第38回
企業のBCP対策【第2回 BCP対策の手順】
株式会社TMR 執筆
1. BCP策定で検討すべきこと
2. 計画後に実施する事前対策
3. 情報リスクを意識したBCP策定
前回は、BCP対策の必要性や企業の対策状況などについてお話しました。特に初動対応により、その後の結果が大きく変わることなどをお話しましたが、初動対応からより適切な対応を行うためには、形式的な対応策ではなく、いざという時にすぐに動ける体制づくりが大切です。
今回はBCP策定を行うために検討しなければならないことや手順について、お話させていただきたいと思います。
1.BCP策定で検討すべきこと
BCP策定を行う際に検討しなければならないこととして、まずリスクの想定があります。自然災害の他、感染症の罹患やサイバー攻撃なども加味しておくことが推奨されています。次にそのリスクに対して、被害を最小限に抑えるための事前対応、発生してしまった場合に早期復旧するための緊急時の対応となります。これらを明文化し、運用することで経営として有効な「事業継続計画(BCP)」となります。
①基本的なリスク対策
例えば、地震を想定した場合、事前対応として設備の固定や避難路の確保、事後の対応として従業員の安否確認など、基本的なリスク対策を行い、発生時にスムーズに実施できる状態となっていることが非常に大切です。
これらの基本的なリスク対策は、伝達経路や役割分担など、BCP対策以外のリスク対策とも関連させ、リスクマネジメントの一つとして検討することで、効率よく、効果的な対策が行えます。また、緊急時対応訓練を毎年実施し、定期的に内容を見直すなど、継続的な対策を含めることも重要です。その際、準備した備蓄品、防災用品などの所在・装備などを確認します。
②具体的な計画とするためのBIA(ビジネスインパクト分析)
災害発生時に企業活動を継続させるためには、優先する事業を定め、その事業を集中的にカバーできる体制や、早期復旧できる体制を検討する必要があります。そこで、有力な指針となるのがBIA(ビジネスインパクト分析)です。
BIAとは、災害などの様々なインシデントにより企業活動が停止した際に受ける影響を評価する分析で、この分析を行うことにより、事業継続可能な復旧猶予として設定された最大許容停止時間などに照らし、停止した際の企業活動継続への影響やその企業にとって重要な中核事業が再稼働するのに必要な復旧優先順位、目標復旧時間、目標復旧レベルや、それらに必要となるリソースなどを具体的に策定することができます。
目標復旧時間を短く設定すると、人的リソースやインフラ投資のコストが上がりますので、適正な時間を設定する必要があります。加えて、目標復旧レベルはインシデント発生前のレベルにまで戻すことが本当に必要なのかなど、検討する余地があります。こういった検討を行い計画することで、不測の事態に対処できるだけでなく、本当に強い企業となり、金融機関の信頼を得ることや各種保険料の軽減にも繋がる可能性があります。
2. 計画後に実施する事前対策
計画を行った後、計画に基づき実施する事前対策として、ハード面での対策とソフト面での対策、それに加え代替資源の確保があります。
①ハード面の対策とソフト面の対策
・ハード面での対策例
施設の分散、施設耐震化、棚や機械の固定、防災用具準備等
・ソフト面での対策例
避難計画、従業員リスト、従業員教育、ハザードマップおよび避難場所の確認
例えば地震を想定した場合、ハード面ではデータサーバーを複数拠点に分散することや、自社ビルの耐震強化工事を行うなど、コストや時間を要するものも多いため投資計画も含めた検討が必要です。
ソフト面での対策については、環境や状況の変化に応じる必要があるため、定期的な内容見直しや定期的な教育を計画に含むことが重要です。
②代替資源の確保
・ 拠点および施設、設備
現在の役割が担えなくなった場合に代替できる場所を考えておく必要があります。設備については、スペアを確保するなどの他、同業者に代替生産を依頼できる関係を作っておくことなども有効です。
・ 取引先
自社の事業継続が困難な状況だけでなく、取引先が事業継続困難な場合も想定する必要があり、取引先の支援活動や代替流通網を検討しておくことも大切です。
③その他の重要な対策
・ 従業員
安否確認のシステム導入や連絡網の整備、従業員に緊急時対応の教育を行う他、臨時雇用や協力会社への依頼など、業務復旧に必要な人的資源の確保ができるようにしておきます。
・ 資金
損害保険への加入や災害時など、緊急時の貸付制度の把握、手元資金の確保などを行い緊急時に備えます。
・ 通信手段・インフラ
電話、メール、インターネットなどの複数の通信手段の用意に加え、蓄電や2系統電力などによる電力確保や水の備蓄などのインフラ対策を行います。
・ 情報類
データのバックアップは、クラウドサーバーの利用や、CD媒体、紙媒体で定期的にバックアップすることが必要です。情報のバックアップの頻度は、どの時点に戻すのかという目標復旧時点の検討結果により設定します。
紙媒体は自然災害に弱いが、サイバー攻撃には強いなど、情報の内容や想定されるリスクに応じた対策を行います。
3.情報リスクを意識したBCP策定
BCP策定は、特に日本では予期せぬ災害対策という印象が強いのですが、現代は予期せぬサイバー攻撃などの情報セキュリティ対策が企業のリスク対策として非常に重要となっており、BCP策定にもサイバー対策を含めることが推奨されています。
サーバーの停止やシステムの停止、情報漏えいなどをリスクとして想定し、災害対策と合わせて事前対策や復旧対策を行っておくことで、効率よく対策が行えます。また、サイバー対策については、攻撃方法や攻撃内容の変化が早いため、見直しの頻度にも注意が必要です。
そして、もし万が一発生してしまった後の対策として、それにより発生した損害費用をカバーするためのサイバー保険への加入も有効です。
BCP対策が事業継続のための早期復旧に主眼を置いたものであるのに対し、リスクマネジメントでは、未然防止や被害抑制に主眼を置いています。その特性を十分に理解し、BCP対策だけで検討するのではなく、リスクマネジメントや内部統制と関連させて対策を行うことで、教育や訓練、組織体制など、より総合的な対策を行うことができると考えられます。
株式会社TMRでは、リスクマネジメント体制の構築支援を行っています。組織体制の最適化支援や内部通報制度、従業員研修による意識改革など、独自のノウハウと豊富な実績を元に効果的な支援を行っています。また、内部統制の運用支援も行っており、踏み込んだ内部監査サポートなど、企業の強みを損なわないことを視野に入れた客観的・多角的な第三者のセカンドオピニオンとしてアドバイスを行うことも可能です。
※転載元 株式会社TMR お役立ち情報「企業のBCP対策 第2回 BCP対策の手順」
プロフィール
株式会社TMRはビジネスにおけるあらゆるリスク対応を支援し、企業価値の向上を全力でサポートします。
・信用を第一に「誠意」「正確」「迅速」をモットーにご納得いただくまで親身にご説明いたします。
・マスコミや弁護士事務所、警察関連組織などへの調査協力も行っており、法令遵守で調査情報の秘密厳守、社会正義に即した調査を行います。
・ISO27001認証を取得しており、調査後の調査資料の廃棄に至るまで厳格に管理しています。
取引先や社員、株主などを対象に「反社会的勢力」との関係をチェックします。情報収集と収集した情報の蓄積を行い、独自でデータベースを構築し、情報利用についても熟知しているため、安心してお任せいただけます。
■信用調査
企業の与信調査(不動産や資産など)から採用時の個人 調査、その他、長年のノウハウを活用したきめの細かい各種信用調査を行います。
与信調査・不動産・資産・債権保全・信用調査・採用 入居者審査・身元調査・市場調査・各種マーケティングリサーチ・テナント調査・身元調査・訴訟関連・債権関連など
ISMS認証のノウハウを活用した情報セキュリティ対策支援やネット風評対策、ハラスメント対策などの企業のリスク対策のほか、盗聴対策などの個人向けの対策を含め、あらゆるリスク対策について対応可能です。
企業リスク対策(情報セキュリティ、情報漏洩等)・ネット風評対策・ハラスメント対策・各種相談窓口開設(コールセンター、内部告発等)・その他 盗聴対策、各種セミナー開催など
Webサイト:株式会社TMR
- 第44回 雇用リスクとは?【第1回 安全配慮義務の対策】
- 第43回 経営者リスクとは?
- 第42回 海外取引のリスク【第2回 海外取引におけるリスクマネジメント】
- 第41回 海外取引のリスク【第1回 海外取引における信用調査の重要性】
- 第40回 営業秘密の保護
- 第39回 業務上横領にはどう対応すべきか
- 第38回 企業のBCP対策【第2回 BCP対策の手順】
- 第37回 企業のBCP対策【第1回 BCP対策の状況】
- 第36回 企業不祥事の要因【第2回 自動車開発の不正認証取得事例から見る改善ポイント】
- 第35回 企業不祥事の要因【第1回 自動車関連企業の不正】
- 第34回 企業が行うべきリスクヘッジ【第4回 盗聴・盗撮から企業を守るためのリスクヘッジ】
- 第33回 企業が行うべきリスクヘッジ【第3回 情報漏えいのリスクヘッジ】
- 第32回 企業が行うべきリスクヘッジ【第2回 リスクヘッジの取り組み方】
- 第31回 企業が行うべきリスクヘッジ【第1回 リスクヘッジ能力の高い人材の確保と育成】
- 第30回 職場の心理的安全性
- 第29回 注意義務となっている反社チェック
- 第28回 投資先、出資先とのトラブル未然防止と発生後の対処
- 第27回 企業が行うべき反社チェックとは
- 第26回 企業におけるハラスメント 【第4回 企業間で発生するカスタマーハラスメント(カスハラ)とその対応】
- 第25回 企業におけるハラスメント【第3回 カスタマーハラスメントへの対応】
- 第24回 企業におけるハラスメント【第2回 パワーハラスメントの分類と事例】
- 第23回 企業におけるハラスメント【第1回パワーハラスメントがもたらす企業リスク】
- 第22回 企業のリスクマネジメントとして行う素行調査の有効性
- 第21回 反社チェックのポイント(採用編)
- 第20回 採用リスクを回避するバックグラウンドチェック(経歴調査)とは
- 第19回 個人情報との向き合い方【第2回 情報が流出する原因とリスクマネジメント】
- 第18回 個人情報との向き合い方【第1回 個人情報の背景と現在】
- 第17回 外部専門会社を活用した前職調査や身元調査で明らかになるネガティブ情報とは
- 第16回 資金調達における反社会的勢力の規制への対応について
- 第15回 倒産リスクのシグナルを読み取る必要性とポイント
- 第14回 顧客満足度を向上させるための相談窓口の設置
- 第13回 信用取引において必要不可欠な与信管理とは
- 第12回 オンライン面接へシフトする採用市場における調査専門会社の活用
- 第11回 採用時にネガティブ情報をつきとめるバックグラウンドチェック
- 第10回 企業の社会的責任として求められる、組織全体で行う反社対策
- 第9回 自社の内部統制は本当に機能していますか? 【第3回 内部統制の効果的な運用】
- 第8回 自社の内部統制は本当に機能していますか? 【第2回 内部統制の体制づくり】
- 第7回 自社の内部統制は本当に機能していますか? 【第1回 内部統制とは?】
- 第6回 不良債権リスクの高まりでより必要不可欠となる与信管理
- 第5回 コロナ禍の資金調達難に付け入る反社や黒社会の融資や買収の危険性
- 第4回 アリバイ会社との取引が懸念される場合の企業調査対策とは
- 第3回 採用調査で重要性が増しているリファレンスチェック
- 第2回 ビジネス取引において実施される信用調査とは
- 第1回 貸し倒れリスクを回避するための債権回収の対策