BCI GPG を読み解く〜 #6 事業継続プログラムの「適用範囲」を決める(後編) (PP1-3)
前回の #5 では事業継続プログラムの「適用範囲」の決め方について、その基本的な考え方について解説しましたので、本稿では具体的にどのようなことを検討して適用範囲を決めていくか、という段階に進んでいきたいと思います。
GPG では事業継続プログラムの適用範囲を決めるためのプロセスが示されています。要約すると次のようになります。
上の 1. については、中小企業などでは BCM 担当者(もしくは担当部門)が行うことになると思いますので、適宜省略して構わないものだと思いますが、2. および 3. を見ていただければ、適用範囲を「製品およびサービス」の観点から検討するように書かれていることが分かります。
この「製品およびサービス」(products and services)は前回の記事(#5)でも度々登場しましたが、ISO 22301 で「組織が、その顧客、受領者及び利害関係者に供給する有益な結果」と定義されています(注 1)。もちろん GPG でもこの定義が踏襲されており、次のように例示されています。
「給料の支払い」が「製品およびサービス」として例示されることに違和感を覚える方もおられるかもしれませんが、自社の従業員も BCM で検討すべき「利害関係者」に含まれると考えれば、納得していただけるのではないかと思います(もちろん「給料の支払い」を適用範囲に含めなければならない、と言われている訳ではありません)。
どの製品やサービスを事業継続プログラムの適用範囲に含めるかどうかは、主にそれらの製品やサービスが、組織の収益、レピュテーション(注 2)などへの貢献度合いや、顧客との契約や法令、規制に関する要件などを考慮して決めることになりますが、一方で特定の製品やサービスを明示的に適用範囲から除外することもあります。GPG においては次の 2 つのいずれかに該当するような製品またはサービスは、事業継続プログラムの適用範囲から外すこともありうると述べられています。
ただし、特定の製品やサービスを適用範囲から除外する場合には、その理由も含めて文書化し、トップマネジメントの承認を得る必要があるとされています。
また、適用範囲の検討を具体的に検討する際に使われる可能性のある手法として、GPG では次のような手法が例示されています。
ここで、BIA やリスクアセスメントに言及されていることに驚かれた方もおられるかも知れませんので、この点について補足させていただきます。
実際には BIA やリスクアセスメントは「PP3 Analysis」(分析)で行われますので、初めて BCM に取り組む際に、PP1 の段階で適用範囲を検討するときには、これらの手法は用いられません。しかしながら、どの製品やサービスを事業継続プログラムの適用範囲に含めるか/含めないかを検討する作業は、実は BIA の一部とかなり似ています(注 3)。したがって、以前から BCM に取り組まれていて BIA やリスクアセスメントを既に経験済みの組織であれば、適用範囲の見直し・再検討を実施する際にこれらの手法や分析結果を用いる可能性があります。このような事情から、まだ PP1 であるにもかかわらず、PP3 で実施される BIA やリスクアセスメントがここに書かれているのです。
事業継続プログラムの適用範囲の設定に関する説明は以上です。次回は事業継続に関するガバナンスの確立について解説させていただきます。
(注 1) 定義の説明の部分は ISO 22301 の和訳をベースに制定された JIS Q 22301 の 2013 年版より引用しました。
(注 2) レピュテーション(reputation)は「評判」もしくは「風評」などと訳されることが多いですが、英語圏では人や組織に対する評判、名声、印象、信頼、ネームバリューやブランドイメージなど様々な観点を含む概念として用いられています。単に「評判」などと訳すとニュアンスが変わってしまうため、本稿では無理に日本語の単語をあてずに「レピュテーション」と表記しています。
(注 3) 具体的には PP3 に入ってから改めて解説させていただきますが、BIA の中で「Initial BIA」(初期 BIA)および「Product and Service BIA」(製品・サービス BIA)と呼ばれる段階で行われる作業に似ています。