引き続き、QAエンジニアの私がこの本より、一般の方たち向けにかみ砕いていきます。
ISO22301:事業継続マネジメントシステム
事業継続とは
国内:東日本大震災(2011年)・バブル崩壊(1989年)・オイルショック(1973年・1979年)など
海外:ロシアによるウクライナ侵攻(2022年)・新型コロナウイルス(2020年~)・リーマンショック(2008年)・同時多発テロ(2001年)など
このような様々なリスクがあり、事業中断・阻害するインシデント(不幸なできごと)はいつ起こるかわかりません。このようなリスクに備えることが重要です。
ISO22301では以下のように定義されています。
「事業の中断・阻害などを引き起こすインシデント(不幸なできごと)の発生後、あらかじめ定められた許容レベルで、製品orサービスを提供し続ける組織の能力」
2020年に始まった新型コロナウイルス感染拡大により、物流不足・人手不足で多くの企業が悩まされていました。それに備えた企業や新たな成長戦略で継続できたと思います。時間を掛けて、元の業績のみならず、それを超える業績をたたき出した企業も多くいます。どの企業もリスクに対しても、常に成長が求められています。
◎事業継続で想定するリスク
テールリスク:影響度合いが大きいかつ、滅多に起きないリスク
例:東日本大震災⇒数日間停電・従業員の死傷・顧客の死傷・協力会社の死傷・設備の故障など
起こりうるインシデント(不幸なできごと)を把握し、備える必要があります。そのための定期的な防災訓練も一つと言えます。
事業影響度分析
災害などに遭ったとき、通常の経営資源が揃わないことが想定されます。
- 新型コロナウイルス感染拡大⇒物流不足でモノが届かない・感染者増加で人員不足など
- 東日本大震災⇒電力不足で事業時間短縮・死傷者の支援で人員不足など
このようなリスクから限られた資源による業務の選択と集中が必要です。
悪い例としてタイタニック号の乗組員の対応があります。
タイタニック号が座礁(岩に当たり穴あく)して、沈没の危険があった
⇒しかし、「乗組員は沈没の時間が遅いから大丈夫だ」と判断し、船の穴を塞がず、乱れた椅子を並べ直す作業をしていた
⇒結果、沈没し多くの犠牲者を出してしまった
⇒その後、乗客の証言より、タイタニック号の乗組員のインシデント対応のずさんさが見えてきた
(1)優先的に復旧する事業の特定
限られた経営資源を基に復旧する重要な事業を選定する基準は、自組織の売上構成・顧客の要求事項を考慮が必要です。主力事業・商品を最優先で復旧させることになるでしょう。その際に、要素の組合せで優先する事業を決める手法があります。
| 最大許容停止時間 | 必要最低操業度 | 現状管理策の脆弱性 | 訴訟リスク | 経営上の優先度 | 総合優先度 | |
| A製品 | 7日 | 40% | 高 | 大 | 高 | 1位 |
| B製品 | 30日 | 20% | 低 | 小 | 中 | 3位 |
| C製品 | 30日 | 20% | 低 | 中 | 中 | 2位 |
これより、復旧する順番はA製品に注力するために、人員強化等をする必要があると導けます。
(2)優先する事業にかかわる経営資源の特定
(1)で注力する製品が決まったら、そのプロセス・経営資源を洗い出します。A製品ラインの従業員確保・必要な部品調達・設計・品質・生産など
リスクアセスメント
ISO/IEC27001(情報セキュリティマネジメントシステム)でリスクの洗い出しと評価を要求されました。ISO22301(事業継続マネジメントシステム)も同じく、リスクの洗い出しと評価を要求されます。
例:東日本大震災・新型コロナウイルス感染拡大など
◎リスクの洗い出しと評価
リスクの評価
| 情報システム | 事務所 | 製造設備 | サプライヤー | 人材 | 顧客 | 総合リスク | |
| 大地震 | 3 | 2 | 3 | 3 | 3 | 2 | 17 |
| 新型コロナウイルス | 3 | 1 | 1 | 3 | 3 | 2 | 13 |
| 豪雨 | 2 | 1 | 2 | 3 | 3 | 2 | 13 |
| ・・・ |
ここから例として「大地震」を上げます。
- 停電が続く日が3日間 ⇒3日分を電池等で過ごせるようにしておく
- 水が途絶える日が3日間 ⇒3日分の水を確保しておく
- 帰宅困難者の人が30人 ⇒市営体育館等を避難所として開放する
ここで災害にも「想定内」と「想定外」があります。東日本大震災で津波の高さに関して「想定外」であると専門家で判断されたことで物議を醸されましたが、ここ数十年間の間で起こらなかった災害であるため、その判断を機械的に判断したと考えられます。「想定外」の災害まで対応する備えをすると、いくらお金があっても足りません。だから、政府・自治体のみならず、個人でも最低限の備えをしておきましょうということになります。
事業継続戦略と事業継続計画
◎事業継続戦略
例えば、新型コロナウイルス感染拡大により、物流が滞り、海外から国内にモノを送れなくなった企業がありました。そこで、他の事業所にて代替で製造し、我が社も了承の上で納入継続した企業もあります。
このように、何かのインシデントにあっても大丈夫なようにするための目標が事業継続戦略です。そこから具体的な計画を立てることが事業継続計画です。
◎発災時の初動(インシデント対応)(第1段階)
例:被害情報の確認・安否確認・情報収集・対策本部の設置など
対応一例:クライシスコミュニケーション(状況をテレビ放送etc…)など適切に情報提供・情報収集
事前の情報収集ルート・対策本部の設置・利害関係者への説明etc…構築が必要です。
◎事業継続計画(BCP)(第2段階)
第1段階の「発災時の初動」を終えたら、事業継続計画(BCP)に移ります。
事業継続計画(BCP):目標復旧時間かつ目標水準までに事業を再開もしくは継続する手順を定めること
例:平常時100%稼働⇒災害発生0%稼働⇒災害発生1週間後30%稼働⇒災害発生1カ月後80%稼働
この際に、復旧方法は様々です。製造業は設備の点検・修理、情報処理業はバックアップ環境への移行などが上げられます。
◎復旧計画(第3段階)
第1段階の「発災時の初動」⇒第2段階の「事業継続計画(BCP)」を終えたことで、稼働率が回復します。そして、通常業務でも問題がなくなり、対策本部の解散になります。その基準を明確にします。
例:稼働率80%を超えたときに、対策本部を解散する
その後、平常時の方法で業務が回っていきます。
演習
事業戦略計画(BCP)を策定している組織のうち、演習・訓練を実施していない組織は38%(平成26年)
災害等が発生して初めて事業戦略計画(BCP)を見る組織は、BCPが機能しているとは言えません。
策定後、教育や訓練を通じて使うことが大切です。
例1:安否確認の情報システム導入⇒災害のテストメール⇒受信・安否回答できるか
例2:商品欠陥によるリコール⇒顧客クレームの受け答えを適切にできるか
ワークショップ
当書籍に則り、カレー屋さんを例にしたワークショップです。
◎事業継続影響度分析
| 分類 | メニュー | 売上 比率 | ボリューム 満点 | 栄養バランス | 総合評価 |
| ヘルシー野菜カレー | 中辛 | 30% | ◎ | ◎ | A |
| 〃 | 激辛 | 10% | ◎ | ◎ | C |
| インドカレー | バターチキン | 30% | ◎ | △ | B |
| 〃 | マトン | 15% | ◎ | △ | C |
| ほうれん草 | 15% | ◎ | ◎ | B | |
| トッピング | チキンカツ | 10% | ー | △ | C |
| 〃 | フライドオニオン | 5% | ー | △ | C |
もし、材料調達が困難になったとき、ヘルシー野菜カレー・中辛に絞る
最大許容停止時間:5日(他オフィスの復旧に合わせる)
交通機関ストップ⇒使わず出勤できる従業員がいるか確認
◎リスクアセスメント
| 脅威 | 建物 | 調理器具 | 食材調達 | 人材 | 顧客 | 総合 リスク値 |
| 大地震 | 3 | 2 | 3 | 3 | 2 | A |
| 新型コロナ | 1 | 1 | 2 | 3 | 3 | B |
| 火山の噴火 | 3 | 1 | 2 | 3 | 2 | B |
| 豪雨 | 2 | 1 | 2 | 2 | 2 | C |
| ・・・ |
ここから、「大地震」に備えることにした
◎事業継続戦略
- 事業影響度分析:災害時に5日以内の復旧を目指す・野菜カレーだけでも提供する
- リスクアセスメント:震度7の地震発生・交通機関ストップ・5日後にオフィス再稼働
↓↓↓
事業継続戦略:店舗の安全確認・清掃までの間、キッチンカーでテイクアウト
| インシデント対応 | 従業員の安否確認、建屋の安全・火災の有無確認 |
| 事業継続計画 | ・5日以内にキッチンカーでテイクアウト ⇒2名で運営、使い捨て容器でお持ち帰り ・1週間以内に店舗の安全確認・調理器具の清掃 ⇒確認完了後、店舗で調理 |
| 復旧計画(緊急処置完了) | 店舗でナンを焼けるようになった⇒完了(通常に戻る) |
◎平時からのリスクマネジメント
災害が起こる前の分析が必要です。
とはいっても、もしものことの保険を掛けすぎても、ムダになります。
例えば、もしもに心配しすぎて生命保険・医療保険にかけすぎるのは、保険会社の思うつぼです。そのため、保険にかけすぎず、最低限の保険で済ませることで、通常業務での安心ともしものときの対策にもなります。
以上がISO22301になります。ちょっとニュアンスが違うところもありますがご了承ください。
コメント