2006年
企業の危機管理対策セミナー~BCM/BCP構築ノウハウ~
BCM/BCP構築の手引き
セキュリティ事業推進本部 コンサルタント部 部長
豊田 祥一
Profile
2005 年11月、ネットワンシステムズ株式会社入社。前職において、iDCにおけるECシステムの運用業務に携わる。主にPKIを導入したインターネットサービスの運用業務設計のPM(プロジェクトマネジメント)を担当。
現在、セキュリティ事業推進本部コンサルティング部において、ISMS認証取得支援をはじめとする、社外に対するコンサルティングビジネスを推進している。また、コンサルティングビジネスの一環として、個人情報保護、情報セキュリティ、ISMS 内部監査員研修、等の講師を務めている。
■事業継続の必要性と基本的考え方
事業継続管理(BCM)/事業継続計画(BCP)を構築するためには、現実的に考えることが大切です。
以下の図は、「事業継続管理(BCM)に関する利用ガイド」(平成18年3月 財団法人 日本情報処理開発協会)の冒頭に出てくる図です。
以下の図は、「事業継続管理(BCM)に関する利用ガイド」(平成18年3月 財団法人 日本情報処理開発協会)の冒頭に出てくる図です。
この図には重要なポイントが3つあります。
1. BCPを行うことによって、早急に復旧が可能になる
2. 許容される期間内に、事業継続可能なレベルに復旧することが重要
3. たとえばバックアップサイトを用意するなどして、災害時でも事業を中断させることなく、継続可能なレベルを保つ
これらの考え方の元になる許容限界は、BCMを実践する中で導き出すことができます。
1. BCPを行うことによって、早急に復旧が可能になる
2. 許容される期間内に、事業継続可能なレベルに復旧することが重要
3. たとえばバックアップサイトを用意するなどして、災害時でも事業を中断させることなく、継続可能なレベルを保つ
これらの考え方の元になる許容限界は、BCMを実践する中で導き出すことができます。
■事業継続計画および取り組みの内容
BCM構築のためのプログラムマネジメントの手順は、以下のような流れになります。
BCPを策定し、運用すると共に、教育・訓練を行い、点検や見直しを行うことによって、継続的改善を行っていく活動がBCMです。BCMの取り組みの流れは下図の通り。一番重要なのは、2.2.1?2.2.4で、ここの検討を繰り返すことによって、より効果的で現実的なBCPを策定可能になります。
上図の各プロセスのポイントは、以下の通りです。
2.1 方針:
BCPの策定にあたっては、経営トップが関与して推進することが大切。
2.2 計画:
災害時の事業継続について年次計画を作成。
2.3 実施および運用:
計画は、現実的に検討し、無理だと思われるプランは作り直すことが大切
2.4 教育・訓練の実施:
全社員が事業継続の重要性を共通の認識として持つよう、教育・訓練を実施し、文化として定着させることが重要。
2.5 点検および是正措置の実施:
年一回程度の点検を行い、経営者に評価結果や改善内容を報告。
2.6 経営層による見直し:
経営者は改善点を認識し、事業継続の取組みを定期的に見直す。
2.1 方針:
BCPの策定にあたっては、経営トップが関与して推進することが大切。
2.2 計画:
災害時の事業継続について年次計画を作成。
2.3 実施および運用:
計画は、現実的に検討し、無理だと思われるプランは作り直すことが大切
2.4 教育・訓練の実施:
全社員が事業継続の重要性を共通の認識として持つよう、教育・訓練を実施し、文化として定着させることが重要。
2.5 点検および是正措置の実施:
年一回程度の点検を行い、経営者に評価結果や改善内容を報告。
2.6 経営層による見直し:
経営者は改善点を認識し、事業継続の取組みを定期的に見直す。
■事例:情報漏えい被害想定
ここからは、「事業継続ガイドライン」に掲載されている地震に対するBCP策定のプロセスを、情報漏えい被害に当てはめて考えてみます。
2.2.1 検討対象とする災害の特定
・業務用のパソコンを紛失した場合を想定
情報漏えいの場合は漏えい前の状態には戻らない場合が殆どであり、復旧はあり得ないと考えた方がよい。協力会社、業務委託先、取引先からの情報漏えいも想定することが必要。
2.2.2 影響度の評価
・情報漏えいが企業経営に及ぼす影響を評価
企業イメージの低下、賠償請求への対応、再発防止策の実施に伴う追加投資の発生、業務中断や調査などに伴う機会損失、利害関係者との関係悪化などを評価。
・情報漏えいの影響が大きいと考えられる重要業務を決定
漏えいした情報の質によっては、計り知れない影響があること(たとえば技術情報)は認識しておくことが必要。
・情報漏えい事故に関する報告の猶予が許される時間を具体的に設定
即時報告、状況報告(暫定対応を含む)、恒久対策などを求められるので、それぞれ設定。
2.2.3 重要業務が受ける被害の想定
・重要情報が情報漏えいのリスクにさらされて受ける被害の程度を想定
漏えい情報を特定し、情報が悪用されるなど、最悪の事態を想定。
2.2.4 重要な要素の抽出
・主要な情報資産とその所在および脆弱性を、重要な要素として把握
個人情報や技術情報があり、個人情報は電子メール関連、技術情報はファイル添付されている場合が一般的。暗号化がされていないと、脆弱性が高まる。
2.2.5 事業継続計画の策定
・指揮命令系統の明確化
今はパソコン一台でも膨大なデータが入るので、経営層が責任者として陣頭指揮に立つことが必要。
・重要拠点の機能の確保
対策本部の他に調査拠点、顧客対応拠点(コールセンター)なども考慮。
・情報連携の遮断を防ぐため、関係者との事前協議が必要
個人情報の場合には、主務省庁との連絡なども必要。
・情報システムのバックアップ
復旧を目的とするものではなく、漏えい情報を特定するという意味で、バックアップが重要。
・ 製品・サービスの供給関係を考慮して、柔軟な対応が可能な計画を立案
協力会社や業務委託先などにおける紛失についても想定。
2.2.1 検討対象とする災害の特定
・業務用のパソコンを紛失した場合を想定
情報漏えいの場合は漏えい前の状態には戻らない場合が殆どであり、復旧はあり得ないと考えた方がよい。協力会社、業務委託先、取引先からの情報漏えいも想定することが必要。
2.2.2 影響度の評価
・情報漏えいが企業経営に及ぼす影響を評価
企業イメージの低下、賠償請求への対応、再発防止策の実施に伴う追加投資の発生、業務中断や調査などに伴う機会損失、利害関係者との関係悪化などを評価。
・情報漏えいの影響が大きいと考えられる重要業務を決定
漏えいした情報の質によっては、計り知れない影響があること(たとえば技術情報)は認識しておくことが必要。
・情報漏えい事故に関する報告の猶予が許される時間を具体的に設定
即時報告、状況報告(暫定対応を含む)、恒久対策などを求められるので、それぞれ設定。
2.2.3 重要業務が受ける被害の想定
・重要情報が情報漏えいのリスクにさらされて受ける被害の程度を想定
漏えい情報を特定し、情報が悪用されるなど、最悪の事態を想定。
2.2.4 重要な要素の抽出
・主要な情報資産とその所在および脆弱性を、重要な要素として把握
個人情報や技術情報があり、個人情報は電子メール関連、技術情報はファイル添付されている場合が一般的。暗号化がされていないと、脆弱性が高まる。
2.2.5 事業継続計画の策定
・指揮命令系統の明確化
今はパソコン一台でも膨大なデータが入るので、経営層が責任者として陣頭指揮に立つことが必要。
・重要拠点の機能の確保
対策本部の他に調査拠点、顧客対応拠点(コールセンター)なども考慮。
・情報連携の遮断を防ぐため、関係者との事前協議が必要
個人情報の場合には、主務省庁との連絡なども必要。
・情報システムのバックアップ
復旧を目的とするものではなく、漏えい情報を特定するという意味で、バックアップが重要。
・ 製品・サービスの供給関係を考慮して、柔軟な対応が可能な計画を立案
協力会社や業務委託先などにおける紛失についても想定。
■企業が社会の一員として求められること
・ 生命の安全確保
・ 二次災害の防止
・ 地域貢献・地域との共生
危機に直面した時の行動が、後の企業の評価にもつながります。それも含めてBCMととらえ、企業といえども、社会の一員であることを忘れず、計画を策定し、行動をしていただきたいと思います。
