【事例紹介】英国金融機関BCM 構築事例
ニュースレターはこちらをご覧ください>>BCI Japan HP
はじめに
ターンブルガイダンスが前提とする、英国におけるコーポレートガバナンスでは、内部統制の責任は取締役会と経営陣の双方が負うことになります。 本ガイダンスはまた、内部統制システムの構築を推進するにあたっての実務的ガイドとしても利用され、その中では、ロンドン証券取引所の上場企業全てにおいて、 事業継続性を確保することについても触れられています。英国FSA(Financial Services Authority:金融庁)もまた、 管轄企業に対して、事業継続性を確保するための計画の策定、及び、その有効性のテストを義務付けています。本稿では、外国の銀行が英国において銀行業に新規参入するに際し、 英国FSA からの認可を得るための準備として筆者が携わったプロジェクトについて、ご紹介をいたします。
1. 英国FSA 要求事項
銀行業に新規参入するには、英国FSA からの様々な要求事項を満たしていることを証明しなければなりません。
「証明」とは、認可の申請者(当該銀行)による証明だけではなく、外部スペシャリストによる「意見書」の提出も必要となります。
IT に関するコントロール要求事項は、主に以下の9つのエリアに分類されますが、事業継続に関する要求事項については、「情報システムの可用性」
(表1)及び「情報システムの復旧手順」(表2)の項に含まれています。
- IT ガバナンス
- プロジェクト管理
- オンライン・ビジネス・システム管理
- 情報セキュリティ
- 情報システムの可用性
- 情報システムの復旧手順
- 変更管理手順
- 情報システム関連文書管理
- その他(外部委託など)
表1 情報システムの可用性について(一部抜粋)
| 課題 | 回答例 |
|---|---|
|
|
|
|
|
|
表2 情報システムの復旧手順について(一部抜粋)
| 課題 | 回答例 |
|---|---|
|
|
|
|
|
|
|
|
|
|
2. ベストプラクティスに基づくBCM構築
上述の通り、英国FSA は業界ベストプラクティスに基づいた事業継続計画(及び災害復旧計画)の策定を推進しています。英国ではPAS56 をベースとした事業継続マネジメントの構築を行っている企業が多くありますが、本プロジェクトではBS25999 のフレームワークを利用することにしました。
また、具体的な計画書の作成に際しては、英国FSA より発行されている‘事業継続マネジメント実践ガイド’を参照しています。本実践ガイドでは、以下の項目について‘調査対象企業のほぼ全てが導入している一般的な管理策’及び‘調査対象企業の中で一部のみが導入している、より強度な管理策’を提供しています。
- 企業全体の事業継続に関する対策
- クライシス・マネジメントに関する対策
- 情報システム及び通信に関する障害対策
- 設備に関する対策
- 人に関する対策
BCM 構築にあたって行った、主な作業は以下の通りです。
- 主要なビジネスプロセスの洗い出し
- ステークホルダー(利害関係者)の特定と要求事項、及び、法令(例:データ保護法)により課せられる義務の特定
- 主要なビジネスプロセスをサポートするためのリソースの特定
- 上述①〜③の相互依存関係の分析
- 主要なビジネスプロセス、及び、それをサポートする重要なリソースを中断または混乱させる可能性があると認識された脅威の特定。尚、脅威の特定にあたっては以下のガイドラインも併せて参照しました。
• ISO/IEC 27001:2005 – Information Security Management Systems – Requirements
• BS 7799-3:2006 – Information Security Management Systems – Guidelines for information security risk management
• ISO/IEC TR 13335-3:1998 – Guidelines for the Management of IT Security – Techniques for the Management of IT Security. - 主要なビジネスプロセス、及び、それをサポートする重要なリソースの中断または混乱による影響の分析
- リスク評価
- 事業継続に係るリスクシナリオの特定と、対応計画の策定
- 重要なオペレーショナルリスクシナリオの特定(例:オフィスビルへのアクセス不能、電源の利用不能、オフィスのある地域一帯へのアクセス不能)と、対応計画の策定
3. BCM への取組みに関する訓練及びレビュー
事業継続計画は、「発生の可能性は低いが、発生した際には組織の主要ビジネスの継続に深刻な影響を与えると考えられるリスクシナリオ」について策定されます。 そのため、定期的な訓練及びレビューを行わないと、容易に形骸化してしまう危険性があります。
英国FSA は、策定した事業継続計画の定期的なテスト及び改訂を要求していますが、頻度については特に触れていません。 本プロジェクトでは、年2 回の定期テストを実施することで合意しています。 第一回目のテストでは、シナリオとして「オフィスのある地域一帯へのアクセス不能」を想定しています。 全社員を合わせても30人程度であることと、事前インタビューの結果、BCM チームリーダを除くほぼ全員が、事業継続計画に関する認識が浅いことが判明したため、 一部の人のみを対象としたテストではなく、全社員を対象にした訓練を実施することにしました。 DR サイトへ移動しての業務継続、監督庁への電話連絡(実際は弊社スタッフへの電話連絡)など、出来る限りリアルにシナリオを再現してのテストを行いました。
筆者及び弊社スタッフは、オブザーバーとしてテストに参加し、BCM チームの対応・管理能力と、各社員がそれぞれ自分に割り振られた役割を適切に果たしているかを確認しました。
4. おわりに
英国においては、情報セキュリティマネジメントへの対応と並び、事業継続マネジメントへの対応レベルが取引先選定時に重要視されます。 加えて、英国FSA が業界ベストプラクティスに基づいた事業継続マネジメントの構築を要求していることを鑑みると、従来のPAS56 に代わり、 今後は更にBS25999 のフレームワークを利用したBCM構築が盛んになってくると思われます。これを受け、日本においても同様の動きがあることが予想されるのではないでしょうか。
