事業継続マネジメントシステムの国際規格であるISO22301:2019では、事業継続計画の実施を確実なものとして実施する活動を「演習および試験」と呼んでいます。また、ISO22301を補足するものとして用語を解説するISO22300では、演習および試験に加えて、「訓練」についての記述があります。

日本ではこの3つの使い分けがなされないことが多く、当社サービスも演習と訓練は併記していますが、実際には異なる用途で実施されるものです。ここでは、策定したBCPを検証するために行う以下の３種類をあわせて「エクササイズ」と呼びます。

• 試験（test）
• 訓練（drill/training）
• 演習（exercise）

上記３つの手法の違いを例えると、習った算数の公式を使って教科書の問題を解き、回答が正しいかどうかを判定するのが試験です。その公式の習熟度を上げる作業として、計算ドリルをひたすら解く、これが訓練になります。演習は、習った公式を使用して、応用問題を解く作業に当てはまります。実際にエクササイズをどの手法で実施するかは、BCPの策定状況や目的、組織の状況などを考慮して決めます。例えば、BCPを策定したばかりの段階では、「試験」を目的として、設定したMTPD以内に業務が復旧できるかを事務局内でテストし、合否判定をするなど限られた範囲の検証作業をおこなうと良いでしょう。

エクササイズを行うことにより、以下の効果やメリットが期待できます。

• BCPの実効性を評価できる
• BCPの改善点や改善すべきエリアを明確にすることができる
• 業務継続を実施するために必要な情報の過不足を確認できる
• 参加者に対して業務復旧、継続手順の啓蒙、教育ができる
• 組織に対してBCPに対する意識を高めることができる
• 組織内の協力関係を強化できる

エクササイズは大きく分けて、以下のステップで進めます。

1. エクササイズ計画の策定
2. エクササイズの実施
3. 改善事項のまとめ・報告

まず、エクササイズの計画を作りましょう。目的、対象範囲、手法やシナリオを決めます。上記の３つのエクササイズの種類（試験、訓練、演習）は目的によって決まります。自社の策定したBCPの成熟度に合わせて１つまたは複数選択します。対象範囲については事務局だけにするのか、部門ごとの担当者を収集するのか、全社レベルでやるのかなどを検討します。

また、訓練ひとつをとっても、実施手法は豊富にあり、こちらも実施目的や狙いに適したものを選んでいくとよいでしょう。代表的な例をあげると、机上、ウォークスルー、シミュレーション、実動などがあります。シナリオは、対象リスクに合わせて、どのリスクが発生した際にどんな状況が起こるかを想定する作業です。例えばパンデミックが発生し、社員の出勤率が60%を下回る際にどういうことが起こるのか、という状況をシナリオとして想定します。

エクササイズの実施においては、進行役、書記、実施者、レビューワーといった役割を置き、エクササイズのシナリオに沿って復旧手順、継続手順を確認します。ここでポイントとなるのが、シナリオを進めていく中で、想定していないケースなどが発生する場合です。その際には、対応方法を検討し今後の改善策として書き留めておくことが重要です。エクササイズ実施後、参加者から出てきた意見や検討事項をまとめ、今後の改善事項として、参加者及びマネジメントへ共有します。

BCPは策定しただけでは、その実効力が見えない部分があります。そのためエクササイズを定期的に実施し、BCPを検証していくことが、実効力を高めるポイントとなるでしょう。