1 第 版 改訂日
事業継続マネジメントシステム
BCP 管理要領
大塚製薬株式会社
承認者:
年 月 日
2
第 版 改訂日
改訂履歴
3 第 版 改訂日
目次
1 章 総則 ... 4 2 章 用語の定義 ... 4 3 章 BCP 作成、見直し手順 ... 5 3-1 実施時期 ... 5 3-2 見直し手順 ... 5 4 章 組織の理解 ... 6 4-1 事業継続計画の策定 ... 6 5 章 計画 ... 6 5-1 リスクと機会への対応処置 ... 6 5-2 目標およびその達成計画 ... 6 6 章 運用管理 ... 6 6-1 事業インパクト分析の実施 ... 6 6-2 リスクアセスメントの実施 ... 7 6-3 事業継続戦略の策定 ... 7 6-4 警告とコミュニケーション ... 7 6-5 BCP の確立と導入 ... 7 6-6 BCP の検証と見直し ... 8 7 章 パフォーマンス評価 ... 9 7-1 監視、測定、分析、および評価 ... 9 7-2 事業継続手順の評価 ... 9 8 章 補足資料 ... 10 8-1 事業インパクト分析(実施手順と結果) ... 10 8-2 リスクアセスメント(実施手順と結果) ... 14 8-3 事業継続戦略の決定 ... 164 第 版 改訂日
1 章 総則
本書は、BCP の作成、維持、更新管理を効果的・効率的に実現するための BCP の作成・見直し・ 修正手順を定める。2 章 用語の定義
会社の BCMS 文書で使用する用語の定義は、原則として、ISO22301 で示された用語の定義、な らびに『BCMS 基本規程』で定めた定義に従う。但し、本書において特に重要な用語及び特殊な 意味に用いる用語は、以下の『用語定義対応表』に定義する。 【用語定義対応表】 会社で使用する 用語 定義 該当する ISO22301 用語5 第 版 改訂日
3 章 BCP 作成、見直し手順
3-1 実施時期
① BCMS 事務局、および BCP 責任者は、「3-2 見直し手順」に示す各ステップに従い、「BCMS 運用年間計画表」に定められたタイミングまたは、重大な変更(事業継続方針の変更など) が発生した場合に見直しを行う。なお、事業継続計画基本方針の作成・見直しについては、 『BCMS 基本規程』(6 章方針管理)を参照する。 ② 見直しを行なう際には、どの程度の見直しが必要か(又は、必要でないか)を判断するた め、事前に以下に示すような情報を整理しておくことが望ましい。 組織体制 要員 事業環境 事業内容 経営資源 - 拠点の所在地 - 取引先 - システム など3-2 見直し手順
【図:BCP 作成・見直しの手順と本要領との関係】 ②計画 ①組織の理解 ④パフォーマンス評価 第 4 章 第 7 章 1. 事業継続計画の策定 4-1 ③ 運用管理 第 6 章 1. 事業インパクト分析の実施 6-1 2. リスクアセスメントの実施 6-2 3. 事業継続戦略の決定 6-3 4. 警告とコミュニケーション 6-4 6. BCP の検証と見直し 6-6 第 5 章 5. BCP の確立と導入 6-56 第 版 改訂日
4 章 組織の理解
4-1 事業継続計画の策定
(1) 目的
(2) 実施手順
5 章 計画
5-1 リスクと機会への対応処置
5-2 目標およびその達成計画
6 章 運用管理
6-1 事業インパクト分析の実施
(1) 目的
(2) 分析手法
(3) 実施手順
7 第 版 改訂日
6-2 リスクアセスメントの実施
(1) 目的
(2) アセスメント手法
(3) 実施手順
6-3 事業継続戦略の策定
(1) 目的
(2) 策定手法
(3) 実施手順
6-4 警告とコミュニケーション
6-5 BCP の確立と導入
(1) 目的
(2) 実施手順
8 第 版 改訂日
6-6 BCP の検証と見直し
(1) 目的
(2) 演習の実施手順
① 演習年間計画の策定 ② 演習計画の策定 ③ 演習計画の承認、周知 ④ 演習後のレビューの実施 ⑤ 緊急事態発生後のレビュー実施手順9 第 版 改訂日
7 章 パフォーマンス評価
7-1 監視、測定、分析、および評価
BCMS のパフォーマンスおよび有効性を評価する。 対象 監視・測定・ 分析・評価の方法 評価基準 実施時期 記録7-2 事業継続手順の評価
10 第 版 改訂日
8 章 補足資料
8-1 事業インパクト分析(実施手順と結果)
(1) 主要製品等の特定
・ 会社は、○○を重要業務としている。そのうち、特に緊急時においても優先して、生産・ 供給体制の継続、復旧を図る製品を以下の観点から特定し、「主要製品等一覧」(様式-19) に記載する。① 主要製品等
種別 内容 ・ ・ ・(2) 主要製品等の提供中断による影響
・ 主要製品等の提供中断による影響の大きさを「影響度評価の基準」に基づき特定する 中断時間 対象11 第 版 改訂日 【影響度評価の基準】 影響 レベル 影響の 大きさ 中断の影響(内容) 重 要 業 務 の 遂 行 へ の 影響 人 命 安 全 ・ 国 民 生 活 への影響 法 規 制 、 契 約 不 履 行 による影 響 損害額の 規模・ 影響 評判 への 損害 1 軽微 重要業務の遂行に目立った支障や不便は生じず、 復旧準備にもまだ着手する必要がないと考えら れるレベル 小 小 小 小 小 2 小さい 重要業務の遂行に支障をきたす可能性があるが、 社会的批判につながるとは通常考えられないレ ベル(復旧準備を始める必要が生じるレベル) 中 小 小 小 小 3 中度 国民生活上への影響、法定手続きの遅延、契約履 行の遅延など若干の社会的な批判は生じえるが、 他の災害対策の優先度と比較し、顧客や被災者に 受容を求めても理解は何とか得られると思われ るレベル(真剣に復旧対応を行うべきレベル) 中 中 中 中 中 4 大きい 法令違反、重要な法定手続きの遅延、取引先の損 害が大きい契約履行の遅延を起こし、訴訟に発展 した場合には相当の賠償が懸念され、社会的に相 当大きな批判が起こることが予想されるレベル 大 大 大 大 大 5 極めて 大きい 人命、深刻な安全・治安の問題、大多数の被災者 困窮などに係り、その責任について経営者が釈明 を求められ、国会などでも問題になりかねない。 組織としての存続可能性に取り返しのつかない 脅威となるレベル 極 大 極 大 極 大 極 大 極 大
(3) 主要製品等の提供目標復旧時間
・ 中断による影響を鑑み、主要製品等の提供に関する最大許容停止時間(MTPD)と目標復旧 時間(RTO)、目標復旧レベル(RLO)を以下のとおり設定する。 中断時間 対象 MTPD RTO RLO12 第 版 改訂日
(4) 主要製品等の提供をサポートする活動と中断の影響
・ 主要製品等の提供をサポートする活動を特定し、それら活動の中断による影響の大きさを 「影響度評価の基準」に基づき特定する ・ 主要製品等の提供をサポートする活動を「重要な業務」と定義する 【重要な業務の中断による影響】 中断時間 対象 受注 資材調達 生産 需給・物流 配送(5) 主要製品等の提供をサポートする活動の提供目標復旧時間
・ 中断による影響を鑑み、主要製品等の提供に関する最大許容停止時間(MTPD)と目標復旧 時間(RTO)、目標復旧レベル(RLO)を以下のとおり設定する。 ① 医薬品の安定供給 時間 対象 MTPD RTO 復旧の 優先順位 RLO 受注 資材調達 生産 需給・物流 配送13 第 版 改訂日
(6) 経営資源の特定
・ 重要な業務を支える経営資源を「拠点(建物、作業環境、関連ユーティリティ含む)」「取 引先・委託先(パートナーおよび供給者含む)」「設備(機器および消耗品含む)」「人 員」「情報(データ含む)」「IT システム」の観点から特定し、「事業影響度分析シート (経営資源)」(様式-21)に記載する ・ 重要な業務を支える経営資源を「重要な経営資源」と定義する(7) 業務区分と重要な業務
・ BCMS 事務局及び、BCP 責任者は、以下の「業務区分」に従い業務を分類する。 【業務区分】 業務区分 考え方 ・ ・ ・ ・(8) 目標復旧レベル(RLO)
・ 業務区分と目標復旧レベル(RLO)の関係を以下に示す。 ・ BCMS 事務局及び、BCP 責任者は、業務区分ごとに RLO を達成するための行動計画(BCP) を検討する。 【業務区分と RLO】 中断時間 業務区分 目標復旧レベル(RLO)14 第 版 改訂日
8-2 リスクアセスメント(実施手順と結果)
(1)リスクアセスメント
① リスク評価の基準
・ 脅威の種類ごとに、脅威の発生可能性、脅威の発生による影響度、重要な経営資源の脆弱 性を考慮し、リスク評価を行なう。 ・ リスク区分は、リスクの大きい順に、”High”-“Med”-“Low”の3段階とする。② リスク評価の結果(リスクアセスメントシート)
・ 脅威の種類ごとの重要業務の遂行に必要な経営資源に対して脅威がもたらす影響の大き さ(リスク評価の結果)を以下の表(リスクアセスメントシート)に示す。 【リスクアセスメントシート】 脅威 経営資源 リスク値 日時点(2)リスク対応の重点領域
・ 事業継続統括責任者は、リスクアセスメントの結果を参考にし、優先的に対応するリス領 域を決定する。 【リスク対応の重点領域】 優先度 脅威 経営資源 BCP の内容 例 1 ・ 2 ・15 第 版 改訂日
(3)選択の決定
・
重要業務について、会社は、脅威が発生した場合の対応を検討する。 【リスク対応の例】 観点 リスク対応 例 ・ ・ ・16 第 版 改訂日