リスク管理Naviリスクマネジメントのワンストップ情報サイト

ガイドライン

金融機関等におけるコンティンジェンシープラン(緊急時対応計画)策定のための手引書(第3版)

2012年01月10日

本手引書は、2006年3月に金融情報システムセンター(FISC)から発行された金融機関向けIT-BCP策定のためのガイドラインです。初版が1994年に公開されている古い歴史を持つガイドラインですが、実際に起きた事例(阪神・淡路大震災、西暦2000年問題)や、他の事業継続計画(BCP)・事業継続マネジメント(BCM)のガイドラインを考慮しながら、時代のニーズに合わせて改版が行われてきたものです。

なお、タイトルに「コンティンジェンシープラン(緊急時対応計画)」という言葉が使われていますが、具体的には「コンピュータシステムが停止にいたった際の復旧行動計画」を指しています。

したがって、本手引書は「コンピュータシステムが停止にいたった際の復旧行動計画」を、「どのようなステップで作り上げていけばいいのか?」、「どういった点を考慮すべきか?」、「どんな分析手法やシートを使うことが有効なのか?」などについて丁寧に解説しています。理解度に応じて掘り下げることができる文書構成(下記参照)となっており、また、分析シートやチェックリストも豊富であるため、数あるBCP/BCMのガイドラインの中でも非常に実用性の高いガイドラインであると言えるでしょう。

【文書構成】
第1編: 策定にあたって
第2編: 策定の過程と留意点
第3編: プロセス
第4編: 考慮事項
第5編: 参考例
第6編: 自然災害以外のリスク
第7編: 資料
付表
ただし、近年大きな注目を浴びている「新型インフルエンザ」をカバーしていないこと、「エクササイズ(演習)」についてあまり深く触れていないこと、などは留意点として挙げられます。

具体的な中身ですが、多くのBCP/BCMガイドラインと同様に、PDCAサイクル(計画、実施、チェック、見直し)を意識した策定手順(5ステップ)を示しています。また、BCP策定の重要なステップであるリスク分析(RA)および事業インパクト分析(BIA)については、まずはリスクの特定から手をつけるアプローチ(ISO/PAS22399の付属書A(影響度評価手順)の考え方と似ています)を採用しているのが特徴的です。

【リスク分析(RA)と事業インパクト分析(BIA)に関わる流れ】
1. リスク(原因)の特定
2. リスク(結果)の特定
3. 影響する業務の特定
4. システム対応の優先順位付け(影響する業務のシステムに対する依存度を参考に)
最後に、本手引書の用途ですが、言うまでもなく金融機関における情報システムの事故・災害復旧計画策定を考える立場にある方に非常に有効なガイドラインです。また、その内容の詳述さから、広く情報システムのBCPを構築したいと考えている方々にとっても、非常に価値あるものということができるでしょう。

(文責:勝俣 良介

小冊子プレゼント

リスクマネジメントにかかわる小冊子PDFを無料でダウンロードいただけます。

情熱コンサルタント宣言

私たちは「本当にお客様の役に立ちたい!」という熱い心を持ったコンサルタント集団です。真の意味でお客様の礎となる支援をいたします。

新着コンサルタントコラム