• BSI ジャパン ホームページ
•   マネジメントシステム認証審査登録
•   規格/スキーム
•   BS25999/ISO22301　事業継続
•   BS25999(BCMS) 認証事例
•   企業年金連合会　BCMS認証事例

• マネジメントシステム認証審査登録
  • BSIグループとは
  • BSIのサービス
  • BSIを選ぶ理由
  • ビジネス上の課題
  • 見積り･プロファイルフォーム
  • 認証範囲の拡大・変更・縮小の場合
  • 規格/スキーム
    • ISO9001
    • AS9100
    • ISO14001
    • JIS Q15001
    • ISO27001
    • OHSAS18001
    • ISO22000 食品安全マネジメントシステム
    • FSSC22000　食品安全
    • ISO20000　ITサービス
    • ISO13485　医療機器
    • ISO/TS16949　自動車
    • PAS99　統合
    • 東京都排出量取引制度
    • ISO50001エネルギーマネジメント
    • BS 8901/ISO20121（イベント・サステナビリティマネジメントシステム）
    • GHGEV　温室効果ガス
    • CSR/サステナビリティ
    • 森林認証制度 - FSC認証制度 CoC認証
    • BS25999/ISO22301　事業継続
      • BS25999概要解説セミナー
      • BS25999(BCMS) 認証事例
        • 日本興亜損害保険BCMS認証事例
        • NECグループBCMS認証事例
        • 企業年金連合会　BCMS認証事例
        • コクヨファニチャー（株）BCMS認証事例
        • 英国ボーダフォンがBS25999の認証を取得
    • BCMセルフアセスメントツール
    • PCI DSS　カードデータ
    • ISO10002 苦情対応
    • ISO29990 学習
  • BSIジャパンの無料セミナー(参加費無料）
  • BSIジャパンの無料オンラインセミナー（ウェビナー）
  • BSIジャパンの有料セミナー
  • BSI ニュース
  • 認証顧客の検索
  • BSI 資料請求/資料ダウンロード
  • BSI お客様事例
• 審査費用見積り・プロファイルフォーム
• ISO研修・ISOセミナー
• 医療機器、製品認証サービス

企業年金連合会がBS25999認証を取得

企業年金連合会が年金関連組織で初のBS25999認証を取得

• 年金関連組織初
• 年金関連組織初
• 拠点数の問題
• 拠点数の問題
• 訓練で新たに
• 訓練で新たに
• 知名度UP
• 知名度UP

企業年金連合会（昭和42年設立　理事長　徳永哲男氏）は、平成20年11月年金関連の組織としては世界で初となる事業継続マネジメントシステムBS25999の認証を取得した。

連合会は主に厚生年金基金、確定給付企業年金（以下、企業年金）を短期間（主に10年以内）で脱退した人や加入している企業年金が解散した人に対して、年金の支払いを行っている。

各企業年金から連合会への年金記録の引き継ぎとその管理、企業年金から移換された年金資産の運用、受給者への年金支払いを行う「企業年金の通算センター事業」と、全国の企業年金の実務担当者向けの研修や官庁をはじめとする関係団体に対して政策提言を行うなどの「企業年金のナショナルセンター事業」から構成される厚生年金保険法で規定されている組織である。

今回はこのうち前述の、通算センター事業における認証取得となった。 連合会では年金支払いの対象となる加入者、受給者3000万人の個人情報を取り扱っている。

平成19年に開始したBCP（*１）策定の取り組みからBS25999認証までのお話を伺った。

→ 拠点数の問題

*1　BCP　Business Continuity Management の略。事業継続計画

---

規格／スキーム

BCMS：BS25999

 

拠点が一箇所のみという問題からBCP策定を決定

BCP策定への取り組みのきっかけについて企業年金連合会の理事であり最高情報責任者（CIO）の長野佳久氏は次のように語った。

「われわれの活動の拠点は、ここ芝パークビルだけです。 『もしここが被災したとしたら業務活動は全てストップしてしまう』という危機感が発端でした。 連合会で扱っている年金の加入者、受給者3000万件の情報は最も重要なものです。 バックアップを定期的に行っているとはいえ、仮に地震、火災などによってこれらデータが消失するなどの被害を受けた場合、業務はいとも簡単に麻痺してしまうと思いました。

実際、後の調査で年金の支払い業務を再開するまでに157日かかると判明したのです。 当時は基幹システムを担っているメインフレームもこの事務所内に置いてありましたし、新宿にあるコールセンターをここに集約する話もありました。 一カ所しかない拠点に業務を集約することが事業継続という観点から懸念があったわけです。

そのような背景から当時の連合会が置かれているリスクを正しく認識するためにBCP（事業継続計画）を考えてみようということになりました。 そして役員幹部会においては即決でBCP策定の取り組みが決定しました。」

長野氏をトップとし、各部門から代表として選出されたメンバーでBCP策定プロジェクトチームが組まれ、平成19年4月にスタートした。

災害等が発生した場合のインフラ被害状況を仮定した上でリスクを各部門で洗い出し、ビジネスインパクトを分析してランク付けし、行動計画を策定した。 受給者への年金支払いなどの最優先すべき業務については『3日以内で復旧させる』、などとBIA（*2 事業インパクト分析）とRTO（*3目標復旧時間）の設定作業を進めた。拠点が一カ所しかないということから、被災時に設置する代替オフィス、災害対策本部の場所について悩んだという。

ビル火災などの局所災害の場合は、災害対策本部は事務所近くで機能させたいため、会員企業年金が所有する都内の会館を利用できるよう５、６基金に依頼、空いている会議室を確保できる体制を整えた。

実務については、災害時には『新たに設置したコールセンター（事業継続対策の一環としてメインフレームの移転を行ったデータセンタに隣接）を代替オフィスとして使用。 緊急時にはオペレータ規模を縮小し、本社勤務の職員を参集させ年金支払い業務を行うこと』とした。

このように各部門でBCPを策定し、行動計画全体を委員会で承認していく、という流れで、同年10月にBCPが完成した。

→ 訓練で新たに

*2　BIA　Business Impact Analysis の略。 事業インパクト分析
*3　RTO Recovery Time Objectiveの略。 目標復旧時間　   

---

 

PDCAサイクルと訓練で新たな発見をマニュアルに盛り込んでいく

平成19年10月からは、完成したBCPをPDCAサイクル(*4)で回すことになった。連合会はもともとBS25999取得のためにBCPを策定したわけではなかったのだが、11月に事業継続管理の規格が発行されたことを知り、これを機に策定したBCPが第三者的な立場から方向性が合っているかどうかを確認するため、PDCAサイクルの一環としてBS25999取得を目指すことが決まった。

事業全体に関わることであることから、平成20年4月からBCMS（事業継続マネジメントシステム）体制は、理事長徳永哲男氏をトップとし、その下にBCMS委員会を置いた。 委員長には長野氏、委員には役員と各部門長をという組織とした。 また、内部監査については、ISO27001（*5 情報セキュリティマネジメントシステム規格）認証取得の経験を活かして、ISMS (*5) の内部監査員2名がBCPプロジェクトメンバーに加わり、BCMS内部監査の補助を行った。

教育・訓練は2008年1月から全5回にわたって、

① 机上訓練（首都圏直下型地震発生というシナリオに沿って、初動対応や業務継続・復旧についての手順書を確認）
② モックディザスタ [災害模擬訓練]　（状況シナリオについて参加者がその場で判断し、行動を自己評価）
③ CERT訓練[Community Emergency Response Team=地域緊急対応チーム、負傷者の搬送、瓦礫からの救出訓練]
④ 救急講習
⑤ 災害対策本部設置訓練　

を実施した。 訓練を振り返り、情報システム統括室システム企画開発課長の沼田達也氏は次のように話す。

 「訓練はマニュアルどおりにやってもうまくいかないところが多くあり、回を重ねることでマニュアルの整備が進みました。 単純な例ですが担架で人を１階まで運ぶのは４人では足りず、６人でようやく運べるということも訓練を通じて分かりました。　

また『じゃあその負傷者の緊急措置はいったいどうするか』という議論も出ましたので、AED（自動体外式除細動器）を使った救急講習を受けることにしました。　１１月に行った災害対策本部設置訓練では、『被災から災害対策本部の立ち上げ、被災時用のホームページのアップまで』について、理事長以下全役員も参加し、一連の手順の確認を行いました。　

連合会のステークホルダーは、年金受給者300万人、加入者3000万人そして1500の会員企業年金です。　災害が起こったときにいかに迅速・正確に情報を知らせるか、広報が重要になります。」

体制を整えてPDCAサイクルを回しつつ、BS25999取得に向けたドキュメントの整理、そして訓練後の軌道修正のドキュメントへの反映が、結果的にBS25999の取得にもつながったようだ。

→知名度UP

*4 PDCAサイクル　Plan(計画）Do(実行）Check（点検）Act（処理）サイクル
*5 ISO27001 (ISMS)  Information Security Management Systemの略　

---

写真は企業年金連合会における教育・訓練を様子を撮影

規格／スキーム
ISMS：ISO27001 情報セキュリティマネジメント

 

BS25999認証のメリットはこれから、知名度を高めたい

まだBS25999の審査をできる審査機関が少ないうえ、ISO27001の審査実績もあることから、BSIジャパンで受審し、2008年11月に認証取得となった。　

「まだ認証取得の大きなメリットは感じていませんが、第三者からの評価をいただきましたので正しい方向のBCPだという自信はつきました。　もうひとつは規格の真意であるマネジメントシステム＝PDCAのメカニズムがきちっとできたことです。　また認証を取得したことが連合会として社会的責任を全うするという安心感につながりました。　会員、受給者の皆様がそのことを理解してくれていると期待したいですね。」（長野氏）さらにBS25999認証取得を機に、連合会の知名度を高めたいとも加える。　

「連合会自身の知名度を高めたいと思います。連合会の年金は平成18年度末で124万人の方にお届けできないでいます。　年金記録はあるのですが、連合会で管理しているお名前や住所が最新のものに変更されていないことなどから、こちらからの通知が届かない、あるいは通知が届いている人でも請求していただいていないという背景があります。　

連合会がお支払いするのは、企業年金を短期で辞められた方たちですが、自分の年金原資が『企業年金連合会』に移換されていることを知らないわけですね。　『企業年金連合会』が一般に知られてないがため、請求もしてこないということでもあると思います。ここ数年は転職なども多く、また団塊の世代の退職もあって年金を請求しないままの方が増えています。」

今後の課題については、沼田氏が次のように語った。　「職員数も多くありませんし企業年金といった特殊な知識が必要ですので属人的な業務が多くなりがちです。手順書等を整備し、緊急時には他部署の業務も代替できるようにすることが課題です。　

また事業継続の施策に費用がかかる場合、事業の特性上費用を捻出するのが難しく、予定していた対策が出来ない場合の残存リスクをどうするか、という根本的問題は常にありますので、順次整理してリスク解消策を検討、実施していきます。　そしてその検証です。そう言う意味ではPDCAを継続して実践することが最大の課題だと思っています。」

企業年金連合会はさらなるBCPのブラッシュアップを図る。

---

本ページ記載の情報については取材時におけるものであり、閲覧をされる時点で内容が変更されている可能性があります。あらかじめご了承ください。