本記事は、BCP(事業継続計画)や災害対策について解説するシリーズの第1回目です。近年、企業を取り巻くリスクは多様化し、自然災害だけでなくサイバー攻撃やシステム障害といった問題も深刻になっています。こうした突然のリスクに対して、企業はどのように備え、迅速に対応すればよいのでしょうか。本記事では、BCPの基本概念とその重要性についてわかりやすく説明し、企業が取り組むべき対策の第一歩を紹介します。
BCPは「Business Continuity Plan:事業継続計画」のことを指します。企業や団体が災害や事故などの危機に直面した際に、事業を中断させずに継続する、または迅速に再開するための計画です。ITの世界でもよく使われる言葉ですが、ITに限らず会社や団体の全体で考慮するものになります。
BCPに関連する言葉としてBCMがあります。BCMは「Business Continuity Management:事業継続マネージメント」のことを指します。これらは、英国規格協会(BSI)が策定したPAS56「事業継続管理のための指針(Guide to Business Continuity Management)」では以下の様に記述されています。
つまり、BCPは計画(プラン)や手順などの成果物(ドキュメント)を指しており、BCMはその運用や継続的な改善を含む全体の枠組みを指します。BCPは単発で策定するものではなく、PDCAサイクルを回して運用・改善していくことが重要です。
経済産業省発行の事業継続計画策定ガイドラインでも、以下の様にBCMの重要性にも言及し大切であることを説明しています。BCPはBCMも含めて考慮していくことが重要で、企業はBCMを戦略的に活用し、従業員や取引先にBCPの重要性を浸透させることが求められます。
「事業継続」とは何でしょうか。事業とは生産・営利などの一定の目的を持って継続的に、組織・会社・商店などを経営する仕事 (参考:コトバンク)です。企業にとって「事業を継続する」ことは活動の源泉であり社会への貢献のひとつなので、これが止まることなく継続することが重要です。事業が中断すると様々なところに影響します。
取引先:納品遅延や供給ストップによる影響など
従業員:給与支払いの遅延や雇用不安など
株主:企業価値の低下など
地域社会:雇用の喪失やサービス提供の停止など
これらが一度失墜すると回復させるためには多くの労力とコストを要することになります。
そのため、事業が中断しないよう企業/団体として準備しなければなりません。特に現代の企業活動(事業)はIT(情報システム)なしには成り立ちません。IoTの発展により、企業のIT依存度はますます高まり、システムの可用性を高めることが事業継続の核となっています。
では、事業中断のリスクになるようなものはどのようなものがあるでしょうか。
日本では災害(特に地震)が注目されていますが、事業が中断に陥るリスクには様々なものがあります。自然災害や火災などは被害額を大きいので注目されがちですが、その発生頻度は低いです。最近ではセキュリティー系の被害額は大きくなってきていると思いますので、ますます見逃せません。
・ウイルス
・情報漏洩
・サイバー攻撃
・データ損失
・ネットワーク障害
・地域的な停電
・自然災害
・テロ/暴動
・パンデミック etc...
BCPという言葉は、1994年の阪神淡路大震災のころから注目を集めてきました。BCP=地震対策というイメージがついていますが、最近では前項でもご説明したとおり様々なリスクについて検討が必要になってきています。とは言え、被害の大きい地震対策を想定したBCPの策定が多いです。その地震対策も1994年の阪神淡路大震災のときから徐々に変わりつつあります。
発生した被害:大きな地震によるビルやマシンの倒壊や破損
対策:バックアップセンターやバックアップシステムの見直し
免震/耐震対策
発生した被害:サプライチェーンの中断による関連企業への被害
対策:BCP/BCMの見直し
実行性のある災害対策
発生した被害:被災地以外での電力不足(輪番停電)
原子力発電所事故による立ち入り禁止区域の発生
対策:センター設備の見直し
初動対応や運用体制の見直し
発生した被害:区域外への移動の制限、オペレーション要員の罹患による出社制限
対策:リモートワーク環境の構築
阪神淡路大震災のときは、自営の電算室が多く、建物の崩壊やIT機器の倒壊/移動/ケーブルの切断などの被害が多く発生しました。その教訓を受けて、建物の耐震/免振化やIT機器の倒壊防止の対策が施されました。
新潟中越地震のときは被害地域の範囲は小さいものの、一部の工場の生産が止まり、サプライチェーンが中断されてしまいました。このころから自社のBCP/BCMだけでなく、取引先に対しても事業継続の検討がされるようになりました。
東日本大震災では、地震の規模が大きかったものの、IT機器の倒壊はほとんど報告されませんでした。代わりに原子力発電所の事故による電力不足で輪番停電が地震の発生した地域から離れたところで行われたり、立ち入り禁止区域が出たりして、初動対応(システム切り替えなど)の判断が難しくなりました。
記憶に新しいところでは新型コロナの大流行(パンデミック)により、罹患や政府からの要請により出社が難しくなり、リモートで仕事ができるようにリモートワークの環境を整えざるを得ないことになりました。システムオペレーターは出社スケジュールの調整やシフトの調整などが必要になったりしました。
このように過去の大きな災害でも対策のおかげで防いだ被害がありながらも、新しいリスクが生まれたりしています。BCPの策定においては、被災想定を定義してその対策や計画を立案しますが、社会環境や現状調査を行いBCMで見直していくことが重要です。また、訓練などの実施で発生するリスクのパターンを変えてみて、柔軟に対応できる能力(レジリエンス)を磨いておくことも大切です。
事業継続とは、企業活動の根幹であり、企業の存続と社会貢献のために欠かせません。
事業継続のためには、単に計画を立てるだけではなく、組織全体での理解と協力が不可欠です。リスクは常に変化するため、BCPの定期的な見直しと改善を怠らないことが、企業の持続的な発展につながります。こうした取り組みを進めるためには、経験豊富なパートナーの支援を受けることも有効です。専門的な知識と実績を持つ企業と連携し、より強固なBCP/BCMを策定・運用していくことが重要です。
MONO-Xでは、企業のIT環境に合わせた事業継続対策をサポートしています。
BCPや災害対策でお悩みの方は、ぜひMONO-Xにご相談ください。
>>PVS Oneに関するお問い合わせはこちら
株式会社MONO-X公式サイト
株式会社MONO-Xへのご相談・お問い合わせはこちら
次回の記事は、情報システム部門としてBCP/BCMにどのように対応していくべきかについて詳しく解説します。>>記事はこちら「情報システム部門におけるBCP/BCM対策のポイント— 事業継続を支えるIT戦略」