BCI GPG を読み解く〜 #4 「事業継続ポリシー」を決める (PP1-1)

（2024/11/16 追記）
この記事は 2018 年版に基づいて書かれています。近日中に現行最新版の Edition 7.0 に合わせて修正します。

本稿からいよいよ GPG の本体の説明に入っていきます。

最初のセクションには「PP1 Policy and Programme Management」というタイトルがついています。「PP」とは既に「#2 GPG の構成」で述べたとおり、GPG を構成する 6 つの実践領域のことです。その 1 つめで説明されているのは、組織として事業継続マネジメント（BCM）に取り組んでいく上での「ポリシー」と「プログラム」をどのように構成し、運用していくのかという内容です（注 1）。

そして PP1 の冒頭は「Establishing the Business Continuity Policy」、つまり事業継続に関する「ポリシー」を作る、ということから始まります。ここで「policy」の訳として、まず思い浮かぶのは「方針」ではないかと思います。実際に国際規格 ISO 22301 を和訳して作られた日本産業規格 JIS Q 22301 でも、「business continuity policy」は「事業継続方針」と訳されています。

しかしながら、ここではあえて「方針」と訳さずに「ポリシー」と呼ぶことをお勧めしたいと思います。その理由はこれから説明させていただきます。

GPG（および ISO 規格）において、「policy」は次のように定義されています（注 2）。

トップマネジメントによって正式に表明された組織の意図及び方向付け。

この定義を見た限りでは、自社が BCM に取り組む目的や意義、自社としての BCM に関する基本的な考え方や方針、特に優先される事項などを 1 枚にまとめて、社長が署名（もしくは捺印）したり、社長の名前で Web サイトに公開すれば良さそうな感じがします。

ところが GPG においては、事業継続ポリシーは事業継続プログラムの境界や要求事項を設定し、事業継続プログラムを導入する目的を示すものであり、その取り組みを導くために組織が従うべき原則（principle）や、事業継続プログラムのパフォーマンス（注 3）を測る方法を定義するものである、と書かれています。また事業継続ポリシーを作る際に考慮すべき点として、箇条書きで次のように書かれています（和訳は筆者）。

- ポリシーは事業継続プログラムがめざす戦略的方向性を提供すべきである
- ポリシーは組織が事業継続にアプローチする方法や、プログラムを構造化し、資源を確保する方法を定義すべきである
- ポリシーは事業継続プログラムが組織の戦略的目的（strategic objectives）や関連する他のポリシーをどのようにサポートするかを示すべきである
- ポリシーにおいて事業継続プログラムのベンチマークとして使われる規格やガイドラインを特定すべきである

さらに、この段階での成果（outcome）として、事業継続ポリシーは次の各項を含むべきだと書かれています（和訳は筆者）。

- この組織における「事業継続」の定義
- ガバナンスと、ポリシーに対する経営者のコミットメントに関する声明（statement）
- 事業継続の目的（objectives）および適用範囲（scope）の定義
- 事業継続プログラム（インシデント対応能力を含む）のための役割と責任
- 関連するポリシー、規格、および法律や規制による要求事項への参照
- 関係者（interested parties）の特定
- 事業継続マネジメントのライフサイクルの全ての段階において、評価とレビューを行うための、合意された方法と頻度
- ポリシーおよびプログラムにおける全ての活動を決済し、周知する際の、合意された方法

これらの点を全て考慮しようと思ったら、とても 1 枚には収まらなさそうです（注 4）。

外国の企業などでこういうものがどんな形で文書化されるのか分かりませんが、日本の企業でこのようなものが書かれる文書というと「規程」ではないかと思います。つまり「事業継続ポリシー」を作るというのは、その組織における事業継続に関する基本規程を制定するということだと解釈できます。これが本稿で私が「policy」を「方針」と訳さなかった理由です。

そして、日本企業で規程の制定や改廃を行うときと同様、GPG においても事業継続ポリシーの作成においてはトップマネジメント（注 5）のサポートや承認を得るべきであると言及されています。

ただし、この「基本規程を制定する」というプロセスがあまり大げさになりすぎるのも問題でしょう。GPG においても次のように注意喚起されています（和訳は筆者）。

長く複雑なポリシーは効果的なコミュニケーションや事業継続を根付かせることに対する障害となる。ポリシーは組織が「何を」（what）するかに集中すべきであり、「どのように」（how）行われるかは書かれるべきではない。

（これは筆者の見解ですが）特に中小企業において、この段階で手間や時間をかけすぎると非効率ですので、多少は不完全であっても何らかの形で文書化して次の段階に進み、後で必要に応じて見直す方が良いと思います。逆に大規模な組織であれば、ガバナンスを確保するためにはこの段階で手を抜けない、という観点もありますし、この段階で多少時間をかけてでも、決めるべきことを先に決めて文書化しておいた方が、今後の活動をスムースに進めやすい場合もあります。この辺は組織の状況に応じて判断していただければと思います。

GPG では以上のような記述の後、事業継続ポリシーを作るうえで推奨される手順（process）が書かれていますが、本稿では割愛します。

ところで、事業継続ポリシーには「ガバナンス」、「適用範囲」、「役割と責任」などを含めるべきだと書かれていますが、上の説明の中にはこれらをどのように決めるのか書かれていません。そこで次回以降でこれらをどのように決めていくかを順次説明していきます。

［本稿に関するお問い合わせ］
本稿や GPG の内容、もしくは BCI の活動に関するお問い合わせにつきましては、下記 URL の問い合わせフォーム（合同会社 Office SRC の Web サイト）からご連絡いただければ幸いです。
http://office-src.com/contact

【注釈】

（注 1）「プログラム」のスペルの末尾が「〜mme」となっているのは、GPG がイギリス英語で書かれているからです。もともと GPG はイギリス英語で書かれていましたが、ISO 規格に合わせるためにアメリカ英語のスペルが使われている単語も混ざっています。

（注 2）ここでは JIS Q 22301 の 2013 年版における「方針」の定義を引用しました。

（注 3）この「パフォーマンス」とは何か？という点については、他の回で別途説明します。

（注 4）ISO 22301 で事業継続ポリシーに該当する項目は「5.3 方針」というセクションで、ここには事業継続ポリシーに書くべき内容が GPG ほど多く書かれてはいません。しかしながら、続く「5.4 組織の役割、責任及び権限」や「6.2 事業継続目的及びそれを達成するための計画」などで求められていることを文書化しようとすると、結局 GPG において事業継続ポリシーに求められているような内容を含めることになりますので、この部分において GPG と ISO 22301 との間では実質的な違いはあまり無いと言えます。

（注 5）「トップマネジメント」（原文でも「top management」）は JIS Q 22301 で「最高位で組織を指揮し、管理する個人又は人々の集まり」と定義されています（他のマネジメントシステム規格でも同様に定義されています）。企業であれば社長やそれに準ずる経営層と考えればよいでしょう。