GPG7は、BCPの整備・運用に関する実務者の悩みや課題を解決するため、世界中のBCPのプロフェッショナルが知見を合わせて作成したBCPガイドラインです。BCI によって2001年に初版が発行され、数年に一回程度の頻度で改訂されてきました。今回(Edition7)は2018年以来、5年ぶりの改訂となります。

以下は、BCPの整備・運用に関する悩みや課題の一例です。該当する項目のある方は当事者と言っていいでしょう。

• BCP整備に向けてどのようなステップを踏むべきかわからない
• ISO規格が示す内容はわかるが、自分たちの組織規模にどう当てはめればいいかわからない
• BCPの定着化が重要なのは理解したが、具体的にどうすればいいかわからない
• 他の参考書などを見て自分なりにやってみてはいるが、それが正しいのか判断がつかない

この5年で私たちはパンデミックや高度化したサイバー攻撃などを経験し学びを深めました。参考までに有価証券報告書の「事業等のリスク」において、サイバー攻撃に言及した企業は2018年から2022年にかけておよそ4倍に増加しています（図1）。すべてのサイバー攻撃を避けるのは不可能であり、サイバー攻撃を受けても実害が出ないよう対処能力やレジリエンス（回復力）を高める仕組みづくりが強く意識されるようになりました。改訂では、こうした知見を反映し充実化が図られました。レジリエンスに関する出版物も増え、ISO規格などの更新も数多く行われたことからGPG7では、旧版の3倍以上の規格を参照するようになりました。

【GPG7で参照されている主なISO規格一覧】

• ISO 22313:2020 セキュリティとレジリエンス- 事業継続管理システム- ISO 22301の使用に関するガイダンス
• ISO/TS 22317:2021 セキュリティと回復力- 事業継続管理システム- ビジネスインパクト分析のガイドライン
• ISO 22301:2019 セキュリティと回復力- 事業継続管理システム- 要求事項
• ISO/TS 22318:2021 セキュリティと回復力- 事業継続管理システム- サプライチェーン継続管理のためのガイドライン
• ISO/TS 22331:2018 セキュリティと回復力- 事業継続管理システム- 事業継続戦略のガイドライン
• ISO/TS 22332:2021 セキュリティと回復力- 事業継続管理システム- 事業継続計画と手順策定のためのガイドライン
• ISO 22361:2022 セキュリティと回復力- 危機管理- ガイドライン

出典：Introduction(GPG7)

【図1. 有価証券報告書の「事業等のリスク」にサイバー攻撃に言及している企業件数の推移 】

出典：アニュアルリスクレポート2023（ニュートン・コンサルティング）をもとに作成

GPG7は国際的な拠りどころを数多く取り込みつつも、実践性に重きを置いたガイドラインです。「国際的な拠りどころ」の代表格が、BCP規格の中で最も知名度の高いISO22301:2019とISO22313:2020です。また、国内では内閣府が発行している事業継続ガイドラインが有名です（図2参照）。

【図2：BCPを取り巻くガイドラインとGPG7の位置付け】

出典：ISO22301:2019、ISO22313:2020、事業継続ガイドライン（内閣府：令和5年3月）、GPG7をもとに筆者が編集

ISO22301:2019とISO22313:2020は、ISOマネジメントシステムと呼ばれる“運用しながらのスパイラルアップを目指す継続的改善”を哲学に持つものです。効果的・効率的にBCPの整備を行うためのあるべき体制や活動に加え、BCPのPDCAを確実かつサステナブルに運用できる重要事項について述べています。前者の規格が主としてWhat（何をしなければならないか）を示し、後者の規格が主としてHow（それをどうやって実現すべきか）を示す構成となっています。組み合わせで使うことを想定して発行されたとも言える規格です。

内閣府の事業継続ガイドラインもHowに力点を置いたものです。「継続的改善」の考え方を軸に持ちつつも、事業影響度分析（BIA）やリスクアセスメント、それら分析結果に基づくBCP文書作成など、BCPの整備・運用に直接的に関わる活動により多くのページを割いています。その意味では、仕組みを確実に回すガバナンスよりも、BCP実務者のやるべきことに力点を置いたガイドラインと言えます。

ISO22301:2019を意識しつつ、Howに力点をおいたガイドラインという点ではGPG7も同じです。ゆえにISO22313:2020とGPG7は重複・対立する関係性にも見えますが、そうではなく、お互いの得手・不得手を補完する関係にあると捉えるのが正しいでしょう。具体的にはISO22313:2020の得手はISO22301:2019との整合です。ISO22301:2019の目次と完全符合する形で均一な解説がなされています。一方、GPG7の得手は、その作成に世界中のBCPのプロフェッショナルが携わっていることです。つまり実践性です。より掘り下げたHow、すなわちテクニックや手法についてメリハリをつけた記述がなされています（図3参照）。

【図3. ISO22301とISO22313とGPG7の具体的な違い・特徴（ハイライト箇所は主な違い）】

出典：ISO22301:2019、ISO22313:2020、GPG7をもとに筆者が編集

【図4：GPG7のフレームワークと章構成】

GPG7はPP1からPP6までの、6つの章で構成されています（図4参照）。なお、PPとはProfessional Practice（プロフェッショナルの実践）の略称です。ISO22301:2019と完全合致する構成ではありませんが、事業継続方針や体制・役割の確立から、BCPの策定、そして検証へという大枠の流れは一緒です。具体的には以下のような構成です。

PP1 - BCMS の確立（Establishing a BCMS）
BCMS をどのように設計し、プログラムとして実施すべきかを解説。また、継続的活動サイクルを通じてBCMSを維持するための方針とガバナンスプロセスの確立についても言及。

PP2 - 事業継続の定着 （Embracing Business Continuity）
強力な事業継続文化を持つ組織にするため、個人やチームがBCMSをより深く理解し共感し、事業継続が中核的機能であると信じるようにどう設計すべきかについて解説。

PP3 - 分析（Analysis）
事業継続に関する要求事項である分析に関して2つの手法（BIAとRA）を解説。BIA（ビジネスインパクト分析）では、組織の対応策、復旧の優先順位、必要なリソースを決定するための障害影響の長期的な算定方法について記載。一方、RA（リスクアセスメント）では、優先順位をつけた活動に関連するリスクを分析し、混乱につながる可能性があるリスクへの集中や、単一障害点の特定方法について示した。

PP4 – 解決策の設計（Solutions Design）
PP3で分析した結果に基づき、現状能力と事業継続の要求事項を比較するギャップ分析を実施するための方法論を解説。ギャップが存在する場合、組織による事業再開と、許容できないリスクや単一障害点を軽減するための戦略および解決策の検討方法について示す。

PP5 – 解決策の実現（Enabling Solutions）
PP4 の結果に基づき、合意された解決策を実現するための方法論を解説。解決策は、対応体制と事業復旧計画を軸に構成されるが、どのような行動計画が必要かなどについても示す。

PP6 - 検証（Validation）
目的は、個人の能力、チームの結束力、BCMSの質、BC能力の有効性を測定すること。そのためにBCMS をテストし、インシデントに対処するために配置されたリソースの有効性を 証明または反証する方法論について解説。検証は、演習やメンテナンス、レビューなどの組み合わせによって達成されるが、これらをどのように実施できるかについても示す。

すでに見てきた通り、GPG7には、他のガイドラインと重複する点もあれば、他のガイドラインでは拾えていない箇所をカバーしている強みもあります。図5にハイライトしましたが、用語解説を含め、PP1からPP6までの各章で参考にできる点が随所に見られます（図5参照）。

【図5. GPG7の目次（ハイライト箇所は特に有益な情報源になりうる箇所）】

出典：Contents, GPG7をもとに筆者が翻訳

例えば、用語解説においてはイベント（事象）やインシデント、クライシス（危機）などの用語と、それら用語とBCPの関係性についてわかりやすく解説しています（図6参照）。事象は、いわば「それが組織にどういう影響を与えるか与えないか判断がつかないもののとにかく目の前で起こったこと」を指します。これが「自組織に何かしらの影響を与える可能性がありそうだ」となった時点でインシデントに変わります。そしてこのインシデントが悪い意味で発展すれば、緊急事態にも中断事象にもクライシス（危機）にもなり得ます。こうした考え方のどの部分に対してBCPを適用できるかなどについてわかりやすく図示しています。企業の方はインシデントマネジメントやクライシスマネジメントに関する規程・マニュアルを整備しようとしてこれら用語の解釈に迷うことも多いと思いますが、その際の一助になることは間違いないでしょう。

【図6. BCP/BCMのスコープと類似する用語の関係性】

出典：Glossary of Terms, GPG7をもとにニュートン・コンサルティングが翻訳

そのほか、BCPの定着化や組織文化(リスクカルチャー)の形成における解説は非常に参考になります。BCPは、3年、5年、10年、30年先の将来への備えであり長期戦です。よって「気がついたらBCPのことを忘れていた」ではダメで、BCPの定着化や組織文化の形成は、必要不可欠な要素です。この点についてISO22301:2019ではそのほとんどが、項番7.3の「認識（Awareness）」での言及にとどまりますが、それとは対照的です。

GPG7はこの点について、具体的にどのような失敗例があるか、どのようなテクニックが有効か、そしてこうした活動や活動の成果をどうやって測定・評価するかなどについて様々な事例やテクニックを紹介しています。そこに列挙されている失敗例を読めば「あ、自分たちに当てはまるかも」と思う方は少なくないでしょう。参考までにいくつか挙げておきますと「BCPのミーティングやワークショップに必要な要員が確保できない（出席しない）」や「コンサルタントが中心メンバーとしてBCPプロジェクトを推進してしまっている」、「演習が実施されていない」などとする失敗例が書かれています。いかがでしょうか。

GPGは実践集であることから、基本的にはBCPの実務に関わる方に向けたガイドラインだと思ってください。実務といっても色々な役割がありますが、BCPの整備・運用プロジェクトに関わるや方、そうした活動が適正に行われているかを監査および評価・レビューをする方が対象です。そしてCBCIと呼ばれるBCPの専門資格の取得を目指す方向けのものだと言えます。

BCPの整備・運用プロジェクトに関わる人は、整備や運用上の失敗例やテクニックを知ることで、プロジェクトの成功率を上げることができます。整備済みの組織の方であれば、既存のBCPに関する活動の改善点を探す際のヒントを得ることができるでしょう。また、こうした活動を監査する立場にある内部監査人や監査役も、監査のチェックポイントを炙り出す際の参考書として活用することができます。さらにCBCIの資格取得にあたっては、GPG7が試験作成の情報源になりますから、この教科書の徹底理解はMUSTになります。

GPG7を読む上での前提条件ですが、ISO22301:2019やISO22313:2020の知識があればベターではありますが、MUSTではありません。これら規格に対する知識がなくてもGPG7を理解することは十分に可能です。むしろMUSTなのは、BCPの構築・運用の流れに関して基本的な事項を理解していることです。BCPに関する基礎知識がないまま読み進めようとしても、失敗例や成功例、テクニックについて理解するのは難しいでしょう。そしてMUSTではないと言いましたが、ISO22301:2019やISO22313:2020を知っている方であれば、GPG7の読み込みは、その知識やスキルをより一層補強してくれることでしょう。

本ガイドラインは BCI会員であれば無料でPDF版をダウンロードできます。会員でない方は有償で入手することが可能です。GPG7は英語版しか出ておりませんので、自身の学習目的であるならば、DeepL（有償版）などの翻訳サービスを用いて邦訳しての活用も有効だと考えます。弊社では皆さまに丁寧でわかりやすい解説を提供するために研修サービス「ニュートン・アカデミー・プラス（NCA＋）」において講義動画を開発しておりますので、そちらもお楽しみにお待ちください。