BCI GPG を読み解く〜 #5 事業継続プログラムの「適用範囲」を決める（前編） (PP1-2)

PP1 で「事業継続ポリシー」の次に書かれているのは、事業継続プログラムの「適用範囲」（scope）を決めるということです。

なぜこのような事をするかというと、組織の状況によっては、組織全体を事業継続プログラムの適用範囲にするのではなく、組織の一部を除外するか、もしくは組織の中で特定の部分だけを適用範囲とした方が、合理的な場合があるからです。この点については一旦 GPG の内容から離れて、私自身の経験に基づいて補足説明をさせていただきたいと思います。

まず、組織の一部を事業継続プログラムの適用範囲から除外した方が良い場合とは、どのようなものが考えられるでしょうか？

例えば製造業の会社が、社会貢献という意味も含めて美術館や資料館などの文化施設を運営している場合、これらの事業における事業継続という観点での優先度が低ければ、事業継続プログラムの適用範囲から除外した方が合理的です。もちろんこれは、文化施設の運営に関する事業活動が「重要でない」という意味ではありません。平常時には重要な事業であっても、緊急事態における事業継続に関しては優先度が低くなることがよくあります。余談ですが、BCM においてはこのような、平常時の重要性と緊急事態における優先度（もしくは切迫性）とを区別して議論しないと、感情論も入り混じって収拾がつかなくなる場合がありますので、注意が必要です。

また、様々な製品やサービスを提供されている企業において、特定の製品またはサービスに対する事業継続上の要求が、他に比べて明らかに高い場合があります。例えば、ある重要な顧客から、特定の製品の納入に関する事業継続性が要求（もしくは期待）されている場合は、まずその製品に関する事業活動だけを事業継続プログラムの適用範囲として、集中的に取り組むことが合理的かもしれません。

もちろん他の製品に関する事業継続はどうでもいい、という訳ではありません。最初から網羅的な事業継続プログラムとして取り組もうとすると時間がかかるので、まずは特定の製品だけを適用範囲として BCM に取り組み、ある程度めどがたったら適用範囲を徐々に拡大していけばいいのです。

特に、BCM に取り組むのがその組織にとって初めてであれば、いきなり適用範囲を広く設定して BCM に取り組み始めると、大変すぎて途中で頓挫してしまうかもしれません。それよりは、最初は勉強（練習）の意味も含めて適用範囲を小さく設定し、ある程度の試行錯誤もしながら BCM の活動を経験してみて、手法や考え方、コツなどを習得してから適用範囲を拡大したほうが、途中で頓挫するリスクを抑えることができます。

このように様々な理由から、事業継続プログラムの適用範囲を限定する場合が考えられますので、これを関係者間で誤解のないように明確に決めましょう、ということです。

さて、ここから GPG の内容に戻りますが、事業継続プログラムの適用範囲を決める際の一般原則（General Principles）として、次のようなことが列挙されています（要約して意訳してあります）。

a) 事業継続プログラムの適用範囲を明確に定義することによって、事業継続プログラムとそれに関連する活動を、優先順位の高いものに集中させることができ、使用可能な資源（例えば予算など）を有効に使えるようになる。
b) 適用範囲を検討する際には、組織の戦略、目的、文化、事業環境、リスクに対するアプローチを理解する必要がある。
c) コーポレート・ガバナンス、エンタープライズ・リスク・マネジメント（ERM）、セキュリティなど、事業継続に関連する他の分野の担当部門などが早い段階から関与し、重複や競合などの発生を防ぐことが重要である。
d) 外部委託された活動や、製品やサービスのサプライヤーを把握する必要がある。
e) 事業継続プログラムは段階的に導入できるので、最初は組織の中で特定の部分に集中し、後から他の部分に拡張してもよい。このような段階的な導入によって、複雑さやコストを低減できる。

次に、事業継続プログラムの適用範囲を決める際の「概念と前提」（Concepts and Assumptions）として、次のようなことが列挙されています（これらも要約・意訳です）。

i) 事業継続プログラムの適用範囲は、事業継続ライフサイクル（注 1）における「分析」（PP3）、「デザイン」（PP4）、「導入」（PP5）、「妥当性の確認」（PP6）といった段階に進む前に行われるべきであり、あらかじめ設定した間隔で見直しをされるべきである。
ii) 適用範囲は、通常は製品やサービスに関連して決められるが、地理的な場所や事業所によって適用範囲を限定する場合もある。
iii) （上の e) で述べたとおり）初期においては特定の製品やサービスを対象として事業継続プログラムを導入する場合もありうる。ただしその場合、その特定の製品やサービスに関連する全ての活動が適用範囲に含まれるべきである。
iv) もし適用範囲に含まれる製品やサービスの提供に、外部のプロバイダー（業務委託先や IT サービスのプロバイダーなど）が関わっている場合は、そのプロバイダーおよびサプライチェーンも適用範囲に含まれるべきである。
v) プログラムの適用範囲を決める際には、組織に対する最大の被害（damage）、損失（loss）、および途絶（disruption）を考慮することが重要である。また、適用範囲を超えるような事業途絶に対応するための危機管理能力が用意されているか、もしくは開発されることが望ましい。

ここで若干の補足説明をさせていただきます。事業継続においては製品やサービスの提供をどのように継続、もしくは再開させるかということを中心に考えますので、適用範囲を決める際には、複数の製品およびサービスの中で取捨選択することが多くなります。例えばある企業で「製品 A」、「製品 B」、...... というように 10 種類の製品を製造・販売している場合に、製品 A、B、C の 3 製品だけを適用範囲に含める、という決め方があり得ます。

このとき、もし製品 A の製造工程が「工場 X」と「工場 Y」とにまたがっていたとしたら、両工場が適用範囲に含まれるべきです。ただし両工場の中で、製品 E や製品 F など適用範囲に含まれていない製品の製造にしか使われていない施設は、適用範囲に含まなくてよい、ということになります（注 2）。

一方で、外国にある「工場 Z」でも製品 A を製造しているが、国内の工場 X、Y だけ稼働していれば製品 A を製造可能であるという場合は、外国の工場 Z を適用範囲から外しておく、という選択肢もありえます。上の ii) で「地理的な場所や事業所によって適用範囲を限定する場合もある」と書かれているのは、このような場合が想定されていると考えられます。

なお、上の iii) で「ただしその場合、その特定の製品やサービスに関連する全ての活動が適用範囲に含まれるべきである」と書かれているのは、例えば製造業であれば生産部門の業務だけでなく、受注や生産計画、在庫管理、物流、購買、情報システムなど、その製品やサービスを提供するために必要な活動を漏れなく検討すべきだということです（注 3）。

ここで誤解を招きそうなのが上の iv) です。「プロバイダーおよびサプライチェーンも適用範囲に含まれるべき」と書かれていますので、読者の皆様の中には「外部のプロバイダーやサプライチェーンで行われることまで BCP に書かなければならないのか？」と思われた方もおられるかもしれません。しかしながら、ここで言及されているのは「事業継続プログラム」の適用範囲であって「BCP の適用範囲」ではありません。そもそも「プロバイダー」や「サプライチェーン」は外部の方々であり、これらの方々に対して直接指示することはできませんので、一般的には自社の BCP の適用範囲に含めることはできないと考えられます（注 4）。したがって、外部のプロバイダーや、サプライチェーンに含まれているサプライヤー各社に対しては、BCP を作るように要請もしくは依頼をすることになるでしょう。

外部のプロバイダーやサプライヤーを事業継続プログラムの適用範囲に組み込むというのは、具体的には事業影響度分析やリスクアセスメントの対象に含めるとか、プロバイダーやサプライヤーにおける災害対策や BCM への取り組み状況を確認・監査するとか、緊急事態が発生した場合の連絡方法や対応手順などを申し合わせておくとか、合同で演習を行うなどといった方法が考えられます。

以上が事業継続プログラムの適用範囲を決める上での基本的な考え方です。次回は、具体的にどのようなことを検討して適用範囲を決めていくか解説していきます。

［BCI Good Practice Guidelines の入手方法］
BCI の Web サイトから入手できます。BCI 会員であれば PDF にて無償でダウンロードできます。非会員に対しては 30 ポンドで販売されています。詳しくは下記 URL にアクセスしてください。
https://www.thebci.org/training-qualifications/good-practice-guidelines.html

［本稿に関するお問い合わせ］
本稿や GPG の内容、もしくは BCI の活動に関するお問い合わせは、合同会社 Office SRC までご連絡ください。下記 URL の問い合わせフォームからご連絡いただければ幸いです。
http://office-src.com/contact

注 1） 「事業継続ライフサイクル」とは、「#2 GPG の構成」で説明した 6 つの PP で構成される、事業継続プログラムにおける活動サイクルです。

注 2） 実際には、このような線引きを細かくしすぎると複雑になりますので、ある程度大雑把な決め方にしたほうがよいでしょう。

注 3） 一方で内部監査、法務、人事など、その製品やサービスの提供に短期的な影響がない業務に関しては、適用範囲から除外できる可能性が高いと言えます。

注 4） 業務委託先もしくはサプライヤーとの間で何らかの合意ができれば、自社の BCP の中に業務委託先やサプライヤーにおける対応内容を記述することも可能です。