BCPセミナー(上級)講演会資料 - 公益財団法人 埼玉県産業振興公社
公益財団法人 埼玉県産業振興公社 事業継続計画(BCP)導入支援事業 BCP上級セミナー 日時: 2015年2月18日 会場: 埼玉県産業振興公社 研修室 February 18, 2015 Ⓒ Y. Kohno BCPの目的とクラス BCPには、目的が二つあります。 ① 災害・事故・事件から従業員と関係者の命を守る。 ② 災害・事故・事件から企業の事業を守る。 BCPの初級: 主に① の命を守る関係を取り扱う。 BCPの中級: 主に② の事業を守る関係の概要を取り扱う。 BCPの上級: 主に次を取り扱う。 February 18, 2015 Ⓒ Y. Kohno RTO(目標復旧時間) サプライチェーン 他社・他組織との連携 2 第1章 上級の 基礎知識 February 18, 2015 Ⓒ Y. Kohno 3 BCP、BCM、BCMS 略称 用語 意味 BCP Business Continuity Plan 事業継続計画 日本国内では、BCMと同意 国際的には、BCMやBCMSの成果物 BCM Business Continuity Management 事業継続マネジメント 選択した事象から関係者の命と組織の事 業を守る考え方 BCMS Business Continuity Management System 事業継続マネジメントシステム BCMを毎年継続的に改善するシステム 事象の分類 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 自然災害: 地震・津波、風水害、噴火、落雷、異常気象(猛暑、豪雪等) 感染症: 事故: 火災・爆発、施設・設備の交渉、群衆事故 インフラ: 停電、断水、通信ネットワークの断絶 テロ・犯罪: テロ、窃盗、不法侵入等 ICT: 情報漏洩、障害、サイバー攻撃 製品・サービス: 製品の瑕疵 サプライチェーン: サプライヤ倒産、操業停止 交通: 交通事故、混雑による遅延 人権: 宗教・人種・社会的弱者への差別や配慮不足、ハラストメント 労務: 法令違反労働(労基法違反、外国人不法就労、児童労働等)、従事者の労働災害、他 法務: イベント関係者の不正行為(贈収賄等)、知的財産権の侵害、独占禁止法・競争法等法令違反 社会: 戦争・暴動の発生、治安悪化、風評、メディアとのコミュニケーション 環境: 資源・エネルギーの消費、廃棄物の発生、危険物質の流出、環境や生態系の破壊 地域: 地域コミュニティ・住民との摩擦、地域経済への影響(雇用、施設整備、観光等)、他 February 18, 2015 Ⓒ Y. Kohno ISO 20121:2012 Event sustainability management systems から作成 4 BCMと事象のレベル どのレベルの事象までを対象とするのか? 例えば、表面加速度が2g以上の地震、20mを超える津波、小惑星衝突は対象? 最大加速度 (一方向) 2.7g 2.2g 最大加速度 (ベクトル和) 2.99g 4.36g 1.7g 1.0g 0.8g 地震 M 9.0 6.3 7.2 6.7 6.6 6.8 2011年3月、東北地方太平洋沖地震 2011年2月、NZ、カンタベリー地震 2008年6月、岩手・宮城内陸地震 1994年1月、米国、ノースリッジ地震 2007年4月、新潟県中越沖地震 1995年1月、阪神・淡路大震災 1g= 981ガル レベル5 巨大災害 ニアミス、ヒヤリハット レベル4 災害 初動 レベル3 クライシス 緊急事態 February 18, 2015 Ⓒ Y. Kohno 時間 5 事象のモノサシ(サンプル) レベル 説明 指揮及び連携 1 被災した組織の一部の資源を投 入すれば対応できる事象 任務レベルでの指揮 2 被災した組織がもつ資源を投入 すれば対応できる事象 戦術的指揮 3 被災した組織がもつ資源に加え て、近隣組織による支援を受け 対応できる事象 戦略的指揮及び連携 4 被災した組織がもつ資源に加え て、被災した地理的管轄区内に ある全ての組織からの支援を受 け対応できる事象 管轄区の内部及び隣 接区域にまたがる戦 略的指揮 5 その組織が事象に対応すること を助けるため、被災地をもつ中央 政府によって二国間条約及び国 際組織の既存の協約が実施され る事象 管轄区の内部,隣接 区域及び遠隔地域に またがる戦略的指揮 地震 (震度) 火災 SC障害 (中断時間) 自社のBCMでは対応できない 事象はレベル5 参考資料: JIS Q22320 February 18, 2015 Ⓒ Y. Kohno 6 BCMと自社のレジリエンス 自社のレジリエンス(緊急事態管理力+復旧能力)は、地域とサプライチェーン(SC)のレジリエン スに依存している。 自社のレジリエンスの把握 ⇒ 主に JIS Q22301(BCMS) SCのレジリエンスの把握 ⇒ ISO 28000シリーズ + α 地域のインフラのレジリエンスの把握 ⇒ JIS Q22320 ⇒ 地域やSCのレジリエンスが高くなると、自動的に自社のレジリエンスは高くなる。 自社のレジリエンス レジリエンス量 SCのレジリエンス 地域のレジリエンス MSS 目的 客観的な指標 品質ISO 品質に配慮した経営 顧客満足度、不良品率など 環境ISO 環境に配慮した経営 電力使用量、廃棄物量など レジリエンスに配慮した経営 レジリエンス量 BCMS February 18, 2015 Ⓒ Y. Kohno 7 緊急事態管理に関係する国際規格 文書名 規格番号 開発状況 英語 日本語の略称 IS Societal security 社会セキュリティ JIS Q22300:2013 Societal security - Vocabulary 用語 ○ JIS Q22301:2013 Business Continuity management systems requirements 事業継続マネジメントシステム―要 求事項 ○ ISO 22311:2012 Video surveillance ビデオサーベイランス ○ ISO 22313:2012 Business Continuity management systems Guidance BCMS - ガイドライン ○ ISO 22315:2014 Mass evacuation 集団避難 ○ JIS Q22320:2013 Emergency management - Requirement for command and control 緊急事態管理―危機対応に関する 要求事項 ○ ISO 22322:2014 Public warning system 警報システム ○ Organizational resilience - requirement and guidance 組織のレジリエンス - 要求事項お よび指針 Colour-coded Alert カラーコードによる警報 ISO 22325 Emergency management - Guidelines for emergency management capability assessment 緊急事態管理能力の把握 ISO 22397:2014 Guideline to set up a partnership agreement for the governance of interoperability 相互運用のガバナンスについての 協力合意の指針 ○ ISO 22398:2013 Guideline for exercise 演習の指針 ○ 22300シリーズ ISO 22323 ISO 22324:2014 February 18, 2015 Ⓒ Y. Kohno その他 ○ ○ ○ 8 緊急事態管理に関係する国際規格: つづき 規格番号 文書名 英語 開発状況 日本語の略称 IS その他 Specification for security management systems for the supply chain サプライチェーンのためのセキュリティマネジメントシ ステムの仕様 ISO 28000:2007 Specification for security management systems for the supply chain サプライチェーンのためのセキュリ ティマネジメントシステムの仕様 ○ ISO 28001:2007 Best practices for implementing supply chain security, assessments and plans — Requirements and guidance 評価及び計画を実施するための最適 実施手順 - 要求事項及び手引き ○ ISO 28002:2012 Development of resiliency in the supply chain — SC回復法の開発-ガイドを備えた必 Requirements with guidance for use 要要件 ○ ISO 28003:2007 Requirements for bodies providing audit and certification of supply chain security management systems SCセキュリティマネジメントシステム の監査及び認証を提供する機関の要 求事項 ○ ISO 28004:2007 Guidelines for the implementation of ISO 28000 ISO 28000の実施のための指針 ○ JIS Q31000:2010 Risk Management - Principles and Guidelines リスクマネジメント - 原則及び指針 ○ JIS Q0073:2010 Risk Management - Vocabulary リスクマネジメント - 用語 ○ 28000シリーズ February 18, 2015 Ⓒ Y. Kohno 9 工業標準化法 第二条 この法律において「工業標準化」とは、左に掲げる事項を全国的に統一し、又は単純化す ることをいい、「工業標準」とは、工業標準化のための基準をいう。 一 鉱工業品(医薬品、農薬、化学肥料、蚕糸及び農林物資の規格化及び品質表示の適正化に関 する法律 (昭和二十五年法律第百七十五号)による農林物資を除く。以下同じ。)の種類、型式 、形状、寸法、構造、装備、品質、等級、成分、性能、耐久度又は安全度 二 鉱工業品の生産方法、設計方法、製図方法、使用方法若しくは原単位又は鉱工業品の生産に 関する作業方法若しくは安全条件 三 鉱工業品の包装の種類、型式、形状、寸法、構造、性能若しくは等級又は包装方法 四 鉱工業品に関する試験、分析、鑑定、検査、検定又は測定の方法 五 鉱工業の技術に関する用語、略語、記号、符号、標準数又は単位 六 建築物その他の構築物の設計、施行方法又は安全条件 第十一条 主務大臣は、工業標準を制定しようとするときは、あらかじめ調査会の議決を経なけれ ばならない。 第十七条 第六十七条 国及び地方公共団体は、鉱工業に関する技術上の基準を定めるとき、その買い入れ る鉱工業品に関する仕様を定めるときその他その事務を処理するに当たつて第二条各号に掲げる 事項に関し一定の基準を定めるときは、日本工業規格を尊重してこれをしなければならない。 February 18, 2015 Ⓒ Y. Kohno 第十一条の規定により制定された工業標準は、日本工業規格という。 10 防災基本計画: 平成26年1月改正 企業は、災害時に企業の果たす役割(生命の安全確保、二次災害の防止、事業の継続、地域貢献・ 地域との共生)を十分に認識し、各企業において災害時に重要業務を継続するための事業継続計 画(BCP)を策定するよう努めるものとする。 また、防災体制の整備、防災訓練の実施、予想被害から復旧計画策定、各計画の点検・見直し、燃 料・電力等の重要なライフラインの供給不足への対応、取引先とのサプライチェーンの確保等の事 業継続上の取組を継続的に実施するなど事業継続マネジメント(BCM)の取組を通じて、防災活動 の推進に努めるものとする。 国及び地方公共団体は、企業防災に資する情報の提供等を進めるとともに、企業防災分野の進展 に伴って増大することになる事業継続計画(BCP)策定支援及び事業継続マネジメント(BCM)構築 支援等の高度なニーズにも的確に応えられる市場の健全な発展に向けた条件整備に取り組むもの とする。 内閣府の事業継続ガイドライン第三版:平成25年8月改正の主要ポイント 緊急時のBCP策定を含めた平常時のBCMの重要性を強調 BCMは経営戦略であり、経営者の責任と関与の重要性の強調 幅広い発生事象に対応する代替戦略の観点の拡充 サプライチェーンを考慮する重要性の強調 個社の取組に加えて、企業間、地域、業界における連携の強調 February 18, 2015 Ⓒ Y. Kohno 11 連携が必要な分野、連携が難しい分野 【命を守る関係】 ハード面の改善 ビル → 制震化、免震化 工業団地 → 液状化対策 共同自衛消防隊、共同防災倉庫の設置 ソフト面の共有化 避難通路の確保、一時避難場所と二次(広域)避難場所 初期消火、救急救命、備蓄品、火災訓練、避難訓練、帰宅困難者対策 消防、警察、自治体との連絡 【事業を守る関係】 競争会社との連携 顧客(ユーザー企業)との連携 サプライヤとの連携 近くの異業種、遠くの同業種? 他国の競争会社は脅威 February 18, 2015 Ⓒ Y. Kohno 12 平時のシステム作りと訓練 トモダチ作戦 (日米合同作戦) 日米のメンバーは初対面でした。 緊急対策本部のシステムが共通でした。 連携と調整がスムーズに行なわれました。 岩手県災害対策本部 コアのメンバーは面識があり、信頼関係が構築できていました。 危機管理監が陸自出身であり、自衛隊の長所と短所を理解していました。 自衛隊のシステムと多くの共通点がありました。 県庁メンバーと自衛隊、海上保安庁、DMATなどと連携と調整がスムーズに行 なわれました。 共通のシステムは? 米軍と自衛隊はICS(インシデント・コマンド・システム)体制でした。 岩手県庁はほぼ陸自の体制でした。 平時に出来ないことは有事にできない February 18, 2015 Ⓒ Y. Kohno 13 ICS(インシデント・コマンド・システム)とBCM の現状 FEMA 1970 が ICS 年 代 に 開 発 ( ( 米 国 危 機 管 理 庁 ) February 18, 2015 Ⓒ Y. Kohno • 有効性が実証 • 米国政府関係が採用 • 英、豪、独などが採用 • 日本は検討 年 • 有効性が実証 月 • 世界的に普及が進む 日 • 日本での普及が進む 東 日 本 大 震 災 2011 3 11 BCM 2001 9 11 1980 が 米 国 ・ 年 英 代 国 に の 開 大 発 学 ・ ・ 企 業 米 国 同 時 多 発 テ ロ 年 月 • 有効性が実証 • 国際標準化? • 日本が採用? • 個社BCPの限界 • 他社との連携が必要 日 14 既存システムとICS 既存のシステム 既存のシステムは、各組織の体制がバラバ ラであり、相手先が分かりづらく連絡と調整 に時間がかかります。 現場での統合活動は困難なため、担当地区 または業務を分けることになります。 担当地区間または業務間の連絡と調整が必 要になり、さらに時間がかかります。 同じ作業をする人が増えるため、作業時間 の短縮が可能です。 計画情報、後方支援、財務・総務部隊がある ため長期間の緊急事態に対応が可能です。 ただし、平時と有事を明確にしないと混乱し ます。 (有事の際も平時の組織に戻ろうとす る意識が強く働くため、有事であることを明 確にする必要があります。) 連絡所 A社指揮部 B社指揮部 C社指揮部 A社の各部 B社の各部 C社の各部 ICS 統合指揮部 (A・B・C) 実行部隊 (A・B・C) 計画情報部隊 (A・B・C) February 18, 2015 Ⓒ Y. Kohno 後方支援部隊 (A・B・C) 財務・総務部隊 (A・B・C) 15 演習 1 次をお願いします。時間は休憩を含め30分です。 Q1 グループリーダーを1名決めて下さい。 Q2 災害時におけるビル内や工業団地内における他社との連携は重要 ですが、乗り越えないといけない障害があります。 障害となる可能性が大きい項目を二つ以上挙げて下さい。 February 18, 2015 Ⓒ Y. Kohno 16 第2章 BCMSと RAの概要 February 18, 2015 Ⓒ Y. Kohno 開始日 期間 内容 2月2日 半日 2月3日 3週間 2月23日 2月24日 3月9日 3月10日 4月20日 4月21日 5月25日 5月26日 7月6日 7月7日 8月3日 8月4日 8月17日 8月18日 8月31日 9月1日 9月14日 9月15日 9月28日 9月29日 10月13日 半日 2 週間 半日 6週間 半日 6週間 半日 6週間 1日 4週間 半日 2週間 1日 2週間 3日 2週間 1日 2週間 2日 2週間 3日 キックオフ会議 対象拠点と対象リスク (リスクアセスメント) 全社会議 調査票の作成 全社会議 調査票の記入と確認 部門会議 BCP作成 部門会議 BCP作成 部門+全社会議 訓練計画立案 全社会議 訓練準備 訓練 修正 内部監査 修正 ギャップ審査 修正 1次審査 修正 2次審査 17 JIS Q22301(BCMS) は抽象的 水害 津波 地震 火災 22301 テロ 鉱山 事故 ・・・・ 原発 事故 住民 企業 【注意】 22301は全てのハーザードに対応可能 従って、抽象的 活用する際は、独自の具体化が必要 具体化は企業間、拠点間に予防・緊急事 態・継続・復旧計画に違いを招く February 18, 2015 Ⓒ Y. Kohno 18 JIS Q22301とマネジメントシステム規格(MSS) ISO 22301 (BCMS) MSS (Management System Standard) 1 適用範囲 1 適用範囲 2 引用文献 2 引用文献 3 用語と定義 3 用語と定義 4 組織の状況 4 組織の状況 4.1 組織とその状況の理解 4.1 組織とその状況の理解 4.2 利害関係者の要求事項と期待の理解 4.2 利害関係者の要求事項と期待の理解 4.3 BCMSの適用範囲の決定 4.3 マネジメントシステムの適用範囲の決定 4.4 BCMS 4.4 XXXマネジメントシステム 5 リーダーシップ 5 リーダーシップ 6 計画 6 計画 7 支援 7 支援 8 運用 8 運用 9 パフォーマンス評価 9 パフォーマンス評価 9.1 監視、測定、分析及び評価 9.1 監視、測定、分析及び評価 9.2 内部監査 9.2 内部監査 10 10.1 改善 不適合及び是正処置 10.2 継続的改善 February 18, 2015 Ⓒ Y. Kohno 10 改善 10.1 不適合及び是正処置 10.2 継続的改善 19 JIS Q22301が求める文書類(BCP) 条項 4.1 a) 文書類の内容 組織の活動、機能、サービス、製品、連携、 サプライチェーン、利害関係者との関係、事 業を中断させる緊急事態に関係する潜在的 な影響 条項 文書類の内容 8.2.2 事業影響度分析(BIA) 8.2.3 リスクアセスメント(RA)実施手順書 8.4.1 インシデントへの対応を確実にするための手順 4.1 b) 総合的なリスクマネジメント戦略を含む、事 業継続方針、組織の目的その他の方針 8.4.3 警告及びコミュニケーションに関する文書 4.1 c) 組織のリスク選好 8.4.4 事業継続計画書 4.2.2 法令及び規制の要求事項 8.4.5 復旧手順書 4.3.1 適用範囲 8.5 演習実施報告書 4.3.2 適用除外 5.3 事業継続方針 9.1.1 BCMのパフォーマンス・有効性の評価結果 6.2 事業継続目的 9.1.2 インシデント発生後のレビューの実施記録 7.2 力量の証拠 9.2 内部監査実施結果 7.4 コミュニケーション手順 9.3 マネジメントレビュー実施結果 10.1 不適合及び是正処置の結果 7.5.1 組織がBCMSの有効性に必要と判断した文 書 February 18, 2015 Ⓒ Y. Kohno 20 JIS Q22301が定義している用語 マネジメントシステム(MS) マネジメントシステム(MS) トップマネジメント 継続的改善 目的 組織 方針 手順 プロセス 文書 文書化された情報 力量 要員 記録 修正 要求事項 監査 内部監査 適合 不適合 是正処置 検証 作業環境 February 18, 2015 Ⓒ Y. Kohno 事業継続マネジメントシステム(BCMS) 事業継続マネジメントシステム(BCMS) 活動 事業継続 事業継続マネジメント 事業継続計画 事業継続プログラム 利害関係者 モニタリング 製品及びサービス 優先活動 資源 インフラストラクチャ 発動 試験 相互支援協定 演習 リスクアセスメント(RA) リスクアセスメント(RA) リスク リスク選好 リスクマネジメント(RM) 事象 インシデント 事業影響度分析(BIA) 事業影響度分析(BIA) 最大許容停止(MAO) 最大許容停止時間(MTPD) 最小事業継続目標(MBCO) 目標復旧時点(RPO) 目標復旧時間(RTO) パフォーマンス評価 パフォーマンス評価 パフォーマンス 有効性 測定 21 MAO、MTPD、MBCO、RPO、RTO MAO 最大許容停止 MTPD 最大許容停止時間 MBCO 最小事業継続目標 RPO 目標復旧時点 RTO 目標復旧時間 最大許容停止時間(MTPD) Maximum Tolerable Period of Disruption RPO 発災 RTO 時間 倒産・事業部閉鎖 経営資源など 平時のレベル 最小事業継続目標(MBCO) Minimum Business Continuity Objective 最大許容停止(MAO) Maximum Acceptable Outage 時間 February 18, 2015 Ⓒ Y. Kohno RTO MTPD 倒産・事業部閉鎖 22 レジリエンスの改善とマネジメントシステム 高 目標A 目標B レ ジ リ エ ン ス の 改 善 目標C 現状 低 未着手 認証取得準備 認証レベル 更なる改善 継続的改善(マネジメントシステム) BCMとリスクアセスメント(RA)の違い BCMには、RTE、RTO、企業連携、地域連携がある。 RAは全てのリスクが対象だが、BCMは対策を取る対象リスクが限定される。 BCMは既存のデータベース管理システムとの調整が必要になる。 February 18, 2015 Ⓒ Y. Kohno 23 リスクアセスメント(RA)の説明 以下は、JIS Q31000:2010 (リスクマネジメント-原則及び指針)からの引用 リスクマネジメント(risk management): リスクについて、組織を指揮統制するための調整された活動。 リスクアセスメント(risk assessment): リスク特定、リスク分析、及びリスク評価のプロセス全体。 リスク特定(risk identification): リスクを発見、認識及び記述するプロセス。 注記1 リスク特定には、リスク源、事象、それらの原因及び起こり得る結果の特定が含まれる。 注記2 リスク特定には、過去のデータ、理論的分析、情報に基づいた意見、専門家の意見及びステークホルダのニーズ を含むことがある。 リスク分析(risk analysis): リスクの特質を理解し、リスクレベルを決定するプロセス。 注記1 リスク分析は、リスク評価、及びリスク対応に関する意思決定の基礎を提供する。 注記2 リスク分析は、リスクの算定を含む。 リスク評価(risk evaluation): リスク及び/又はその大きさが、受容可能か又は許容可能かを決定するために、リスク分 析の結果をリスク基準と比較するプロセス。 注記 リスク評価は、リスク対応に関する意思決定を手助けする。 リスク対応(risk treatment): リスクを修正するプロセス。 注記1 リスク対応には、次の事項を含むことがある。 - リスクを生じさせる活動を、開始又は継続しないと決定することによって、リスクを回避すること。 - ある機会を追求するために、リスクを取る又は増加させること。 - リスク源を除去すること。 - 起こりやすさを変えること。 - 結果を変えること。 - 一つ以上の他者とリスクを共有すること(契約及びリスクファイナンシングを含む。)。 - 情報に基づいた意思決定によって、リスクを保有すること。 注記2 好ましくない結果に対処するリスク対応は、“リスク軽減”、“リスク排除”、“リスク予防”及び“リスク低減”と呼ばれ ることがある。 注記3 リスク対応が、新たなリスクを生み出したり,既存のリスクを修正したりすることがある。 February 18, 2015 Ⓒ Y. Kohno 24 リスクアセスメント(RA)の目的 事象に対し、合理的な対策を実施するため。 1. 2. 3. リスクを特定する ⇔ リスクの特定はわりと容易 主観的興味からリストアップする方法 統計からリストアップする方法 事象からリストアップする方法 経営資源からリストアップする方法 リスクを分析、評価する ⇔ リスクを正しく分析、評価することはかなり難しい 発生率 (発生頻度): 5年間、10年間、100年間、1,000年間、10,000年間 影響度: 人的被害、経済損失、操業度、顧客、法的影響 リスクの分析、評価に基づき、合理的な対策(除去、軽減、保有、移転)を行う。 ⇔ リスクに適切な対策を実施することはとても難しい リスク除去(排除) 従来方法の変更やリスクを除去することで、脅威や問題が発生しないようにする。または、 重要作業への影響を防止する。 リスク軽減(低減) リスクの顕在化率を減らすか、重要業務への影響度を許容できるレベルにまで抑制すること。 リスク保有 リスクを受入ること。主に、合理的なコストでは影響度を軽減できない場合と、顕在化率や影 響度が受容できる程度に小さい場合。 リスク移転 例えば、保険証書または罰則条項を通じて、第三者にリスクを転移させ、顕在化の影響度を 軽減すること。ただし、それにもかかわらず、重要業務の中断による損失を保険がカバーで きない場合もある。 February 18, 2015 Ⓒ Y. Kohno 25 主観的なリスクの洗い出し マッピング型 (リスク源は46項目) よび 市場リスク 戦略リスク 金利変動 燃料価格 流動性/現金 倫理違反 為替変動 知的財産損失 資産評価額 環境問題 内外の法令リスク 経済景気後退 敵対的メディア記事 市場シェア競争 ブランド攻撃 サプライヤ関係 コスト構造 合併・事業統合 顧客関係 売上減少 製品開発遅れ 製品設計遅れ 社長 放火 水質・大気汚染 富士山噴火 津波 酷暑 ICT中断 首都直下地震 台風 海外の取引先の災害 南海トラフ February 18, 2015 Ⓒ Y. Kohno 重要装置損失 物流中断 取引先のストライキ サービス供給異常 建物・設備火災 新型インフルエンザ 災害リスク 保証・製品リコール運動 豪雨/水害 落雷 竜巻 情報漏洩 材料供給異常 重要人物喪失 サプライヤ事業中断 ユーティリティ供給遮断 操業リスク 26 統計的なリスクの洗い出し マトリックス型 (リスク源は41項目) 大規模地震 株主行動 内部統制違反 大 影 響 度 サイバーテロ 局地地震 中 SC途絶 国内のPL 人身事故 土壌汚染 落雷 人手不足 安全問題 IT故障 倫理違反 設計ミス ガラスの破損 職場暴力 窃盗 横領 輸送中の貨物破損 機械の磨耗 軽微な物損事故 小 工程事故 経年劣化 取締役責任 知財損失 金利変動 港湾スト 風害・竜巻 設備火災 誘拐 貸倒損害 情報漏洩 現金盗難事故 小 為替変動 水害 / ( 損 害 規 模 影 響 人 数 ) 燃料価格 海外のPL ユーザー企業の動向 景気変動 中 タイヤのパンク 大 リスクの顕在化確率(発生頻度) February 18, 2015 Ⓒ Y. Kohno 27 事象からのリスクの洗い出し 英国企業の事例 (リスク源は80) 欠勤 就業規則 主要社員の不在 相互教育、多能工化 ボイラー系統故 外部委託 障 空調系統故障 外部委託 製品リコール 品質管理 ガス会社による外部調 ガス障害 査 当社スタッフと外注先 電気障害 による保守 主要水道会社による 取水 外部調査 主要供給者の遺 なし 失・供給停止 当社スタッフと外注先 製造設備 による保守 ・・・・ 4 3 最大業務 中断時間 24時間 3時間 2 10日間 4 8 2 1 5日間 なし 3 3 6 3 1 24時間 2 2 1 24時間 2 2 外注先の調査 主要電気設備の調査無 1 24時間 2 2 低リスク、対応不要 必要により当社独自の取 水可能 4 10日間 4 16 サプライヤ対策が必要 サプライヤーとの会議開催 2 10日間以上 5 10 全設備のリードタイムと予備 全設備の故障発生の新設 品在庫の評価 備導入のBIA 76 伝染病 2 24時間 3 6 低リスク、重要度低 77 洪水 2 24時間 2 4 洪水対応計画 78 地震 1 24時間 2 2 低リスク、対応不要 79 火災(外部) 1 3時間 1 1 低リスク、対応不要 近隣からの延焼はない 80 火災(内部) 2 10日間 4 8 火災(内部)対応計画 消化システム強化の調査 番号 1 2 3 4 5 6 7 8 9 10 リスク源 February 18, 2015 Ⓒ Y. Kohno 現状の対応 なし 堤防、屋根、排水の確 認(毎月) 事業場代替プランと放 射能安全プラン 有害化学物質は耐火 性構造物に保管されて いる スプリンクラー・消火 器・火災報知器の設置 発生率 影響度 レベル 2 1 8 3 リスク対応 備考 欠勤は面談により人事管理 欠勤率の目標を設定 低リスク、対応不要 なし ボイラー支持ベルトは20年 レンタル業者の調査 経過 外注先の調査 迅速対応、短期回復 研修、深い理解の継続 主要ガス取り入れ口の調 低リスク、対応不要 査無 伝染病発生可能性に対す る事業場内規則による管 理 全製造エリアは防御良好、 洪水危険は稀 28 リスク評価: 英国のケース 影響度 区分 1 = 限定的 なし 人的被害 経済損失 0円 操業障害 なし 3時間以内 なし 風評被害 法的影響 10名未満の軽傷者が 1名以上の重傷者または10 1名以上の重篤者または死者 2名以上の重篤者または死者が 発生 名以上の軽傷者が発生 が発生 発生 従業員の就労に 5%未満の従業員の 5~15%の従業員の就労が 15~30%の従業員の就労が 30%以上の従業員の就労が困 影響なし 就労が困難 困難 困難 難 生産性低下なし 顧客影響 2 = 小 “Business Continuity for Dummies” John Wiley & Sons, Ltd., 2012 から作成 3 = 中 4 = 大 5 = 壊滅的 事業遅延による損失 事業中断による損失発生、 損失発生、回復費用発生 発生 修理費用発生 100万円以上~ 1,000万円以上~ 100万円未満 1,000万円未満 1億円未満 少数の非重要顧客へ 重要顧客一社を含む複数の 重要顧客2社以上への供給障 の供給障害 顧客への供給障害 害 一部顧客から苦情 顧客への信頼低下発生 一部顧客の喪失 24間以内 1週間以内 3週間以内 軽微な風評被害有り、ただし 風評被害が発生し、回復に一 風評被害なし 短期間での回復可能 定期間を要する 損失発生、回復費用発生 1億円以上 注文対応支障発生、既存・新規 契約解除 深刻な顧客喪失 3週間以上 深刻な風評被害が発生し、回復 に相当期間を要する 報道機関からの 報道機関からの接触 地方報道機関による小規模 全国及び地方報道機関が報 国際及び全国報道機関の継続 接触なし はあるが報道はなし 報道、 道を継続 的な報道に発展する可能性あり なし 契約または業務の瑕疵 監査機関または顧客 相当程度の罰金、罰則 軽微な罰金、罰則が科され から警告 訴訟が日常的に起こされる る 刑事告発や業務停止命令 甚大な罰金または罰則 大規模や監査、調査を受ける 発生率 区分 5年間の発生率 (%) 対回数 February 18, 2015 Ⓒ Y. Kohno 1 = 最小 > 0.005% > 20,000回に1回 2 = 小 > 0.05% > 2,000回に1回 3 = 中 > 0.5% > 200回に1回 4 = 大 > 5% > 20回に1回 5 = 最大 > 50% > 2回に1回 29 事象からのリスクの洗い出し 日本企業の事例 (リスク源は12項目) 区分 災害 想定される被害 事業に及ぼす影響 影響度 A 火災 火災 地震 自然災害 風水害 停電 ユーティリティ 設備の故障 伝染病 LANの故障 感染 環境 環境汚染 労災 傷病 盗難 情報漏洩 機密漏洩 仕入先の被災 盗難 資材未達 焼失、散水・消火剤散布に よる建物・機械・設備・製 生産停止 品・原材料の廃棄 建物の倒壊、生産設備の損 生産停止 壊 建物・機械・設備・製品・原 生産停止 材料の使用不可 生産設備の停止 生産停止 冷却水、圧縮エアーの供給 生産停止 停止 LANの停止 生産停止 感染による従業員休業 操業停止 騒音・振動、水質汚濁、土 生産停止 壌汚染 (監督官庁命令) 従業員の休業 生産ラインへの支障 物品の喪失 生産活動への支障 関係者への迷惑、秘密保持 取引停止、受注減 契約違反、信用失墜 損害賠償 原材料の入荷停止 生産停止 評価 February 18, 2015 Ⓒ Y. Kohno 発生 最大業務 可能性 中断時間 B C レベル A×B×C 対象事象の 判定 5 1 5 25 対象事象 5 1 5 25 対象事象 4 2 3 24 対象事象 5 2 2 20 5 2 1 10 5 3 2 2 1 1 10 6 3 2 2 12 3 2 2 1 1 1 6 2 2 1 1 2 4 1 3 12 影響の重大性 発生の可能性 最大業務中断時間 1 非常に低い 非常に低い 数日 2 低い 低い 1週間以内 3 中程度 中程度 半月以内 4 高い 高い 1ケ月以内 5 非常に高い 非常に高い 1ケ月以上 30 演習 2 次をお願いします。時間は休憩を含め30分です。 Q3 事象への事前対策を合理的に行うためには、リスク評価(発生率、影響 度)の次に、RTE(復旧推定時間、最大業務中断時間とも言う)の設定 が必要と言われています。 その理由は何だと思いますか? February 18, 2015 Ⓒ Y. Kohno 31 第3章 上級の実務 February 18, 2015 Ⓒ Y. Kohno 株式会社○○○○ 事業継続計画書 (改定 平成27年2月18日) 【目次】 1. 基本方針 2. 対象拠点 3. 対象事象の特定 4. BCP委員会と災害対策本部の構成 5. 命を守る活動の優先 6. 法令等の遵守と社内規程の尊重 7. 災害対策本部の設置と解散 8. 災害対策本部の運営 9. 命を守る行動手順 10. 社内インフラと中核事業の特定 11. 復旧推定時間の設定 12. 被災後の復旧推定時間 13. 社内インフラと中核事業への支援要員 14. 代替拠点 15. 被災時における顧客との関係 16. 被災時におけるサプライヤとの関係 17. 被害金額等の推定 18. 教育訓練 19. 点検及び有効性の見直し 32 ①基本方針、②対象拠点、③対象事象、④組織 1. 基本方針 この事業継続計画書(以下、「BCP」という)は、株式会社○○○○(以下、「当社」という)が自 然災害・事故及び事件(以下、「事象」という)が顕在化した場合に、被害を最小限に止め早期に 復旧すること、並びに事象による被害を未然に防止することについて定めている。 なお、本BCMは毎年6月1日に更新されたものが当社社長から公表される。 2. 対象拠点 本社及び本社工場とする。 3. 対象事象の特定 対象拠点における事象の顕在化状況並びに埼玉県とさいたま市が公表しているハーザードマ ップを検討した結果、対象事象は次のとおりとする。 なお、過去40年間は従業員及び関係者 に5日以上の入院を必要するケガ、または6時間以上の生産停止をもたらす事象は発生してい ない。 地震 (震度5弱~6強) 火災 4. BCP委員会と災害対策本部の構成 BCP委員会と対策本部要員の構成はつぎのとおりとする。 February 18, 2015 Ⓒ Y. Kohno 33 ⑤命を守る活動の優先、⑥法令等の遵守と社内規程の尊重 ⑦災害対策本部の設置と解散 5. 命を守る活動の優先 いつ、いかなる場合でも、命を守る活動が事業を守る活動に優先する。 6. 法令等の遵守と社内規程の尊重 被災時も法令及び自治体・業界の関係ガイドラインを遵守し、以下の社内規定を尊重する。 ① 安全管理規程 ② 品質規程 ③ 環境規程 ④ 会計規程 7. 災害対策本部の設置と解散 災害対策本部の設置基準、設置場所、解散基準は次のとおりとする。 (1) 設置基準 ① 災害対策本部の設置時期は、気象庁が震度5弱以上の地震と報告した時点、火災 については小火でも出火を確認した時点とする。 ② その他の事象については、対策本部長が必要と判断し、宣言した時点とする。 (2) 設置場所 災害対策本部は本社2Fの会議室に設置する。なお、会議室が被災し使えない場合は対 策本部長が別途指示する。 (3) 解散基準 事象が沈静化し、二次被害の可能性がなくなり、事業がある程度再開された時点で本部 長が判断し、本部解散を宣言する。 February 18, 2015 Ⓒ Y. Kohno 34 ⑧害対策本部の運営、⑨命を守る行動手順書 8. 災害対策本部の運営 対策本部の本部長、副本部長、参与、担当長、班長及びチーム長の業務は別添Aのとおりとす る。 9. 命を守る行動手順書 命を守る関係の行動手順書は次のとおりとし、手順書の追加、修正はBCP委員会が担う。 February 18, 2015 Ⓒ Y. Kohno ① 館内(店内)放送 別添 B-① ② BCP携帯カード 別添 B-② ③ 救急救命手順書 別添 B-③ ④ 初期消火手順書 別添 B-④ ⑤ 避難行動手順書 別添 B-⑤ ⑥ 初動チームの行動手順書 別添 B-⑥ ⑦ 地震発生時の行動手順書 別添 B-⑦ ⑧ 消火器の使用方法 別添 B-⑧ ⑨ 備蓄品等管理と配布手順書 別添 B-⑨ ⑩ 災害時の連絡手順書 別添 B-⑩ ⑪ 緊急時の連絡先一覧 別添 B-⑪ ⑫ 記録作成・運用手順書 別添 B-⑫ 35 ⑩ 社内インフラと中核事業の特定 社内インフラと中核事業は別添Cのとおりとする。なお、社内インフラと中核事業は、毎年6月または 本部長が必要と判断した時にBCP委員会が見直す。 1. 次を社内インフラとする。 (評価方法: 中断すると事業を行えないもの、中断すると他の事業に大きな影響を与えるもの) 建物: 本社棟、A棟、B棟、C棟 電力供給 ・・・・ 2. 次を中核事業とする。 (評価方法: 中核事業を特定した評価方法は下表(↓)のとおり) ・・・・ 事業部名 A 売上への影響度 B 利益への影響度 C ブランドへの影響度 D 社会への影響度 評価点 (A+B+C+D) E 戦略的判断 総合評価点 February 18, 2015 Ⓒ Y. Kohno ST 6 6 4 4 20 9 29 OM 4 6 3 3 16 6 22 UR 4 4 2 2 12 3 15 IW 2 1 2 1 6 9 15 36 ⑪ 復旧推定時間の設定 各事業の復旧推定時間(RTE)は別添Dのとおりとする。 ここから現場(各課、各工程)の調査協力が必要になります。 BCP委員会が提供する情報はわかり易く整理して伝えます。 BCP委員会が必要とする情報は、現場の理解が得られやすいフォームで協力を お願いすることになります。 これ(↓)はサンプルで、この横の項目を設計するのがBCP委員会になります。 このフォームの設計が極めて重要です。 中断 の影響 過去の 事故歴 グループリーダ プレス工程 研磨工程 測定・マガジン 2 1 1 1 2 1 1 1 有 有 有 有 兼任 多能工化 多能工化 多能工化 メンテナンス 1 1 有 多能工化 要員 February 18, 2015 Ⓒ Y. Kohno 最大業務 中断時間 代替の 必要性 現在の対策 追加すべき対策 生技に応援要請 37 BCP委員会が提供する情報 現場から頂く情報 BCP委員会がわかり易く提供する情報 社外インフラの復旧推定時間(RTE) 立入禁止期間と立入注意期間の推定、建物のRTE 人的被害の推定 社内インフラの復旧推定時間RTE その他 (物流ルートのRTEなど) 現場から頂く情報 (調査票の設計が極めて重要) 経営資源(ヒト): A1 現員数、A2 中断の影響、A3 過去の中断歴、A4 必要な資格、A5 必要な技術と知識、A6 必要な経験、A7 代替の容易性、A8 代替者の研修期間、A9 代替の実務記録、A10 通勤距離、A11 家庭の状況 (未成年、要介護者など)、A12 現在の損害・生命保険状況と保険費用、A13 望ましい損害・生命保険状況と保 険費用、A14 (具体的に )、A15 (具体的に ) 経営資源(モノ): B1 管理責任者、B2 管理副責任者、B3 中断の影響、B4 過去の中断歴(含む地震と火災 以外)、B5 過去の最大中断時間、B6 過去の最大修理金額、B7 再調達費用、B8 再調達時間、B9 クリティカル リンク(当該工程が業務上依存している他工程、課)、B10 脅威と思っている事象(地震と火災以外)、B11 現在 の対策(事象毎)、B12 現在の復旧対策手順書(内容のレベル)、B13 事象毎の復旧推定時間(RTE)、B14 事象毎の復旧目標時間(RTO)、B15 RTOの実現に必要な費用、B16 RTOの実現に必要な時間(開始から終 了まで)、B17 現在の付保状況と保険費用、B18 望ましい付保状況と保険費用、B19 (具体的に ) 文書・データ: C1 管理責任者、C2 管理副責任者、C3 最終更新日、C4 内容理解者(複数が望ましい)、C5 第 一保管場所、C6 第二保管場所、C7 復旧手順の有無、C8 喪失時の再入手方法、C9 (具体的に ) サプライヤ関係: D1 管理責任者、D2 管理副責任者、D3 先方の連絡担当、D4 その代行者、D5 中断の影響、 D6 代替の容易性、D7 過去の中断歴、D8 過去の事象対策、D9 過去の最大中断時間、D10 過去5年間の取引 額、D11 品質レベル、D12 CSRレベル、D13 BCPレベル、D14 (具体的に ) その他: E1 (具体的に )、E2 (具体的に ) February 18, 2015 Ⓒ Y. Kohno 38 各事業部の復旧推定時間 各事業部の復旧推定時間(RTE)は各課、各工程からの情報に基づき設定します。 各事業部は、所属工程の一番長いRTEを事業部のRTEとします。 これは、BCP委員会や事業部長が設定するものではありません。 RTEを短くするためには、復旧目標時間(RTO)を設定し、RTOに必要な資源、費用、 時間を検討・審議・承認・実行し、確認する必要があります。 RTOが確認された時点で、RTOからRTEに変えます。 地震 火災 震度5強 震度6弱 震度6強 レベル2 レベル3 レベル4 ST事業 4日 10日 40日 5日 60日 165日 OM事業 4日 10日 40日 5日 60日 165日 UR事業 6日 15日 65日 5日 90日 215日 IW事業 6日 15日 65日 5日 90日 215日 社内インフラ February 18, 2015 Ⓒ Y. Kohno 39 目標復旧時間の設定 今回は、工程内経営資源のRTEの単純平均を使っています。この利点は次のとおりです。 ボトムアップ型なので、工程の協力が得られやすい。 平均なので各工程が理解しやすい 被災した際の復旧が概ね同じレベルで進むため、わかり易い 欠点は、次のとおりです。 画期的な改善が望めない 経営資源の変更の影響を受けやすい 経営資源 大項目 製造設備 経営資源 大項目 製造設備 February 18, 2015 Ⓒ Y. Kohno 中項目 排水タンク ST研磨機(A) ST研磨機(B) ST検査機 ・・・・ 中項目 排水タンク ST研磨機(A) ST研磨機(B) ST検査機 ・・・・ RTE(地震) 6弱 6強 6 25 10 50 9 35 6 20 RTE(火災) 3 4 50 180 50 180 40 90 50 90 平均値 6弱 6強 7 30 平均値 3 4 40 140 平均値-RTE 6弱 6強 1 15 3 20 2 5 1 10 平均値-RTE 3 4 10 40 10 40 0 50 10 50 40 ⑫ 被災後の復旧推定時間 被災後の復旧推定時間(RTE2)は各事業部長と災害対策副本部長が取りまとめ、本部長に報告する。 本部長は必要に応じ関係者にRTE2 を周知する。なお、取りまとめの手順は別添Eのとおりとする。 (注意1) RTE2 の説明 RTEは平時に想定した復旧推定時間で、RTE2は被災後に想定する復旧推定時間のこと。 「平時の復旧推定時間(RTE) = 被災後の復旧推定時間(RET2)」になればRTE2は不要だが、 多くの場合にRTE2が必要になる。 RTEには復旧計画(現状)があり、RTOには復旧計画(現状+追加)があるので、被災後はその 対策を実施することになる。 ただし、RTE2がRTEより長いとそれは「想定外」になり、その時点で対策を検討し始めることにな る。 また、RTOとのギャップを小さくするためにRTEを短く書き換えると、これは被災後に想定する RTE2とRTEとのギャップが広がり、検討した復旧対策が無効になる。 (注意2) 被災後に活用すべきRTE RTEは、地震及び火災のレベルに分けて設定されているが、被災後は一番長いRTEとRTE2を 比較することになる。 RTEを地震及び火災のレベルに分けているのは、事象の規模に対する復旧推定時間を経営層、 BCP委員会が把握するためであり、被災後の現実的な復旧のためではない。 また、地震も火災もレベル5については、RTEを設定していないが、これは全ての経営資源が壊 滅的な影響を受けるためRTEの設定が極めて困難だからである。 February 18, 2015 Ⓒ Y. Kohno 41 ⑬ 社内インフラと中核事業への支援要員 被災後に社内インフラと中核事業を復旧するための支援要員と平時における訓練は 別添Fのとおりとする。 経営資源 要員 大項目 中項目 建物 本社棟 A棟 B棟 C棟 本務 訓練 支援 内容 期限 ・・・・・ ST事業部の 工程名 要員 支援 訓練 内容 期限 製造 ST加工 組立 計量梱包 出荷 February 18, 2015 Ⓒ Y. Kohno 42 ⑭ 代替拠点(ミラーノード) 被災後にも最低限の事業を継続するため、別添Gのとおり代替拠点と移行業務を定める。なお、 本社及び本社工場を含む地域が震度7の被害を受けた場合は、大阪支店が従業員、関係者、顧 客及びサプライヤとの連絡業務を行う。 1. 火災時における代替拠点 火災発生時における代替拠点は、本社及び本社工場内とする。 2. 地震時における代替拠点 地震で代替拠点を活用するのは、被災後の復旧推定時間(RTE2)が30日を超える場合で あり、30日未満の場合は代替拠点を活用しない。これは、具体的には埼玉県直下型地震で 震度6強または震度7のケースである。なお、代替拠点は次のとおりである。 ① 本社業務は、大阪支店に移行する。移行する業務は次のとおりである。 ② ST事業部の業務は、その50%程度を株式会社ABCD 岡山工場に移行する。 ③ OM事業部の業務は、その50%程度を株式会社EFGH 広島工場に移行する。 ④ UR事業部とIW事業部の業務は休止する。 3. 代替拠点の勤務者 代替拠点へ勤務する者は被災後に本人、上司、人事課長及び外部の社会保険労務士が協 議をして決定する。その勤務条件は、別に定める。 4. 代替拠点先との契約 代替拠点先との契約は、別に定める。 February 18, 2015 Ⓒ Y. Kohno 43 ⑮ 被災時における顧客との関係 ⑯ 被災時におけるサプライヤとの関係 顧客名 評価 優先支援度 優先供給 ST OM UR IW 特記事項 【国内】 応用技術研究所株式会社 株式会社テクノサス 主要株主 久保田電機株式会社 品名 排水タンク サプライヤ名 評価 ST 優先支援度 OM UR IW 特記事項 (株)全備 タカシ産業(株) ST研磨機(A) (株)長誠技研 ST研磨機(B) (株)長誠技研 【優先供給】 主要株主 【優先支援度】 A: 可能な限り供給量を確保する A: 通常業務レベルを50%にして、支援する B: 最低でも可能な限り50%を確保する B: 通常業務レベルを80%にして、支援する C: 状況に応じて対応する C: 状況に応じて支援する February 18, 2015 Ⓒ Y. Kohno 44 サプライチェーン ISO 28002 の定義 原材料の調達に始まって製品やサービスをエンドユーザーに届けるまでの様々な輸送形態 を通る資源やプロセスの一体化したセット 注記1 サプライチェーンには、販売会社、製造設備、ロジスティクス業者、内部配送センタ、 流通業者、卸売業者、その他の団体が含まれ、それらはエンドユーザーに連なる。 川下 February 18, 2015 Ⓒ Y. Kohno 川上 45 サプライチェーンの課題 経団連 『企業間のBCP/BCM連携の強化に向けて』(2014年2月18日) から作成 ① 企業には、広範かつ複雑につながったサプライチェーンを構成する一員として、経済活動を継続させる役割が求められて おり、業務委託先等を含むサプライチェーン内の連携強化は重要な課題である。非常時のみならず、平時においても、わ が国経済の国際競争力強化に資するものである。しかし、前回の提言でも記した通り、事業活動の継続性強化を目的と した、サプライチェーンの連携は必ずしも十分とはいえない。 ② サプライチェーン寸断の要因には、原材料・資材調達先の被災、部品の在庫不足等の製造面の問題、基幹インフラの被 災、燃料の大幅な不足等の配送面での問題等が挙げられる。こうした点を踏まえ、原材料・資源調達先の複数確保、原 材料や商品仕様の標準化、物資輸送ルートの複数確保、代替輸送手段(鉄道、フェリー等)の確保等が、今後のサプライ チェーン連携にあたり、大きな課題となる。 ③ 大企業では、東日本大震災を契機として、BCP/BCMの策定は進んでおり、サプライチェーン連携の取り組みも進展し つつある。一部企業では、高次のサプライヤ情報まで網羅したデータベースの構築も実施されている。しかし、このデー タベースの構築や更新等に係る資金や運用にあたる人材の不足等の問題も存在する。 経産省 『有識者ヒアリングのまとめ』(2014年6月) から作成 ① 川下メーカーによるサプライチェーン事業継続能力のコントロールは企業秘密の問題もあり、限界があると考えている。 ② 川下企業にサプライヤの会社名等の情報は一切開示出来ない。川下企業に開示される情報として、影響の有無や被災 したサプライヤの階層等の情報であれば問題はない。 ③ 自社の生産拠点情報も企業秘密であるため、発注元に開示することに抵抗がある ④ 自動車のサプライチェーンにも電機・電子メーカーが多数入っていて、煩雑になっており、川下メーカーが全体を把握・コ ントロールするのは限界がある。自動車でもリーダー役の企業がサプライチェーン全体をコントロールするアプローチに は、製品の部品点数が膨大であること、取引先の入れ替えが頻繁に行われていることからも限界がある ⑤ 川下メーカーがサプライチェーン全体をコントロールするアプローチは、サプライチェーンを硬直化させ、川下企業の圧力 が川上企業の事業継続能力向上を阻害する一因になってしまっているため問題がある。 ⑥ サプライチェーンは、きれいなトライアングル構造でなく、入り組んだネットワーク構造になっている。川下が管理しきるの は難しく、それぞれのサプライヤが自律的に事業継続能力を強化するアプローチのほうが適していると考える。 February 18, 2015 Ⓒ Y. Kohno 46 サプライチェーンの評価 ① ② ③ ④ ⑤ ⑥ ⑦ ⑧ ⑨ ⑩ 11 12 13 14 15 16 17 18 19 20 サプライヤに災害、禁輸、労働争議等が起こった場合でも、関係材料の納品に滞りがないような計画があるか 部材・サービスの重要性、リスク、影響のレベルが明確になっているか 2次、3次の材料供給源を同じくするサプライヤが明確になっているか サプライヤーごとの全ての部品材料表(BOM)が明確になっているか リードタイムが長い部材及び単一源(シングルソース)の部材が明記されているか リードタイムが長い部材及び単一源部材のサプライヤは全て登録されリスト化されているか リードタイムが長い部材及び単一源部材のサプライヤは在庫保管場所を複数維持しているか リードタイムが長い部材及び単一源部材のサプライヤに対しての在庫計画書または復旧計画書が整備されている か リードタイムが長い部材及び単一源部材の必要性を認定する手順が整備されているか リードタイムが長い部材及び単一源部材の供給履歴や需要予測が利用可能か リードタイムが長い部材及び単一源部材のセカンドサプライヤを確保する手順が整備されているか セカンドサプライヤを活用するための認定時間と認定計画書が整備され、毎年認定が実施されているか サプライヤがBCPを策定し、評価しているか サプライヤが策定したBCPを評価する方法があるか サプライヤの長期および短期的な供給能力について緊急時の柔軟性が追跡調査されているか 新製品開発時に、関連の工具、装置、サービスの安定供給について主要サプライヤーの能力評価をするための 手順と文書が整備されていることか サプライヤ候補とその供給能力を明確にする組織的取り組みが構築、実施されているか サプライヤの継続能力について評価する方法を、全社の技術者及び製品開発者に周知しているか 購買や設計の発注以前に、事業継続に関する要求事項が、部材・サービスのサプライヤに通知され、確認されて いるか 潜在的な部材の安定供給の問題点と解決策または代替案を明確にするための体系的な手順が整備されているか ただし、サプライヤが不当な要求やフレッシャーと感じないように、配慮すること。 February 18, 2015 Ⓒ Y. Kohno 47 ⑰ 被害金額の推定 被災時の推定被害金額及び推定復旧費用は、別添Jのとおりとする。 震度5強 地震 震度6弱 震度6強 2 火災 3 4 ➀ 復旧費用 建物 社内インフラ ST事業部 OM事業部 UR事業部 IW事業部 その他 小計 ➁ 売上減少 ➂ 利益減少 ➃ 完成品滅失額 ➄ 仕掛品滅失額 ➅ 材料滅失額 ➆ その他の費用 合計 ➇ 受取保険額 ➈ その他受取金 合計 February 18, 2015 Ⓒ Y. Kohno 48 ⑱ 教育訓練 BCPの意識定着を図るために下記のとおり教育・訓練を行う。 ① 定期的な教育訓練のうちBCPに関する教育は毎年5月、消防訓練は毎年 4月と10月に行う。 ② 不定期の教育訓練はBCP委員会が必要と認めたときに行う。 ③ 教育の内容は、BCP関する事項、防火管理規程、消防計画、救急救命措 置とし、BCP委員会が必要と認めたものを追加する。 ④ 教育の記録は、別添Kに記載するものとする。 * ISO 22398:2013 「演習のための指針」 力量 操練 査定 演習 演習年次計画 演習コーディネータ 演習プログラム 演習安全管理者 フルスケール演習 機能別演習 ハザード February 18, 2015 Ⓒ Y. Kohno competence drill evaluation exercise exercise annual plan exercise coordinator exercise programme exercise safety officer full-scale exercise functional exercise hazard 即興 注入 利害関係者 演習後報告 安全 シナリオ 戦略的演習 試験 トップマネジメント 訓練 ・・・・ improvisation inject interested party post-exercise report safety scenario strategic exercise testing top management training ・・・・ 49 ISO 22398:2013 から Type Aim Benefits セミナー(入門、概観又は教育セッション) 参加者を刺激し、チームの役割、責任、期待、及び手順に慣 れ親しませるための計画の概観を提供する。新しい計画の 実施又は新しいスタッフ/リーダーシップの追加の際に役立 つ。 非公式、実行しやすい及びストレスが低い。成功は、計画策 定の品質に依存する。 ワークショップ(入門、概観又は教育セッション) 具体的な成果物、例えば計画又は方針原案を構築するため に意図されている。 セッションパフォーマンス目標を含む具体的な計画策定を必 要とする。 Issues 参加者は、セッションの価値を認識しなければならない。 参加者は、セッションの価値を認識しなければならない。 Objectives セミナーの結果として、参加者からどんなパフォーマンスが 期待されているかに関する具体的な目標。 ワークショップの「成果物」を特定 Safety 安全性、通常の組織安全プログラム。 通常の組織安全プログラム。 Type テーブルトップ(実習又は模擬演習) ゲーム(シミュレーション) 計画、手順、調整、及び資源の割り当てを査定するために、 シナリオの限定的シミュレーション(物語形式で提示される) 破壊的インシデント中に要求される決定に関する練習を提 を提示する。一度に1課題ずつ取扱い、議論のための中断を 供する。 可能にする。参加者を、具体的な役割時間に慣れ親しませ る。 決定及び行動が模擬応答及び結果を生成する。事業継続 チーム構築及び問題解決の練習となる。 性スタッフなど、より多くの参加者、シミュレータ、及び査定者 が関与する。 一般的に詳細であり、ストレスレベルが高い。ゲームは、提 ある程度詳細で、中程度のストレスレベルを伴う。 供及び/又は演技者の行動に対する応答のモデリングにお いてしばしば技術を利用する。 オーディエンス、パフォーマンス、条件、及び基準の観点から オーディエンス、パフォーマンス、条件、及び基準の観点から 述べられた最低3つのパフォーマンス 述べられた最低5つのパフォーマンス目標。 演習安全分析中に、追加的な医療応答資源の必要性が特 演習安全分析中に、追加的な医療応答資源の必要性が特 定されてもよい。演習安全管理者の割り当ては要求されなく 定されてもよい。演習安全管理者の割り当ては要求されなく てもよい。 てもよい。 Aim Benefits Issues Objectives Safety February 18, 2015 Ⓒ Y. Kohno 50 ISO 22398:2013 から: つづき Type Aim Benefits Issues Objectives 操練または機能的(段階的又は特化演習) 応答機能の実際のパフォーマンスを要求しながら、(人員、 機器、及び資源の実際のサイトへの移動がない)制御され た環境において可能な限り現実的にシナリオをシミュレート する。コミュニケーション、準備、及び資源の可用性を試験 する。 決定及び行動がリアルタイムで起こり、リアルな応答及び 結果を生成する。緊急事態サービス及びメディアなど、より 多くの参加者、シミュレータ、及び査定者が関与する。 一般的に詳細であり、ストレスレベルが高い。 関与する機能の数に応じた多数演習パフォーマンス目標。 機能毎の目標は3つ以上であることが望ましい。 危機マネジメント演習 シナリオのリアルタイム、リアルライフシミュレーションのた めに人員、機器、及び資源を具体的な配置に展開する。計 画全体を試験するために可能な限り多くのBCP機能を組み 込む。 人々が自分たちの役割を遂行し、危機マネジメント計画を 習熟する 一般的に詳細であり、ストレスレベルが高い。 関与する機能の数に応じた多数演習パフォーマンス目標。 機能毎の目標は3つ以上であることが望ましい。 演習安全分析中に、追加的な医療応答資源の必要性が特 定されてもよい。演習安全管理者の割り当ては要求されな くてもよい。 Safety 演習安全管理者が割り当てられ、完全な演習安全分析が 遂行されることが望ましい。 Type フルスケール(ライブ又はリアルライフ演習) Aim シナリオのリアルタイム、リアルライフシミュレーションのために人員、機器、及び資源を具体的な配置に展開する。計画 全体を試験するために可能な限り多くのBCP機能を組み込む。 Benefits 双方向的方法で業務能力を査定する;組織及び公共民間セクター全体のコミュニケーション及び調整を促進する。 Issues 一般的に詳細であり、ストレスレベルが高い。 Objectives 関与する機能の数に応じた多数演習パフォーマンス目標。機能毎の目標は3つ以上であることが望ましい。 Safety 演習安全管理者及び含まれる活動及び場所に応じた数の安全管理者チーム。100を超える演習パフォーマンス目標を伴 うFSE演習は珍しくない。 February 18, 2015 Ⓒ Y. Kohno 51 日本の分類 訓練手法 導入訓練 机上型訓練 ウォークスルー リアルタイム型訓練 シミュレーション訓練 反復訓練 模擬演習 総合演習 概要 簡単なクイズ形式での問いかけなどによりBCPの必要性についての意識高揚や初動対応時の役割 やルールを認識する 一般従業員向けの災害時緊急対応、訓練の目的、時間等に応じた訓練内容の設定が可能 BCPの内容に沿って現場に足を運び、実効可能性を確認する 部署ごとの状況付与がリアルタイムに展開され実務的な訓練が可能 実際の災害時に起こりうる状況をメンバーに付与し、シミュレーションのプレーヤーとしてそれぞれの 役割を演じてもらうことにより、災害時の部門の役割を理解するとともに、その役割を的確に実施す るためのノウハウを取得する BCPの行動手順や操作手順のスキルの習得・維持・向上のための反復演習 参加者には事前に訓練シナリオ内容を公開せず、訓練開始時に運営者側で準備したさまざまな状 況シナリオをリアルタイムに提示していきながら、その場の判断で行動する。事前の計画が「必要か つ重要なこと」である事を気づきとして体感する。 可能な限り実際の危機に類似した状況を作り、臨場感や緊迫感を体感しながら、個々人や組織間の 整合性や実効性を確認する。 主な種類 参集訓練 内容の例 就業時間外の参集 図上訓練 (DIG) 災害状況の検討 防災対策の検討 図上訓練 (シナリオ提示型) 図上訓練 (シナリオ非提示型) 防災対策の手順確認 February 18, 2015 Ⓒ Y. Kohno 防災対策の意思決定 (災害対策本部等) 備考 予め指定した時間を指定して参集する場合と、期間を指定してその期間 内で非常参集をかける場合がある。 地図を使って防災対策を検討する訓練。自治会等の市民レベルの訓練 も盛んである。 DIG=Disaster Imagination Game 対応手順の確認に主眼が置かれ、決められた手順通りに対応を行う訓 練。従来の自治体の総合訓練が相当する。 訓練シナリオを事前に提示しない形式の訓練で、事前又は訓練中に付 与される情報に基づき判断し行動する訓練。非常に高度な訓練であり、 訓練の実施には高度なノウハウが必要となる。 52 訓練の注意点と参考資料 被災後の復旧推定時間(RTE2 )のために 被災後のRTE2 は大変重要 平時における自社とサプライヤのRTE2 の推定訓練は重要! 平時から、自社とサプライヤのRTE2 のトリガー(2次サプライヤを含む)を理解しておく 被災時の情報収集ではサプライヤへ配慮する: 本人・家族・社員の安否、会社の被害状況 被災時の情報収集ではサプライヤを責めない、圧力をかけない、混乱させない 被災時のサプライヤ支援を平時に考える ユーザーとの被災時連絡を平時に考える 『建設会社における災害時の事業継続力認定の継続申請に向けたBCP訓練マニュアル』 国土交通省 関東地方整備局 平成25年3月 『企業の事業継続訓練」の考え方 -製造業の調達機能による事業継続訓練の実施事例をもと に- 』 平成24年3月 内閣府 防災担当 『机上型事業継続訓練マニュアル』 平成26年3月 高知県 『企業の事業継続マネジメントにおける 連携訓練の手引き 』 平成25年3月 内閣府 防災担当 『危機対応演習(シナリオ非提示型訓練)』 平成25年6月22日実施 経済産業省製造産業局 『ICT部門における業務継続計画 訓練事例集』 平成25年2月19 日実施 総務省 February 18, 2015 Ⓒ Y. Kohno 53 ⑲ 点検及び有効性の見直し 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 チェック項目 会社の状況に大きな変更はないか 防災関係の法令に変更はないか 顧客からBCP関係の要求項目に変更はないか 業界のBCP関係ガイドラインに変更はないか 対象とする事象とそのレベルに追加や変更はないか 命を守る関係の手順書に変更、追加は必要ないか BCP委員会及び災害対策本部の構成に変更はないか 中核事業の特定に変更はないか 社外インフラに変更はないか 社外インフラの復旧推定時間(RTE)に変更はないか 前年度に承認された改善策(RTOを含む)は実施されたか 社内インフラに変更はないか 社内インフラの復旧推定時間に変更はないか 各課、各工程の経営資源に大きな変更はないか 各課、各工程の復旧推定時間に変更はないか 顧客の評価に変更はないか サプライヤの評価に変更はないか 推定被害額等に変更はないか 命を守る教育訓練は定期的に実施されているか 代替要員の教育訓練は定期的に実施されているか February 18, 2015 Ⓒ Y. Kohno 54 演習 3 次をお願いします。時間は休憩を含め30分です。 Q4 調査票に含めるべき項目を下から15個選んでください。 経営資源(ヒト): A1 現員数、A2 中断の影響、A3 過去の中断歴、A4 必要な資格、A5 必要な技術と知識、A6 必要な経験、A7 代替の容易性、A8 代替者の研修期間、A9 代替の実務記録、A10 通勤距離、A11 家庭の状況 (未成年、要介護者など)、A12 現在の損害・生命保険状況と保険費用、A13 望ましい損害・生命保険状況と保 険費用、A14 (具体的に )、A15 (具体的に ) 経営資源(モノ): B1 管理責任者、B2 管理副責任者、B3 中断の影響、B4 過去の中断歴(含む地震と火災 以外)、B5 過去の最大中断時間、B6 過去の最大修理金額、B7 再調達費用、B8 再調達時間、B9 クリティカル リンク(当該工程が業務上依存している他工程、課)、B10 脅威と思っている事象(地震と火災以外)、B11 現在 の対策(事象毎)、B12 現在の復旧対策手順書(内容のレベル)、B13 事象毎の復旧推定時間(RTE)、B14 事象毎の復旧目標時間(RTO)、B15 RTOの実現に必要な費用、B16 RTOの実現に必要な時間(開始から終 了まで)、B17 現在の付保状況と保険費用、B18 望ましい付保状況と保険費用、B19 (具体的に ) 文書・データ: C1 管理責任者、C2 管理副責任者、C3 最終更新日、C4 内容理解者(複数が望ましい)、C5 第 一保管場所、C6 第二保管場所、C7 復旧手順の有無、C8 喪失時の再入手方法、C9 (具体的に ) サプライヤ関係: D1 管理責任者、D2 管理副責任者、D3 先方の連絡担当、D4 その代行者、D5 中断の影響、 D6 代替の容易性、D7 過去の中断歴、D8 過去の事象対策、D9 過去の最大中断時間、D10 過去5年間の取引 額、D11 品質レベル、D12 CSRレベル、D13 BCPレベル、D14 (具体的に ) その他: E1 (具体的に February 18, 2015 Ⓒ Y. Kohno )、E2 (具体的に ) 55 長時間のご静聴とご協力、 大変ありがとうございました。 黄野吉博、一般社団法人レジリエンス協会 February 18, 2015 Ⓒ Y. Kohno 56
© Copyright 2024