NTTデータ・セキュリティ創立10周年特別コラム情報セキュリティの10大潮流－その5－
～事業継続管理（BCM）～

■■　セキュリティ管理の確立【カテゴリ1】　■■

第5の潮流「事業継続管理（BCM）」

テロや自然災害等の事件・事故が後を絶たない中で、BCM（事業継続管理）への注目が集まっており、事業継続計画（BCP）を策定する組織が増え始めています。またCSR（社会的責任）、SOX法やISMS（情報セキュリティマネージメント）で求められる内部統制の対象としても位置づけられ、各種事業法においてもBCMが求められている状況です。

1. サプライチェーンと事業継続管理

日経新聞によると、四川大地震では、操業停止に追い込まれた現地企業（国有企業または年商500万元以上の一般企業）のうち、27％に相当する1,482社は、1ヶ月余り経過した時点でも生産を再開できずにいたということです。このうち24％は、稼働再開まで3ヶ月以上かかる見通しだと報じていました。また2007年7月に発生した新潟県中越沖地震では、自動車部品の分野で高いシェアを持つリケンが被災し、業務が停止しました。このリケンの業務停止は、自動車の生産にかつてないほどの大きな支障を与え、国内自動車メーカーの生産遅れは10万台以上になり、遅れを取り戻すまでに数ヶ月を要したと言われています。
これらの大きな災害の経験を通じて、事業継続の実現にはサプライチェーン全体で考える必要があるということを改めて示しました。最近では、サプライチェーンなどで企業同士の連携が増えており、特に海外との取引がある場合、海外企業が事業継続管理（BCM）の整備レベルを取引条件にするところも出てきているようです。すなわち、企業の事業継続対策には、自社だけではなく、自社の業務委託先や取引先など幅広い組織を対象とすることが重要になってきているといえます。

2. 規格・ガイドライン策定と標準化の動き

BCMが求められてきている中で、BCMに関する議論や認定制度、BCM構築支援サービスの提供等に係わる動きが急速に活発化しています。一方、行政府によるガイドラインも公表され、国際標準化についても国際標準化機構（ISO：International Organization for Standardization）で議論が進められています。

＜諸外国の状況＞

• 2002年に英国規格協会（BSI：British Standards Institution）がBCMの一般仕様として「PAS56」（Publicly Available Specification 56：英国国家規格の前段階）を策定し、次いで英国規格としてBS25999が発行されました。
• 米国では、2001年9月11日の同時多発テロ以降、度重なるテロリストからのテロ予告に加え、ハリケーン・カトリーナなどの天災により大きな被害を受けたため、米国政府はBCPやDR（Disaster Recovery：災害復旧）の重要性を認識して、2004年にNFPA（National Fire Protection Association）が「NFPA1600」を策定しました。
• 日本では、内閣府が従来の危機管理計画とは異なり、企業活動の阻害要因を体系的に整理し、影響度分析を通じたBCPの策定方法等、BCMに係わるガイドラインを国際規格化の動きを視野に入れながら策定し2005年に公開しています<*1>。経済産業省では、ITに焦点を当てた検討が進められ、企業をはじめとするユーザ組織を念頭に、実施策等を具体化したITサービス継続性管理（ITSCM:：IT Service Continuity Management）のガイドラインを策定し、2008年に公表しました<*2>。 総務省では地方公共団体におけるICT部門のBCP策定に関するガイドラインを2008年に公表し、自治体でも本格的な取り組みが始まっています<*3>。
  さらにサプライチェーンに関連する企業まで、その安全性確保が全体の事業継続にとって必要になってくるということから、中小企業へのBCP（緊急時企業存続計画または事業継続計画)の普及を促進することを目的として中小企業BCP策定運用指針<＊4>を作成しました。指針には中小企業の特性や実状に基づいたBCPの策定及び継続的な運用の具体的方法が、分かり易く説明されています。さらに国土交通省では、2009年に中小の建設会社を対象とした事業継続計画（BCP）の認定制度を創設し、2010年度からは政府調達の条件に認定取得を加える方針だとしています。　

<*1>（内閣府）民間と市場の力を活かした防災力向上に関する専門調査会
http://www.bousai.go.jp/MinkanToShijyou/index.html
　　・事業継続ガイドライン（PDF）
　　http://www.bousai.go.jp/MinkanToShijyou/guideline01.pdf
<*2>（経済産業省）「ＩＴサービス継続ガイドライン」の公表について
http://www.meti.go.jp/press/20080903001/20080903001.html
　　・ITサービス継続性管理のガイドライン（PDF）
　　http://www.meti.go.jp/press/20080903001/02_it_gl.pdf
<*3>（総務省）「地方公共団体におけるICT部門の業務継続計画（BCP）策定に関するガイドライン」（PDF）
http://www.soumu.go.jp/menu_news/s-news/2008/pdf/080821_3_bt1.pdf
<*4>（中小企業庁）中小企業庁のBCP策定運用指針
http://www.chusho.meti.go.jp/bcp/index.html

3. BCM普及の状況

(1) 日本における普及の状況

日本では、金融機関におけるBCP整備率が高いようです。日銀が2008年10月から11月にかけて実施した「業務継続体制の整備状況に関するアンケート調査」（第4回）の報告によると、業務継続体制整備は引き続き着実に進展しており、全社的な業務継続体制を「整備済みで、定期的に見直し」と回答した先は、全体の約9割に達しているということです（内閣府を始めとした調査では日本のBCO整備率はせいぜい20％から30％）。
ただし、問題点も顕在化しているようで、バックアップシステムの立ち上げに関わるデータの取得などについて具体的な復旧手順を定めていなかったり、バックアップシステムから従前のシステムへの復旧（切戻し）について所用準備時間を見積もっていないなどの課題も浮き彫りになっています。日銀では、ストリートワイド訓練（実際に近い形で実地訓練をするもの）を予定しているようです。

(2) 米国におけるBCMの動向

米国では、以前からBCMへの取り組みが活発に進められており、特に9．11のテロや大型ハリケーンによる被害の発生を契機にBCP策定が進んでいるようです。流通業界を代表するウォルマートでは数百のサプライヤーに対しBCPの構築を要請、フォーマットの提供と共同訓練を実施しています。また、金融機関はBCP作成が必須条件になっており、メリルリンチは既に取引企業にBCP取得を要求しています。自動車業界では、安定かつ継続的な製品納入が強く求められており、業界ガイドラインに沿ったBCM構築が進んでいます。

4. 新型インフルエンザ対応事業継続管理

新型インフルエンザが世界的に大流行していますが、感染症の世界的大流行は長期的に段階を追って深刻化する性格をもっていることから、従来のBCM手法とは異なる対応が必要になります。特に不必要な動員が感染を広げることから、人的リソースの管理に焦点を当てた戦略が求められます。米国等の諸外国では、日本に先んじて以前より対策を講じており、大規模な訓練（ストリートワード訓練と呼んでいる）も実施されています。