続きはこちら - 株式会社インターリスク総研

シリーズ
レジリエンスに関する世界の調査研究
米国におけるBCMの実態
第2回
インターリスク総研
田代邦幸
本連載では、事業継続マネジメント(BCM)やリスクマネ
ジメント、危機管理、災害対策等に関して海外で発表され
ている調査報告書を紹介している。前回は英国に本拠地を
置くBCI
※1
による調査を紹介したので、今回は米国の BCM
※2
関 連 情 報 Web サ イト「Continuity Insights」 が KPMG
LLP
※3
と 共 同 で 実 施 し た、
『2011-2012 Global Business
Continuity Management (BCM) Program Benchmarking
のが目立つ。この分布には Continuity Insights の読者分布
が反映されていると考えられる。
アンケートにおける設問は、回答者の組織の状況から
BCM への取り組み状況等に関して 52 項目にわたってお
り、報告書ではこれらに対する回答状況をもとに考察が加
えられている。以下、報告書の内容から筆者が注目した箇
所をいくつかピックアップして紹介したい。
※4
Study』 を紹介したいと思う。これは BCM への取り組み
状況について、主に「Continuity Insights」の読者を対象
として行った匿名のアンケート調査の結果をまとめたもの
であり、多数の設問に対する回答結果から、海外(主に米
2. 事業中断の原因および影響の大きさ
過去 12 ヵ月の間に経験した事業中断の原因について、
回答結果をまとめたものが図 1 であり、悪天候(50.3%)お
国)における BCM への取り組み状況が分かる。特に、企業
がどのような問題意識をもって BCM に取り組んでいるか、
どのような規格やガイドラインが参考にされているのか、
図1
過去12カ月間に事業継続計画の発動に至ったインシデントや事業中断の原因
(
「2011-2012 Global Business Continuity Management (BCM) Program
Benchmarking Study」5 ページの図をもとに筆者作成)
BCM においてどのようなソフトウェアが活用されている
か、などといった観点で、日本企業における状況との違い
が分かって興味深い。
0%
10%
20%
30%
イトによるアンケートで行われ、685 名から回答を得てい
る。米国のメディアによる調査ということもあって、米国
に本社を置く組織からの回答が 67% を占めており、次い
19.3%
業(10.6%)
、コンピュータ・IT サービス業(8.7%)
、コンサル
プライバシー
86
86
31.0%
26.1%
46.8%
7.8%
50.3%
悪天候(ハリケーン、竜巻、冬季の天候)
テロ
盗難
その他
ティングなどの専門的サービス(8.0%)からの回答が多い
30.5%
IT関連 - 通信(音声、データ等)
停電
多くなっている。特に銀行(18.6%)
、投資業(11.3%)
、保険
30.6%
IT関連 - 稼働中のハードウェア/ ソフトウェア
がって調査結果は主に米国における状況を反映していると
融系や ICT(情報通信技術)に関連する業種からの回答が
12.9%
IT関連 - 変更管理、データ破損、
アクセス拒絶、ウィルス、セキュリティ等
IT関連 - アップグレード/
計画された稼働停止
考えて良いであろう。また、回答者を業種別に見ると、金
30.9%
サプライヤ等による間接的要因
でカナダが 8%、チリが 4%、英国が 3% となっている。した
60%
28.0%
火災
洪水
調査は 2011 年 11 月から 2012 年 1 月にかけて、Web サ
50%
16.7%
市民の不安、
暴動
地震
1. 調査概要
40%
4.9%
8.9%
5.9%
図 2 BCMプログラムを構築している理由
(
「2011-2012 Global Business Continuity Management (BCM) Program
Benchmarking Study」7 ページの図をもとに筆者作成)
0%
20%
40%
60%
80%
100%
31.6%
監査における指摘事項への対応
84.2%
事業活動の継続のため
22.0%
顧客からの要求や取引要件
33.5%
連邦政府からの規制や法的要求
39.7%
レピュテーション
よび停電(46.8%)がトップ 2 となっている。あとは ICT 関
連のトラブルや洪水、地震が 30% 前後で横並びとなってい
るが、ICT 関連については内容に応じて 4 種類に分類した
17.7%
法律によって義務付けられている
競争上の優位性の確保
14.7%
ものが、それぞれ 30% 前後に達しているので、全体として
は ICT 関連のトラブルによる事業中断が多いと言えよう。
その他
5.8%
また、過去 12 カ月に発生した事業中断による損失額の見
積については、
「100 万ドル以上」
(4.7%)から「5 万ドル未満」
伸したことに注目しており、KPMG LLP の事業継続担当
(26.8%)まで大きな開きがあるが、報告書においては損失
ディレクターである Michael Arcuri 氏は、
「これは間違い
額そのものよりもむしろ、
「
(損失額を)知らない」という回
なく、ソーシャルメディアの普及と、それが一般大衆の認
答が 47.1% に達しているという事実に注目している。これ
識に与える影響によるものである」とコメントしている。
は事業中断による影響の大きさを知ることは BIA(事業イ
一方、これは日本における調査結果とは大きく異なって
ンパクト分析)の基本的な要素であるから、事業中断発生
いる。インターリスク総研が 2013 年に発表した「第 6 回 事
後に損失額のデータをとっておくべき、という問題意識に
業継続マネジメントに関する日本企業の実態調査報告」※ 5
よるものと思われる。
によると、
「BCPに取組む契機となった要因」としては「コー
ポレートガバナンス・ CSR の一環」
(73.5%)という回答が最
3. BCM に取り組む理由
も多く、これに「顧客への供給責任を果たすため」
(66.8%)
、
図 2 は BCM に取り組んでいる理由についての回答をま
「従業員を守るため」
(56.7%)が続いている。こちらの調査
とめたものである。最も回答の多い「事業活動の継続のた
で「レピュテーション」に最も近い選択肢としては「企業イ
め」
(84.2%)というのは当然の話であり、むしろなぜ「事業
メージを維持するため」というものがあるが、これを選んだ
活動を継続させたいか」を聞くのがこの設問の意図である
回答者は 20.9% にとどまっている。また「外部監査人からの
と思われるので、これを除外して見ると、次いで最も多い
指摘」という回答も非常に少ない(3.1%)
。
のは「レピュテーション(を維持するため)
」
(39.7%)であり、
このように比較してみると、米国に比べると日本ではレ
これに「連邦政府からの規制や法的要求」
(33.5%)
、
「監査
ピュテーションに対する影響が比較的重視されていないよう
における指摘事項への対応」
(31.6%)が続いている。ちなみ
に見える。また、ソーシャルメディアの影響力をBCMと関連
に、米国企業の多くは ISO などの規格に基づく認証取得に
付けて考える組織が、日本ではまだ比較的少ないということ
消極的なので、ここで言う「監査」は認証機関等による審査
かも知れない。一方で米国では、BCM への取り組み状況が
ではなく、監督官庁等による監査や内部監査などを指すも
監査の対象になることが、日本に比べて多いことが伺える。
のと考えられる。これらに比べると「顧客からの要求や取
引要件」
(22.0%)は比較的小さく見える。報告書では特に、
「レピュテーション」が前回調査時(2008 年)の 14% から急
4. BCM に関する規格の活用
図 3 は回答者が BCM に取り組むうえで活用している規
May 2014 リスク対策.com
87
図3 広く活用されているBCM関連の規格
(
「2011-2012 Global Business Continuity Management (BCM) Program
Benchmarking Study」11ページの図をもとに筆者作成)
0%
10%
20%
30%
NIST SP 800-34
ITIL v.3
0%
10%
20%
変更管理ソフトウェア
12%
30%
内部統制・
コンプライアンス対策
ソフトウェア
11%
リスクアセスメント用
ソフトウェア
12.3%
46.7%
11.5%
13.4%
Microsoft Office
(Word、
Excel 等)
11%
その他
10%
50%
22.8%
緊急通報ソフトウェア
11%
40%
46%
BCMソフトウェア
BIA/
変更管理ソフトウェア
26%
BS25999-2:2006
COBIT 4.1
50%
27%
BS25999-1:2007
ASIS BCM.01-2010
40%
46%
NFPA 1600
ISO/IEC 27001:2005
図4 広く活用されているBCM関連ソフトウェアパッケージ
(
「2011-2012 Global Business Continuity Management (BCM) Program
Benchmarking Study」13 ページの図をもとに筆者作成)
45.5%
14.1%
格に関する回答結果である。米国からの回答が大部分を占
ド」を指す※ 8。これも IT の分野では広く参照されている
めることから、米国の規格である NFPA1600 がトップとな
ガイドラインである。このように、BCM に関する文書や
るのは当然の結果と言えるが、これに続いて英国の規格で
調査、組織での取り組みにおいて、ICT および情報セキュ
ある BS25999 のパート1 および 2 がそれぞれ 26 〜 27% に
リティの観点が比較的多く含まれるのは、米国における
達しているのは、この時点で英国外においても BS25999 の
BCM の特徴と言える(欧州と比べても多い)
。
影響力が大きかったことを示している。調査が実施された
※6
ちなみに前述のインターリスク総研による調査でも同様の
時点ではまだ ISO22301 が発行されていなかったため 、
設問があるが、情報セキュリティ関連の規格やガイドライン
回答には含まれていないが、次回調査で ISO22301 がどの
を参考にしているという回答は、相対的に少ない※9。当然な
程度の数字になるか注目したい。
がら日本においても、ICTに対するビジネスの依存度は非常
また、もう一点注目すべきなのは、情報セキュリティに
関する規格が選択肢に多く含まれており、それぞれ 1 割
に高くなってきており、BCM への取り組みにおいても情報
セキュリティの観点がもっと重視されることが望ましい。
程度の回答を集めていることである。ISO/IEC 27001 は
情報セキュリティマネジメントシステム(ISMS)の規格と
して、日本でも普及が進んでいる規格であり、この中には
日本では一般的ではないが、欧米では BCM に関するソ
BCM において情報セキュリティの観点から取り組むべき
フトウェアパッケージが多数販売されており、大手企業を
内容に関する記述が含まれている。ITIL とは Information
中心に導入が進んでいる。図 4 は自組織でどのようなソフ
Technology Infrastructure Library という、IT サービス
トウェアパッケージを使用しているかを尋ねた結果であ
マネジメントに関するノウハウやベストプラクティスが集
る。最も回答の多い「緊急通報ソフトウェア」
(46.7%)は、
められた書籍群であり、この中で IT サービスの継続や可用
日本でも普及している安否確認システムに似た製品(もし
性の管理に関する部分が BCM に関連している。また NIST
くはサービス)である。基本的な機能はほぼ同じだが、従業
※7
88
88
5. BCM におけるソフトウェアの活用
SP 800-34 とは、米国の国立標準技術研究所(NIST) が
員の安否確認よりも緊急事態発生時の一斉連絡(事故や災
発行しているコンピュータセキュリティ関連のレポートの
害の発生を従業員に知らせること、緊急対応チームを招集
うち 34 番目の「IT システムのための緊急時対応計画ガイ
するなど)を主目的として開発・導入されている。主な製品
田代邦幸(たしろ・くにゆき)
自動車メーカー、半導体製造装置メーカー勤
務を経て、2005 年に(株)インターリスク総
研に入社し、現在に至る。同社入社以来一
貫して、BCMや災害対策に関するコンサル
ティングに従事している。BCI 会員(MBCI)
。
一般社団法人レジリエンス協会監事。国際
危機管理学会(TIEMS)
日本支部理事。
としては Everbridge ※ 10、MIR3 ※ 11、Send Word Now ※ 12、
RapidReach
※13
● BCM に関するソフトウェアの活用が進んでいる
などがある。
これ に 次 いで 多い「BCM ソフトウェア」
(46.0%)は、
また、このように海外におけるBCM の状況を知ることで、
BCP の策定や BCM の運用を効率的に行うための様々な機
逆に日本におけるBCM の実態や、自組織におけるBCMに
能(例えば BIA のためのデータ収集・分析や、BCP の文書
不足しているものをより具体的に理解することができ、今後
管理や組織内共有、変更管理、演習や監査の記録など)が
どのように取り組んでいくべきかを考えていくヒントを見つ
包含されたパッケージ製品を指すと思われる。具体的には
けられると考えられる。このような実態調査は国内外でいく
※ 14
※ 15
※ 16
などといった製品があ
つか継続的に実施されており、それぞれ貴重な示唆を含ん
る。また、これらに加えて緊急対応における情報集約や組
でいるので、比較しながら読んでいくことをお勧めしたい。
LDRPS
、eBRP
、myCOOP
織間連携、タスク管理に特化した WebEOC
※ 17
のようなシ
ステムもここに含まれていると考えられる。さらに「BIA
/変更管理ソフトウェア」というカテゴリがあるが、これ
は特に BIA や文書管理に特化した製品を指す。また前述
※1
のパッケージ製品の中から、BIA や文書管理の機能だけを
選んで部分的に導入するようなケースも、ここに含まれて
※2
いる可能性がある。
※3
6. 本報告書から分かること
※4
今回紹介した調査は、BCM の実態調査としてはオーソ
ドックスな内容であるが、日本における調査結果と比較す
※5
ることによって、米国における BCM の特色がより具体的
にお分かりいただけたのではないだろうか。簡単にまとめ
ると次のようになる。
●悪天候や ICT に起因する事業中断が多い
※6
※7
※8
※9
●事業中断の結果としてレピュテーションに対する影響が
注目されている
● BCM に関する活動が監査の対象となることが、日本に
比べて多いと思われる
● BCM への取り組みに ICT や情報セキュリティの観点が
多く含まれる
※10
※11
※12
※13
※14
※15
※16
※17
The Business Continuity Institute。BCM の普及啓発を推進している国際
的な非営利団体。1994 年に設立され、イギリスを本拠地として、世界 100
カ国以上に約 8000 名の会員を擁する。http://www.thebci.org/
米国の Advantage Business Media 社が運営している Web サイト。E メー
ルによるニュースレターも発行しており、1万 8000 人の読者を抱えている。
http://www.continuityinsights.com/
プロフェッショナル・サービスファーム KPMG グループの米国法人。http://
www.kpmg.com/US/
報告書は次の Web ページに掲載されている。なお、このページには報告書だ
けでなく集計結果のデータが、回答者の組織の収益別、従業員数別、業種別
に 整 理し て 掲 載 され て い る。http://www.continuityinsights.com/whitepapers/2012/04/2011-2012-continuity-insights-kpmg-llp-globalbusiness-continuity-management-program-benchmarking-study
2012 年11月から12月にかけて、日本国内全上場企業 3205 社を対象として実施
したアンケート調査。http://www.irric.co.jp/news/press/2013/jun/0606.
html
ISO22301が発行されたのは 2012 年 5 月である。
National Institute of Standards and Technology http://www.nist.gov/
NIST の Webサイトから無償で入手できるほか、独立行政法人情報処理推進機
構(IPA)とNRIセキュアテクノロジーズ(株)が共同で日本語訳したものが、次の
URLで提供されている。http://www.ipa.go.jp/security/publications/nist/
内閣府、経済産業省、中小企業庁等が発行したBCM関連のガイドラインが広く
参照されているのに対して、
「情報セキュリティ関連規格」全体として8.4%にとど
まっている。
http://www.everbridge.com/
http://www.mir3.com/
https://www.sendwordnow.com/
http://www.rapidreach.com/
日本では江守商事(株)から提供されている(http://www.emori.co.jp/ldrps/)
http://ebrp.net/
http://www.coop-systems.com/
http://www.esi911.com/esi/日本ではNTTラーニングシステムズから提供さ
れている(http://www.nttls.co.jp/webeoc/index.html)
May 2014 リスク対策.com
89