12.リスク管理
12-5.事業継続・災害復旧 (旧「ファイリングの部屋」アーカイブ)		 ファイリングの部屋
HOMEへ

 

これまで hi-ho.ne.jp で公開していた「ファイリングの部屋」を、この新しいドメイン(filingroom..jp)にもコピーしました。不要と思われるページは削除していますが、内容はそのままです。
従来のアドレスにも、当面は残しておきますが、できるだけこちらを利用していただければ幸いです。

 

2011年に発生した東日本大震災から、多くの問題点が浮かび上がってきていますが、ここでは事業継続と災害復旧に関して書類管理の面から考えてみます。

東日本大震災では市役所の建物が津波の被害にあい、戸籍や住民票など大切な書類が流失し、別の場所の法務局に保存していたバックアップまで同時に流出したため、大きな問題となりました。 また、図書館では大切な古文書を保管していた地下室も被害にあっています。
個人では、思い出の写真などもすべて流され、がれきの中から回収する作業も進められています。
このような中で、一般の企業も同様に大きな被害を受けていますが、設備については写真などで報道されますが、書類の損失についてはほとんど伝わってきません。

まず、事業継続や災害復旧の指針となるべき規格やガイドラインを調べてみました。
事業継続は、初めのころはコンピュータの故障などによる業務停止を避けるための、コンピュータの二重化やバックアップの作成などだったようですが、1995年に米国で発生したオクラホマシティ連邦政府ビル爆破事件、2001年9月11日の同時多発テロ事件、2004年〜2005年に発生したロンドンとマドリードでの地下鉄爆破事件、2005年のハリケーン・カトリーナなどから、単なるシステム復旧ではなく、事業そのものの継続に重点が移されてきています。
このため事業継続などの規格は、アメリカやイギリスで先行して作成されてきています。

 

各種の規格
  BS25999-2 (事業継続マネジメント 第2部:仕様)
    2002年4月、英国BCI(British Standard Institute)の「Good Practice Guidelines(実践的な指針)」のもとに英国規格協会(BSI:British Standard Institute)がPAS56として作成した一般仕様書。脅威対象を特定せずに本社機能不全に対するBCMのフレームワークについて詳細な説明がなされている。
ISO9000などと同様、第三者認証の基準となっている。
規格は英語であるが、日本語との対訳形式で、日本規格協会より販売されている。
     
  ISO/DIS 22301 (社会セキュリティ緊急事態準備及び事業継続マネジメントシステム −要求事項)
   

現在策定中の規格。順当にいけば2012年4月ごろ正式にISO化される予定。TC223のワーキンググループで取り組まれており、社会セキュリティに関わる規格の中のガイドラインの一つとしての位置づけ。内容はBS25999とほぼ同じとみなせる。
BS25999と同様に日本語との対訳形式で、日本規格協会より販売されている。

     
  ANSI/NFPA16000 (災害/緊急事態マネジメントおよび事業継続プログラムの規格)
    2004年、米国NFPA(National Fire Protection Association)により出されたものでANSI(米国規格協会:American National Standards Institute)の正式規格となっている。PAS56との違いの特徴は脅威を特定するところ。
     
  ANSI/ASIS SPC.1(組織レジリエンス:セキュリティ、緊急事態準備、及び継続マネジメントシステム−要求事項及び利用の手引 -仕様-2009 )
    2009年により発行された事業継続マネジメントシステム(BCMS)の米国規格。ASIS(American Society for Industrial Security )は、セキュリティ団体日本にもその支部があり、この規格の日本語訳を公開しており、タイトルからのリンクは、ここに設定している。
     
各種のガイドライン
  事業継続計画策定ガイドライン」(2005年3月、経済産業省)「事業継続計画策定ガイドライン」(2005年3月、経済産業省)
    企業における情報セキュリティガバナンスのあり方に関する研究会(平成16年9月〜平成17年3月開催)の報告書での参考資料として作成された。 IT事故を主に想定したBCPとなっている。
     
  事業継続ガイドライン 第一版」(2005年10月、内閣府)
事業継続ガイドライン 第二版」(2009年11月、内閣府)
    「事業継続計画策定促進方策に関する検討会」で策定したもので、関連資料には解説書、チェックリストのほか、「事業継続計画の文書構成モデル例」もある。
     
  中小企業BCP策定運用指針」(2006年2月、中小企業庁)
    中小企業を対象としているが、わかりやすい説明となっている。「中小企業BCP(事業継続計画)ガイド〜緊急事態を生き抜くために」も参考になる。
     

規格類での文書については、ISO9000などで決められている記録の作成や管理とほとんど同じレベルでしか触れられていません。ただANSI/ASIS SPC.1のみが、附属書の中で「敷地外倉庫保管の場所は、同一事象により同じような影響を受けないよう、主要施設から十分な距離にあることが望ましい。」と触れている程度です。

国が発表した資料などの中で、バイタルレコードについて触れているのは、おそらく経済産業省の発表した「事業継続計画策定ガイドライン」でしょう。ここでは「特に、企業の存続に関わる文書や代替情報が他に求められない文書(バイタル・レコードと呼ばれる)が失われると、事業に支障を来すことから、そうした文書の特定、複製化や分散管理など管理方法の検討、緊急時の利用・活用手順の検討などを行うことが望まれる。」と説明していますが、これだけではよくわかりません。

内閣府の「事業継続ガイドライン」では、もう少し詳しく「バイタルレコードには、設計図、見取図、品質管理資料等、災害時に直接的に必要な文書やコーポレートガバナンス・内部統制維持、法令遵守、説明責任確保のための文書、権利義務確定、債権債務確保のための文書等、間接的に必要な文書がある。」と説明しています。

事業継続・災害復旧は、一つの概念のように論じられていることが多いようですが、事業継続は緊急時での対応であり、災害復旧は緊急事態が終了したあと、いかに元にもどしていくかのもので、時間的には余裕があります。

バイタルレコードについても、緊急時に必要なもの(緊急連絡先、緊急時のチェックリストなど)と、災害復旧時に必要となるもの(設計図、見取り図など)のほか、法定保存書類や歴史的資料などと区別して、それぞれの保存・保管方法を決める必要があります。
緊急時に必要なものは、パソコンなどが利用できないことも想定し、紙の文書とするほか、夜間や休日で発生した時を想定し、場合によっては社員の自宅に置くことも考慮する必要があります。

 

| Topページ | 0.はじめに | 1.情報の記録 | 2.増加する書類 | 3.作成から廃棄まで |
| 4.書類の整理 | 5.書類の電子化 | 6.電子化書類の活用 |
backnext| 7.電子ファイルとファイリング | 8.LANの活用と問題点 | 9.ファイリング意識の向上 |
| 10.ファイリングを考慮した書類の作成 | 11.マネジメントシステム |
| 12.リスク管理 | 13.ファイリングに関する動き | 14.付録 | 15.編集雑記 |

Updated on 2013/09/28