見出し画像

BCI GPG を読み解く〜 #6 事業継続プログラムの「適用範囲」を決める(後編) (PP1-3)

前回の #5 では事業継続プログラムの「適用範囲」の決め方について、その基本的な考え方について解説しましたので、本稿では具体的にどのようなことを検討して適用範囲を決めていくか、という段階に進んでいきたいと思います。

画像1

GPG では事業継続プログラムの適用範囲を決めるためのプロセスが上の図のように示されています。字が小さくて読みにくいと思いますが、要約すると次のようになります。

1. トップマネジメントに対して、適用範囲に関する助言や提案を行う組織をつくる
2. 関連する製品およびサービスを、適切な詳しさで明確化して文書化する
3. 製品およびサービスの提供、およびそれらに関連する活動に対して求められる要求事項について検討する
4. 情報セキュリティや健康・安全など、関連する他のポリシーによる要求事項を考慮する

上の 1. については、中小企業などでは BCM 担当者(もしくは担当部門)が行うことになると思いますので、適宜省略して構わないものだと思いますが、2. および 3. を見ていただければ、適用範囲を「製品およびサービス」の観点から検討するように書かれていることが分かります。

この「製品およびサービス」(products and services)は前回の記事(#5)でも度々登場しましたが、ISO 22301 で「組織が、その顧客、受領者及び利害関係者に供給する有益な結果」と定義されています(注 1)。もちろん GPG でもこの定義が踏襲されており、次のように例示されています。

- 生産された製品または製品群
- 自動車保険
- 自治体が行うゴミ収集
- 給料の支払い(payroll)
- 流通会社における物流
- 電話によるユーザーサポート

「給料の支払い」が「製品およびサービス」として例示されることに違和感を覚える方もおられるかもしれませんが、自社の従業員も BCM で検討すべき「利害関係者」に含まれると考えれば、納得していただけるのではないかと思います(もちろん「給料の支払い」を適用範囲に含めなければならない、と言われている訳ではありません)。

どの製品やサービスを事業継続プログラムの適用範囲に含めるかどうかは、主にそれらの製品やサービスが、組織の収益、レピュテーション(注 2)などへの貢献度合いや、顧客との契約や法令、規制に関する要件などを考慮して決めることになりますが、一方で特定の製品やサービスを明示的に適用範囲から除外することもあります。GPG においては次の 2 つのいずれかに該当するような製品またはサービスは、事業継続プログラムの適用範囲から外すこともありうると述べられています。

- 製品およびサービスの寿命が終りに近いもの(および、もし事業中断に陥ったら、それを機に提供をやめる可能性があるもの)
- 利益率や取扱量が小さいもの(および、もし事業中断に陥ったら、自社からの提供をやめるか外注する可能性があるもの)

ただし、特定の製品やサービスを適用範囲から除外する場合には、その理由も含めて文書化し、トップマネジメントの承認を得る必要があるとされています。

また、適用範囲の検討を具体的に検討する際に使われる可能性のある手法として、GPG では次のような手法が例示されています。

- 費用便益分析(cost and benefit analysis)
- SWOT 分析
- 規格やガイドラインを拠り所としたベンチマーキング
- 市場分析のテクニック
- 事業影響度分析(BIA)およびリスクアセスメント

ここで、BIA やリスクアセスメントに言及されていることに驚かれた方もおられるかも知れませんので、この点について補足させていただきます。

実際には BIA やリスクアセスメントは「PP3 Analysis」(分析)で行われますので、初めて BCM に取り組む際に、PP1 の段階で適用範囲を検討するときには、これらの手法は用いられません。しかしながら、どの製品やサービスを事業継続プログラムの適用範囲に含めるか/含めないかを検討する作業は、実は BIA の一部とかなり似ています(注 3)。したがって、以前から BCM に取り組まれていて BIA やリスクアセスメントを既に経験済みの組織であれば、適用範囲の見直し・再検討を実施する際にこれらの手法や分析結果を用いる可能性があります。このような事情から、まだ PP1 であるにもかかわらず、PP3 で実施される BIA やリスクアセスメントがここに書かれているのです。

事業継続プログラムの適用範囲の設定に関する説明は以上です。次回は事業継続に関するガバナンスの確立について解説させていただきます。


[BCI Good Practice Guidelines の入手方法]
BCI の Web サイトから入手できます。BCI 会員であれば PDF にて無償でダウンロードできます。非会員に対しては 30 ポンドで販売されています。詳しくは下記 URL にアクセスしてください。
https://www.thebci.org/training-qualifications/good-practice-guidelines.html

[「事業継続マネジメント相談室」のご案内]
BCM に関する知識を深めたり、実践のためのノウハウを身につけたいと思っておられる方々の疑問やお悩みにお答えするためのサークルを開設しております。詳しくは下記 URL をご覧いただき、ご入会をご検討ください。
https://note.com/ktashiro/circle

[本稿に関するお問い合わせ]
本稿や GPG の内容、もしくは BCI の活動に関するお問い合わせは、合同会社 Office SRC までご連絡ください。下記 URL の問い合わせフォームからご連絡いただければ幸いです。
http://office-src.com/contact

(注 1) 定義の説明の部分は ISO 22301 の和訳をベースに制定された JIS Q 22301 の 2013 年版より引用しました。

(注 2) レピュテーション(reputation)は「評判」もしくは「風評」などと訳されることが多いですが、英語圏では人や組織に対する評判、名声、印象、信頼、ネームバリューやブランドイメージなど様々な観点を含む概念として用いられています。単に「評判」などと訳すとニュアンスが変わってしまうため、本稿では無理に日本語の単語をあてずに「レピュテーション」と表記しています。

(注 3) 具体的には PP3 に入ってから改めて解説させていただきますが、BIA の中で「Initial BIA」(初期 BIA)および「Product and Service BIA」(製品・サービス BIA)と呼ばれる段階で行われる作業に似ています。

この記事が気に入ったら、サポートをしてみませんか?
気軽にクリエイターの支援と、記事のオススメができます!
note.user.nickname || note.user.urlname

よろしければサポートをいただければ幸いです。 これからも有益なノウハウをお届けできるよう、再投資に使わせていただきます。

ちょっと内容がマニアックすぎたでしょうか?
2
自動車メーカー、半導体製造装置メーカー勤務を経て、2005年よりインターリスク総研等にて事業継続マネジメント(BCM)や災害対策などに関するコンサルティングに従事した後、2019年に独立。The Business Continuity Institute(BCI)日本支部事務局。

こちらでもピックアップされています

Good Practice Guidelines を読み解く
Good Practice Guidelines を読み解く
  • 7本

事業継続マネジメント(BCM)の分野において世界で最も参照されているガイドラインである、BCI Good Practice Guidelines 2018 年版の内容を、順次解説していきます。

コメントを投稿するには、 ログイン または 会員登録 をする必要があります。