導入
BCP 構築を「感覚」で進めると、いざという時に“絵に描いた餅”になります。国際規格 ISO 22301 の PDCA モデルと FEMA 公式フレームワークをベースに、経営と IT が共通言語で議論できる土台を 4 週間で整備しましょう。国際標準化機構 FEMA
ISO 22301 が示す PDCA サイクル
| フェーズ | 主要タスク | 成果物 | 参照 |
|---|---|---|---|
| Plan | 組織スコープ設定・BIA 実施 | BIA レポート、BC 方針 | ISO 22301 Clause 4–6 国際標準化機構 |
| Do | BCM 運用 & 資源配備 | 代替サイト/クラウド DR 構成図 | 同上 |
| Check | KPI/KRI 監視・内部監査 | 監査報告書 | ISO 22301 Clause 9 |
| Act | 改善計画・経営レビュー | 是正/予防記録 | ISO 22301 Clause 10 |
FEMA Continuity Planning Framework の 4 要素
FEMA の Federal Continuity Directive は、“Staff & Organization, Equipment & Systems, Information & Data, Sites” の 4 つを軸にリスクを最小化します。
FEMA – Federal Continuity Directive
ISO 22301 とのマッピング
| FEMA 要素 | ISO 22301 Clause | 具体的アクション |
|---|---|---|
| Staff & Organization | 5.3, 7.1 | ロール定義、後継者計画 |
| Equipment & Systems | 7.2, 8.3 | クラウド DR、SaaS 冗長 |
| Information & Data | 7.5 | 暗号化バックアップ、RPO 設定 |
| Sites | 8.4 | サテライトオフィス、在宅用 VDI |
ガバナンスと責任分担
- 経営層:BC 方針承認、年間 KPI 設定。
- BCP 委員会:全社横串で BIA/リスク評価を統括。
- IT 部門:RTO/RPO 設計、DR テスト主導。
- 各部門長:代替手順策定、訓練参加率 100 % を担保。
- 監査部門:年 1 回 ISO 22301 Clause 9 に基づく内部監査。
国際標準化機構
Business Impact Analysis(BIA)の実践
- クリティカル業務選定:社内 20–30 プロセスを洗い出し。
- 影響尺度設定:財務・顧客・規制・評判の 4 軸。
- RTO / RPO 目標化:ISO と FEMA が推奨する“段階式”閾値(≤2h, 2–8h, 8–24h, >24h)。FEMA – Business Process Analysis and Business Impact Analysis User Guide July 2019
FEMA – Continuity Resource Toolkit - 優先度付け & 承認:CIO/COO が共同署名。
- テンプレート化:次セクションの Excel を利用。
文書化 & 承認フロー
- ドラフト(BCP オフィサー)→ レビュー(各部門長)→ 承認(取締役会)
- バージョン管理:NIST SP 800-34 付録 D の“文書統制”を踏襲。
NIST Computer Security Resource Center
30 日アクションプラン
| 週 | マイルストーン | 完了条件 |
|---|---|---|
| 1 | スコープ確定 & BIA キックオフ | キックオフ議事録, 責任マトリクス |
| 2 | BIA データ収集 | Excel テンプレート 80 % 記入 |
| 3 | RTO/RPO 設定 & ギャップ分析 | IT/業務ギャップ表 承認 |
| 4 | BCP 草案レビュー | 取締役会で方針承認 |
90 秒チェックリスト
- ISO 22301 Clause 4–6 を読了
- FEMA Continuity Framework の 4 要素を自社にマッピング
- BIA テンプレートを全部門へ配布
BIAテンプレートサンプル
| 業務プロセス | 目標復旧時間 (RTO) | 目標復旧地点 (RPO) | 最大許容停止時間 (MTPD) | 地震影響 | パンデミック影響 | 代替手段 | 所要リソース | 優先度 | 担当部署 |
| 受注処理 | 4 時間 | 15 分 | 8 時間 | 高 | 中 | 手動受注フォーム | クラウドCRM | 最優先 | 営業部 |
| 顧客サポート | 2 時間 | 0 分 | 4 時間 | 中 | 高 | 在宅サポート回線 | VPN, コールシステム | 最優先 | CS部 |
| 財務決算 | 24 時間 | 60 分 | 48 時間 | 低 | 中 | クラウドERP | 会計SaaS | 優先 | 経理部 |
| 物流管理 | 8 時間 | 30 分 | 12 時間 | 高 | 中 | 第三倉庫利用 | WMS, 運送会社 | 優先 | 物流部 |
- 30 日アクションプランを経営会議に上程
参照リンク一覧