、1ヶ月余り経過した時点でも生産を再開できずにいる。このうち24％は、稼働再開まで3カ月以上かかる見通しだと報じていました。
また、2007年7月に発生した新潟県中越沖地震では、自動車部品の分野で高いシェアを持つリケンが被災し、業務が停止しました。リケンの業務停止は、自動車メーカーに大きな打撃を与えました。この例では事業継続を実現するためには、サプライチェーン全体で考える必要があるということを示しています。　結局、リケンの操業停止により、国内自動車メーカーの生産の遅れは、10万台以上になり、この遅れを取り戻すまでに数カ月を要したと言われています。 最近では、サプライチェーンなどで企業同士連携が増えており、特に海外との取引がある場合、海外企業がBCMの整備レベルを取引条件にし始めています。

BCMが求められてきている中で、BCMに関する議論や認定制度、BCM構築支援サービスの提供等に係わる動きが急速に活発になっています。一方、行政府によるガイドラインも公表され、国際標準化についても国際標準化機構（ISO：International Organization for Standardization）で議論が進められています。

＜諸外国の状況＞

◆2002年に英国規格協会（BSI：British Standards Institution）がBCMの一般仕様として「PAS56」（Publicly Available Specification 56：英国国家規格の前段階）を策定し、次いで英国規格としてBS25999が発行されました。BS25999は2部で構成されており、BS25999 Part1は、事業継続管理のための実践規範でありガイドラインにあたります。BS25999 Part2は事業継続管理のための仕様で、事業継続マネジメントシステム（BCMS）の要求事項を詳述しています。Part2は、パートナー企業やサプライヤーの適切なBCMの整備を確認できるように第三者認証用規格として発行されました。BS25999 Part2の審査プロセスと認証により、組織は規格要求事項への準拠とBCMのベストプラクティスの実践を外部にアピールすることができるようになります。

◆米国では、2001年9月11日の同時多発テロ以降、度重なるテロリストからのテロ予告に加え、ハリケーン・カトリーナなどの天災による被害を受け、米国政府は、BCPやDR（Disaster Recovery：災害復旧）の重要性を認識して、2004年にNFPA（National Fire Protection Association）が「NFPA1600」を策定しました。次章では米国でのBCM進展状況を紹介します。

◆日本では、内閣府が従来の危機管理計画とは異なり、企業活動の阻害要因を体系的に整理し、影響度分析を通じたBCPの策定方法等、BCMに係わるガイドラインを国際規格化の動きを視野に入れながら策定し2005年に公開しています。
　（http://www.bousai.go.jp/MinkanToShijyou/guideline01.pdf）
さらに経済産業省では、ITに焦点を当てた検討が進められ、企業をはじめとするユーザ組織を念頭に、実施策等を具体化したITサービス継続性管理 （ITSCM:：IT Service Continuity Management）のガイドラインを策定し、2008年に公表しました。
　（http://www.meti.go.jp/press/20080903001/02_it_gl.pdf）
総務省では地方公共団体におけるICT部門のBCP策定に関するガイドラインを2008年に公表し、自治体でも本格的な取り組みが始まっています。
　（http://www.soumu.go.jp/s-news/2008/080821_3.html）

＜国際標準化の状況＞

危機管理体制（Emergency　Preparedness）に関する国際規格化を議論する国際会議が2006年に開催され、米国、カナダ（NFPA1600）、英国（BS25999）、オーストラリア（HB221）、イスラエルと日本からそれぞれ提出されたドラフトをベースとして検討が進んでおり、2009年には国際標準化（ISO化）されると見込まれています。

米国投資銀行のメリルリンチでは、9．11テロに見舞われましたが、BCPを既に作成し、事件前の5月に本社機能停止に備えた2日間におよぶ全社大規模模擬訓練実施していたことから、テロの際には指令センターの立ち上げや従業員避難行動が極めて円滑に実現できたようです。その結果、攻撃翌日には公債市場を再開したとのことです。

＜BCMに係る法制度策定が進展＞

米国では、9.11以後BCMが特に注目されようになり､2004年までに関連して制定された法律は30を越えているようです。ニューヨーク証券取引所は、BCPの策定と1年ごとのレビューを求め、医療関係の個人情報保護規定を含むHIPPA（Health Insurance　Portability and Accountability Act），政府のセキュリティ対策規定であるFISMA（Federal Information Security Management Act），電気供給に関わるNERC（North American Electric Reliability Council），通信法などさまざまな法律や規則でBCPの策定が求められています。

＜サプライヤーに対するBCPの構築要請＞

前述の中越地震の自動車部品製造企業の例にもありましたように、今日ではBCMがSCM（サプライチェーンマネージメント）構築に不可欠なものになっています。サプライヤーとの取引契約書の中には、BCP構築が条件として含まれることが多くなってきており、ウォルマートは400余りのサプライヤーに対しBCPの構築を要請し、フォーマットの提供と共同訓練を実施しています。金融機関はBCP作成が必須条件になっており、メリルリンチは既に取引企業にBCP取得を要求しているようです。