1 事業継続マネジメントシステム BCP 管理要領 承認者 : 大塚製薬株式会社 年月日
2 改訂履歴 版改訂日承認者作成者改訂内容
3 目次 1 章総則... 4 2 章用語の定義... 4 3 章 BCP 作成 見直し手順... 5 3-1 実施時期... 5 3-2 見直し手順... 5 4 章組織の理解... 6 4-1 事業継続計画の策定... 6 5 章計画... 6 5-1 リスクと機会への対応処置... 6 5-2 目標およびその達成計画... 6 6 章運用管理... 6 6-1 事業インパクト分析の実施... 6 6-2 リスクアセスメントの実施... 7 6-3 事業継続戦略の策定... 7 6-4 警告とコミュニケーション... 7 6-5 BCP の確立と導入... 7 6-6 BCP の検証と見直し... 8 7 章パフォーマンス評価... 9 7-1 監視 測定 分析 および評価... 9 7-2 事業継続手順の評価... 9 8 章補足資料... 10 8-1 事業インパクト分析 ( 実施手順と結果 )... 10 8-2 リスクアセスメント ( 実施手順と結果 )... 14 8-3 事業継続戦略の決定... 16
4 1 章総則 本書は BCP の作成 維持 更新管理を効果的 効率的に実現するための BCP の作成 見直し 修正手順を定める 2 章用語の定義 会社の BCMS 文書で使用する用語の定義は 原則として ISO22301 で示された用語の定義 ならびに BCMS 基本規程 で定めた定義に従う 但し 本書において特に重要な用語及び特殊な意味に用いる用語は 以下の 用語定義対応表 に定義する 用語定義対応表 会社で使用する用語 定義 該当する ISO22301 用語
5 3 章 BCP 作成 見直し手順 3-1 実施時期 1 BCMS 事務局 および BCP 責任者は 3-2 見直し手順 に示す各ステップに従い BCMS 運用年間計画表 に定められたタイミングまたは 重大な変更 ( 事業継続方針の変更など ) が発生した場合に見直しを行う なお 事業継続計画基本方針の作成 見直しについては BCMS 基本規程 (6 章方針管理 ) を参照する 2 見直しを行なう際には どの程度の見直しが必要か ( 又は 必要でないか ) を判断するため 事前に以下に示すような情報を整理しておくことが望ましい 組織体制 要員 事業環境 事業内容 経営資源 - 拠点の所在地 - 取引先 - システムなど 3-2 見直し手順 図:BCP 作成 見直しの手順と本要領との関係 1 組織の理解 第 4 章 1. 事業継続計画の策定 4-1 2 計画 第 5 章 3 運用管理 第 6 章 1. 事業インパクト分析の実施 6-1 2. リスクアセスメントの実施 6-2 3. 事業継続戦略の決定 6-3 4. 警告とコミュニケーション 6-4 5. BCP の確立と導入 6-5 6. BCP の検証と見直し 6-6 4 パフォーマンス評価 第 7 章
6 4 章組織の理解 4-1 事業継続計画の策定 (1) 目的 (2) 実施手順 5 章計画 5-1 リスクと機会への対応処置 5-2 目標およびその達成計画 6 章運用管理 6-1 事業インパクト分析の実施 (1) 目的 (2) 分析手法 (3) 実施手順
7 6-2 リスクアセスメントの実施 (1) 目的 (2) アセスメント手法 (3) 実施手順 6-3 事業継続戦略の策定 (1) 目的 (2) 策定手法 (3) 実施手順 6-4 警告とコミュニケーション 6-5 BCP の確立と導入 (1) 目的 (2) 実施手順
8 6-6 BCP の検証と見直し (1) 目的 (2) 演習の実施手順 1 演習年間計画の策定 2 演習計画の策定 3 演習計画の承認 周知 4 演習後のレビューの実施 5 緊急事態発生後のレビュー実施手順
9 7 章パフォーマンス評価 7-1 監視 測定 分析 および評価 BCMS のパフォーマンスおよび有効性を評価する 対象 監視 測定 分析 評価の方法 評価基準実施時期記録 7-2 事業継続手順の評価
10 8 章補足資料 8-1 事業インパクト分析 ( 実施手順と結果 ) (1) 主要製品等の特定 会社は を重要業務としている そのうち 特に緊急時においても優先して 生産 供給体制の継続 復旧を図る製品を以下の観点から特定し 主要製品等一覧 ( 様式 -19) に記載する 1 主要製品等種別 内容 (2) 主要製品等の提供中断による影響 主要製品等の提供中断による影響の大きさを 影響度評価の基準 に基づき特定する 対象 中断時間
影 11 影響度評価の基準 影響レベル 影響の大きさ 中断の影響 ( 内容 ) 重へに響人要の命よ規影安る制響法全影 響損契業務の遂行への 国民生活約不履行害判額へのの規損模害 影響評1 軽微 2 小さい 3 中度 4 大きい 5 極めて大きい 重要業務の遂行に目立った支障や不便は生じず 復旧準備にもまだ着手する必要がないと考えられるレベル重要業務の遂行に支障をきたす可能性があるが 社会的批判につながるとは通常考えられないレベル ( 復旧準備を始める必要が生じるレベル ) 国民生活上への影響 法定手続きの遅延 契約履行の遅延など若干の社会的な批判は生じえるが 他の災害対策の優先度と比較し 顧客や被災者に受容を求めても理解は何とか得られると思われるレベル ( 真剣に復旧対応を行うべきレベル ) 法令違反 重要な法定手続きの遅延 取引先の損害が大きい契約履行の遅延を起こし 訴訟に発展した場合には相当の賠償が懸念され 社会的に相当大きな批判が起こることが予想されるレベル人命 深刻な安全 治安の問題 大多数の被災者困窮などに係り その責任について経営者が釈明を求められ 国会などでも問題になりかねない 組織としての存続可能性に取り返しのつかない脅威となるレベル 小小小小小 中小小小小 中中中中中 大大大大大 極大 極大 極大 極大 極大 (3) 主要製品等の提供目標復旧時間 中断による影響を鑑み 主要製品等の提供に関する最大許容停止時間 (MTPD) と目標復旧時間 (RTO) 目標復旧レベル(RLO) を以下のとおり設定する 対象 中断時間 MTPD RTO RLO
12 (4) 主要製品等の提供をサポートする活動と中断の影響 主要製品等の提供をサポートする活動を特定し それら活動の中断による影響の大きさを 影響度評価の基準 に基づき特定する 主要製品等の提供をサポートする活動を 重要な業務 と定義する 重要な業務の中断による影響 中断時間対象受注 資材調達 生産 需給 物流 配送 (5) 主要製品等の提供をサポートする活動の提供目標復旧時間 中断による影響を鑑み 主要製品等の提供に関する最大許容停止時間 (MTPD) と目標復旧時間 (RTO) 目標復旧レベル(RLO) を以下のとおり設定する 1 医薬品の安定供給 対象 時間 MTPD RTO 復旧の優先順位 RLO 受注 資材調達 生産 需給 物流 配送
13 (6) 経営資源の特定 重要な業務を支える経営資源を 拠点 ( 建物 作業環境 関連ユーティリティ含む ) 取引先 委託先 ( パートナーおよび供給者含む ) 設備( 機器および消耗品含む ) 人員 情報 ( データ含む ) IT システム の観点から特定し 事業影響度分析シート ( 経営資源 ) ( 様式 -21) に記載する 重要な業務を支える経営資源を 重要な経営資源 と定義する (7) 業務区分と重要な業務 BCMS 事務局及び BCP 責任者は 以下の 業務区分 に従い業務を分類する 業務区分 業務区分 考え方 (8) 目標復旧レベル (RLO) 業務区分と目標復旧レベル (RLO) の関係を以下に示す BCMS 事務局及び BCP 責任者は 業務区分ごとに RLO を達成するための行動計画 (BCP) を検討する 業務区分と RLO 中断時間業務区分 目標復旧レベル (RLO)
14 8-2 リスクアセスメント ( 実施手順と結果 ) (1) リスクアセスメント 1 リスク評価の基準 脅威の種類ごとに 脅威の発生可能性 脅威の発生による影響度 重要な経営資源の脆弱性を考慮し リスク評価を行なう リスク区分は リスクの大きい順に High - Med - Low の3 段階とする 2 リスク評価の結果 ( リスクアセスメントシート ) 脅威の種類ごとの重要業務の遂行に必要な経営資源に対して脅威がもたらす影響の大きさ ( リスク評価の結果 ) を以下の表 ( リスクアセスメントシート ) に示す リスクアセスメントシート 脅威 経営資源 リスク値 日時点 (2) リスク対応の重点領域 事業継続統括責任者は リスクアセスメントの結果を参考にし 優先的に対応するリス領域を決定する リスク対応の重点領域 優先度 脅威 経営資源 BCP の内容 例 1 2
15 (3) 選択の決定 重要業務について 会社は 脅威が発生した場合の対応を検討する リスク対応の例 観点リスク対応例
16 8-3 事業継続戦略の決定 対象 時間 RTO 復旧時間 ( 現状 ) BC 戦略 ( 現状 ) 追加対応策 受注 資材調達 生産 需給 物流 配送