コンティンジェンシープラン(Contingency Plan)
| 執筆者: | エグゼクティブコンサルタント 久野 陽一郎 |
| 改訂者: | エグゼクティブコンサルタント 久野 陽一郎 |
コンティンジェンシープランとは、予期せぬ事態に備えて、予め定めておく緊急時対応計画です。これがあることで、組織は、予期せぬ事態によって中断する範囲を最小限にし、迅速かつ効率的に必要な業務の復旧を行うことが可能になります。
緊急時対応のために定めるコンティンジェンシープラン
金融機関や政府などの公的機関においては、有効なコンティンジェンシープランを策定することが望まれており、金融庁の監督指針や検査マニュアルなどにもコンティンジェンシープランの必要性が明記されています。
特に金融機関にとっては、経済活動のインフラとして社会を支える責任から、緊急時にも業務を適切に継続、復旧するためのコンティンジェンシープランの策定は、必要要件の一つと言えるでしょう。災害などによるシステム停止、サイバー攻撃によるシステムやデータアクセス不可、システム開発やデータ移行、システム更新による障害発生などに備えてコンティンジェンシープランを策定することが一般的です。仮に新システムへの本番移行が失敗したり、本番移行後にシステムの稼働が安定しなかったりした場合は事業継続へも影響が及ぶ恐れがあり、事前に役割分担や対応手順を定めておく必要があるからです。
BCP(事業継続計画)とコンティンジェンシープランの相違
コンティンジェンシープランはBCP(事業継続計画)と共通点が多いため、混同されがちです。両者に共通しているのは、リスクを特定し、それに対する対応策を当てていくという考え方ですが、相違点もあります。以下に、相違点を簡単にまとめます。
BCPは人員、施設・設備、ITシステム、委託・サプライヤなどのサードパーティによるサービスが使用できない場合を想定しての業務継続策を検討します。
コンティンジェンシープランはよりITシステムにフォーカスし、ITシステムが何らかの理由で使用できない際に、マニュアル等での業務継続手順を定めたものとして策定される傾向が強いです。
策定方法についても、BCPの策定においては、リスクに対する対応策を策定する前に、事業インパクト分析(BIA)を行い、継続すべき重要な業務を選定します。
それに対して、コンティンジェンシープランの策定においては、事業インパクト分析は実施しません。つまり、どの業務が停止するとその事業にどのような影響がでるかといったことは検討せずに、継続すべき業務を特定します。
但し、昨今の流れとしては、オペレーションレジリエンスの考え方のもと、コンティンジェンシープランもBCPに含めて考え、BCPの高度化、オールハザード型BCPに融合し、策定および改善を進めていく方向になりつつあります。
コンティンジェンシープランの構築ステップ
コンティンジェンシープランを構築するには、
- 1.調査と基本方針の決定
-
- リスクの洗い出し
- 業務と経営資源の整理
- リスク評価、業務の優先順位付け
- コンティンジェンシープランの基本方針の決定
- 2.コンティンジェンシープランの立案
-
- リスクシナリオの設定
- 緊急時体制の構築
- 代替手段の詳細決定
- 各対応手順の文書化
- 3.コンティンジェンシープランの周知徹底
-
- 経営者によるコンティンジェンシープランの承認
- 全社へ周知
- 4.コンティンジェンシープランの維持、改善
-
- 定期的な教育、訓練の実施
- コンティンジェンシープランの見直し
となります。コンティンジェンシープラン策定後も訓練などを通じ改善点を洗い出します。定期的に見直し教育することによって実効性のあるものが組織に定着します。
コンティンジェンシープランに関する参考文献
「金融機関等におけるコンティンジェンシープラン(緊急時対応計画)策定のための手引書」 FISC(金融情報システムセンター)発行
本手引書は金融機関を対象にコンティンジェンシープランを策定するために書かれたものです。
本手引書は、下記前提の元に構築に必要なステップを具体的に示しています。
リスク:システムリスクとオペレーショナルリスク
範囲:コンピュータセンター、営業店や本部機構など
業務の選定においては全業務を対象としていますが、金融業務の遂行は特に情報システムに深く依存していることから、情報システム関連を中心に記述されています。
金融機関向けに発行されていますが、コンティンジェンシープランを策定するプロセスがシンプルに記述されているため、金融機関以外の方にも参考となる一冊です。
