事業継続の考え方から認証取得に関するノウハウ、日々のニュースの中の事業継続の話題などを網羅的に収集、提供します。
運営:ニュートン・コンサルティング(株)| Risk |
事業継続計画策定にあたってはリスク分析をおこないますが、この「リスク」の概念がまま誤解を招くので詳しく説明します。
リスクとは「負の結果(期待しない結果;損失;問題)をもたらす可能性」と定義できます。このとき「負の結果(期待しない結果;損失;問題)をもたらす事象(リスクの原因)」のことを「脅威」と呼びます。
このことから「リスクの大きさ」を定量化する場合は、以下に示す数式を用いることが一般的です。
| 「脅威の発生確率」 | × | 「脅威に対する弱点の程度」 | × | 「被害を受けた時の影響の大きさ」 |
| (発生可能性) | (脆弱性) | (影響度) |
以下は、リスクの例です。
| 災害リスク | → | 地震などによりビジネスが損害を被る可能性 |
| 風評リスク | → | あらぬ噂を立てられ企業の信頼が傷つけられる可能性 |
| 環境リスク | → | 大気汚染などにより環境破壊が起こる可能性 |
| 信用リスク | → | 取引先倒産などにより売掛金を回収出来なくなる可能性 |
| システムリスク | → | システムがきっかけとなりビジネスが損害を被る可能性 |
「事業継続」という観点からは、
- 地震によりワークオフィスが倒壊し業務ができなくなるリスク
- コンプライアンス違反を起こし規制当局から業務停止命令を受けるリスク
- 新型インフルエンザにより、多くの人が命を落とすリスク
- 不況のあおりを受け、キャッシュが枯渇し倒産するリスク
など、様々なリスクが考えられますが、事業継続マネジメント(BCM)で検討する(BCP策定の前提となる)リスクは、このようなリスクの中でも「発生可能性が低い」「効果的な予防策を打ちづらい」「ひとたび発生した場合の事業へ与える影響が甚大である」という3要素を持つリスクであることが一般的です。たとえば、地震リスク、テロリスク、火災・爆発リスク、停電リスク、パンデミックリスクなどです。
ちなみに、リスクという言葉はあやふや(抽象的)な言葉としてとらえられがちです。これは何が「負の結果(期待しない結果)」になるのかは、それを考える対象者によって異なる可能性があるためです。
たとえば、重火器を取り扱う工場で働いている人にとって気になる「負の結果(期待しない結果)」とは、火災や爆発によって怪我または命を失う可能性であるかもしれません(火災・爆発リスク)。一方、その工場を運営する経営者にとっては「負の結果(期待しない結果)」とは、そうした事故によって引き起こる損害賠償であるかもしれません(訴訟リスク)。
さらにたとえば、株価が上昇することによって儲けようと考える株主にとって「負の結果(期待しない結果)」とは、株価が下がることです(株価下落リスク)。しかし、株価の変動を利用して儲けようと考える投資家にしてみれば、(株価が下がると分かっているのであれば、”から売り”を利用して儲けることもできますので)株価が上がったり下がったりすること自体は問題ではなく、むしろそれを予測できない(不確実な)状態であることがリスクになります(市場リスク)。
| ITSCM: Information Technology Service Continuity Management |
ITSCMとはBCMの一環として、情報システムに関わる業務継続を担保するための仕組みです。
(経済産業省発行の『ITサービス継続ガイドライン』には、ITSCMを「事業継続マネジメントの中からIT の要素を取り出したもの」と定義しています。)
具体的には、企業が重要な事業活動を遂行する上で必要不可欠な情報システムについて、大規模な事故・災害によってその利用ができなくなった場合でも、組織として許容可能な時間内に、許容可能なレベルまで復旧できるようにするための仕組みのことを言います。
なお、ここで言う「情報システム」とは、コンピュータシステム、ネットワーク機器、アプリケーションや通信機器といった情報システムそのもののみならず、これら情報システムを適切に稼働させるために必要な人・モノ・情報・金(技術者や委託業者など)といった間接的なリソースも含んだものを指します。
言い替えると、ITSCMとは、ディザスターリカバリプラン(DRP:情報システムを許容可能な時間内に、許容可能なレベルまで復旧させるための災害・障害復旧計画書)が常に有効に機能するために行う一連の活動(方針を定め、分析を行い、戦略を立て、文書化し、実装化し、訓練を行い、見直しを行うこと)である、とも言えます。
分かりやすくするために簡略化した例で説明します。
例えば、「自動車販売」を重要な事業とする企業を想定しましょう。
この企業の「自動車販売」という事業を支える重要な業務の1つが「自動車の製造」であるとします。ITSCMでは、この「自動車の製造」という業務を継続するために必要な情報システムが停止した場合でも速やかに復旧できるような対策を考えることになります。
分析を行った結果、この業務を行うために必要な情報システムの1つとして「生産管理システム」が特定できました。従って、この「生産管理システム」が停止した場合の復旧計画を定める必要があることが分かりました。
なお、このときこの企業では、業務上の要件から「生産管理システム」が何らかしらの問題(例:火災、地震)により損壊した場合に、下記条件で復旧させることを目標として設定するべきであることが分かりました。
- 許容可能な時間: 48時間以内
- 許容可能な復旧レベル: 100%(データ閲覧や読み書きの機能が実施できる状態)
この目標を実現するために下記に挙げる3つの選択肢を検討し、2を復旧計画としました。
- 被災時には、自動で代替施設にあるバックアップ生産管理システムに切り替わるように予め構築しておく。
- 被災時には、予め用意しておく機材を利用して生産管理システムを構築し直す。ただし、そのための技術者をあらかじめ社内に用意しておく。
- 被災時には、予め用意しておく機材を利用して生産管理システムを構築し直す。ただし、そのための技術者をベンダー契約で確保しておく。
また、上記対策について口頭で決めておくだけでは、いざというときに迅速に動けない可能性が高いため、DRPとして文書化しました。また、作成した計画に漏れや欠陥がないことを確認するために、検証(=エクササイズ(演習))を行い、漏れや欠陥が発見された箇所については修正をしました。
こうした一連の活動全てがITSCMという仕組みで定められた動きになります。
ITSCMを正しく運用するためには、この仕組みをしっかりと定着させることが重要です。そのためには、上記のような活動を継続的に実施することが肝要になります。
| OCP: Operational Continuity Plan |
組織(特に行政機関)が、(事故や災害などの)インパクトの大きい事象に遭遇した場合に、組織(行政機関)として許容できるレベルで重要なサービスを顧客に提供し続けるための実行計画(書)を指します。
なお、「業務継続計画」を維持・更新していくための一連の活動を指して「業務継続マネジメント(OCM)」と呼びます。
この「業務継続」という言葉は、今日広く使われている「事業継続計画(BCP: Business Continuity Plan)」とほぼ同じ意味を指しますが、一般的に:
”事業継続(Business Continuity)” ⇒ 対象組織が民間企業
”業務継続(Operational Continuity)” ⇒ 対象組織が行政機関(もしくは民間と行政の両方)
例えば、国際規格化(IS化)の策定途上にあるISO/PAS22399 (Incident Preparedness and Operationl Continuity Management(IPOCOM))では、"Operational Continuity"という言葉が使用されています。これは当該規格が、商取引を展開する民間企業だけではなく、行政などを含めたあらゆる組織を対象にしたものだということを意識しているためだということがおわかりいただけると思います。
| BIS規制 |
BIS規制とは、「国際業務を行う銀行の自己資本比率は、8%を超えていなくてはならない」という国際統一基準のことです。(※これとは別に独自に日本では、国内業務のみを行う銀行については自己資本比率を4%という規制を設けています。)
自己資本比率とは、簡単に言えば、銀行が自分のビジネス(金貸しなど)を展開するために使用しているお金のうち、どれだけが自分達の本当のお金で、どれだけが外部から(例えば日本銀行など)借りているのかを示す比率です。「自己資本比率が低い」ということは、すなわち、多額のお金を借りて銀行業を営んでいるということになり、借金が多いということはそれだけ事業が破綻する可能性も高いということを意味しています。
なお、BIS規制とは日本語での呼び名であり、英語では、Basel Capital Accordsと呼ばれています。BISとは、Bank for International Settlementsの略で、スイスにあるバーゼル国際決済銀行のことであり、この銀行におけるバーゼル銀行監督委員会が公表した規制であることから、BIS規制と呼ばれています。
BIS規制の中身は、1988年に初めて公表されてから今日に至るまで、発展の歴史があります。大きくは3段階に分けてその規制が見直されてきています。
======
■1段階目: 信用リスクに主眼をおいたBIS規制。
1988年) Basel I(バーゼルI): the 1988 Basel Accord
1980年代の金融自由化を進めた米国において金融破綻(コンチネンタル・イリノイ銀行など大手銀行が倒産しました)が起こり国際的な問題に波及しそうになったことが、自己資本比率規制を設けるきっかけになったと言われています。破綻した銀行の特徴として、自己資本比率が低かったという事実が認識されたからです。合わせて、当時の邦銀が、自己資本比率が低い(3%を下回っていた)にも関わらず国際金融市場において急発展してきたことなどが各国の注目を買ったため(日本叩き)とも言われています。
いずれにしてもこうした歴史的背景から、このバーゼルIでは信用リスク(債権の貸し倒れなど)を念頭においているということができます。
■2段階目: BIS規制の修正。市場リスクを追加。
1996年) 市場リスク規制: Amendment to the capital accord to incorporate market risks
為替変動などのリスクを考慮するため、従来のBasel Iに追加する形で、自己資本比率の算出方法に市場リスクを加味するように修正した規制が発表されました。
■3段階目: BIS規制の修正。市場リスクを追加。
2004年) Basel II(バーゼルII); the 2004 Basel Accord
自己資本比率の算定などに対して、より金融機関のリスクを反映させようとして見直されたBIS規制です。
変更のポイントは、従来の信用リスク、市場リスクに加え、オペレーショナルリスク(例:犯罪、災害、環境、事務、自己リスクなど)も自己資本比率を計算させる際の分母に加えられたことです。また、従来の信用リスクに対しても、不良債権処理の状況や、融資先の規模(中小企業か否かなど)などが反映されるように改定されました。
すなわち、最終的に自己資本比率の計算式は、自己資本/信用リスク+市場リスク+オペレーショナルリスク>=8%になります。
======
なお、バーゼル国際決済銀行で決定した事項に、法的な拘束力はありませんが、傾向として、参加国(G10:ベルギー、カナダ、フランス、ドイツ、イタリア、日本、オランダ、スウェーデン、英国、米国)はすぐに法律に反映し、BISで決定した事項を普及させているのが現状です。
従って、結果的に法的拘束力を持つものであることから、銀行におけるリスク管理では、まずBIS規制対応が柱になることは言うまでもありません。BIS規制への対応を柱にしながら、他の規制(SOX,コンプライアンスなど)に対する対応を行うことになります。
ちなみに、上述したようにBIS規制では広範囲なリスクを見ていることから、BIS規制で定めるリスクの分類の仕方を利用して、様々なリスクマネジメントを行う企業も増えてきているようです。
| DR: Disaster Recovery |
DR(ディザスタリカバリ、災害復旧)とは、災害時のITシステムの復旧、あるいは復旧のための対策を指します。BCMが「業務そのものの継続性」をテーマとしているのに対し、DRは「ITの継続性」に対象を限定している場合が多いです。BCMとの違いを明確にするために、特にITの継続性に主眼を置いた場合には、「IT-DR」という表現が使われることもあります。
DRを検討する際には、復旧対象となるITシステムを構成するソフトウェアやハードウェア、データ、インフラ設備や施設などの資源それぞれについてソリューションを用意します。
例えば、データに関するソリューションとしては、
・データの遠隔地バックアップ
・メディア(テープ、ハードディスク、DVDなど)の遠隔地バックアップ
などが考えられます。
