本記事は、BCP(事業継続計画)や災害対策について解説するシリーズの第1回目です。近年、企業を取り巻くリスクは多様化し、自然災害だけでなくサイバー攻撃やシステム障害といった問題も深刻になっています。こうした突然のリスクに対して、企業はどのように備え、迅速に対応すればよいのでしょうか。本記事では、BCPの基本概念とその重要性についてわかりやすく説明し、企業が取り組むべき対策の第一歩を紹介します。
1.BCPとは?
BCPは「Business Continuity Plan:事業継続計画」のことを指します。企業や団体が災害や事故などの危機に直面した際に、事業を中断させずに継続する、または迅速に再開するための計画です。ITの世界でもよく使われる言葉ですが、ITに限らず会社や団体の全体で考慮するものになります。
BCPとBCMの違い
BCPに関連する言葉としてBCMがあります。BCMは「Business Continuity Management:事業継続マネージメント」のことを指します。これらは、英国規格協会(BSI)が策定したPAS56「事業継続管理のための指針(Guide to Business Continuity Management)」では以下の様に記述されています。
BCP:潜在的損失によるインパクトの認識を行い、実行可能な継続戦略の策定と実施、事故発生時の事業継続を確実にする継続計画。事故発生時に備えて開発、編成、維持されている手順及び情報を文書化した事業継続の成果物。
BCM:組織を脅かす潜在的なインパクトを認識し、利害関係者の利益、名声、ブランド及び価値創造活動を守るため、復旧力及び対応力を構築するための有効な対応を行うフレームワーク、包括的なマネジメントプロセス。
— 引用: 事業継続管理(BCM)に関する利用ガイド|財団法人日本情報処理開発協会
つまり、BCPは計画(プラン)や手順などの成果物(ドキュメント)を指しており、BCMはその運用や継続的な改善を含む全体の枠組みを指します。BCPは単発で策定するものではなく、PDCAサイクルを回して運用・改善していくことが重要です。
経済産業省発行の事業継続計画策定ガイドラインでも、以下の様にBCMの重要性にも言及し大切であることを説明しています。BCPはBCMも含めて考慮していくことが重要で、企業はBCMを戦略的に活用し、従業員や取引先にBCPの重要性を浸透させることが求められます。
BCP・BCM は、事故や災害などが発生した際に、
「如何に事業を継続させるか」または「如何に事業を目標として設定した時間内に再開させるか」について、
様々な観点から対策を講じることを指す。BCP は、そのための計画自体を指し、BCM は、BCP の策定から運用、見直しまでの
マネジメントシステム全体を指す。したがって、企業にとって重要な視点は、
いかに BCM を企業内に浸透させ、戦略的に活用していくかという点である。具体的には、BCP の重要性を企業内で普及啓発・周知させることでリスク管理能力を向上させたり、
— 引用: 企業における情報セキュリティガバナンスのあり方に関する研究会 報告書 参考⑥|事業継続計画策定ガイドライン|経済産業省
取引先や監督当局に対し、BCM の取り組みをアピールすることなどが挙げられる。
2.事業継続の重要性
「事業継続」とは何でしょうか。事業とは生産・営利などの一定の目的を持って継続的に、組織・会社・商店などを経営する仕事 (参考:コトバンク)です。企業にとって「事業を継続する」ことは活動の源泉であり社会への貢献のひとつなので、これが止まることなく継続することが重要です。事業が中断すると様々なところに影響します。
取引先:納品遅延や供給ストップによる影響など
従業員:給与支払いの遅延や雇用不安など
株主:企業価値の低下など
地域社会:雇用の喪失やサービス提供の停止など
これらが一度失墜すると回復させるためには多くの労力とコストを要することになります。
そのため、事業が中断しないよう企業/団体として準備しなければなりません。特に現代の企業活動(事業)はIT(情報システム)なしには成り立ちません。IoTの発展により、企業のIT依存度はますます高まり、システムの可用性を高めることが事業継続の核となっています。
3.事業中断のリスクにはどのようなものがあるか?
では、事業中断のリスクになるようなものはどのようなものがあるでしょうか。
日本では災害(特に地震)が注目されていますが、事業が中断に陥るリスクには様々なものがあります。自然災害や火災などは被害額を大きいので注目されがちですが、その発生頻度は低いです。最近ではセキュリティー系の被害額は大きくなってきていると思いますので、ますます見逃せません。
事業を停止するリスク(一例)
・ウイルス
・情報漏洩
・サイバー攻撃
・データ損失
・ネットワーク障害
・地域的な停電
・自然災害
・テロ/暴動
・パンデミック etc…
4.過去の災害から学ぶBCPの進化
BCPという言葉は、1994年の阪神淡路大震災のころから注目を集めてきました。BCP=地震対策というイメージがついていますが、最近では前項でもご説明したとおり様々なリスクについて検討が必要になってきています。とは言え、被害の大きい地震対策を想定したBCPの策定が多いです。その地震対策も1994年の阪神淡路大震災のときから徐々に変わりつつあります。
1994年:阪神淡路大震災
発生した被害:大きな地震によるビルやマシンの倒壊や破損
対策:バックアップセンターやバックアップシステムの見直し
免震/耐震対策
2004年:新潟中越地震
発生した被害:サプライチェーンの中断による関連企業への被害
対策:BCP/BCMの見直し
実行性のある災害対策
2011年:東日本大震災
発生した被害:被災地以外での電力不足(輪番停電)
原子力発電所事故による立ち入り禁止区域の発生
対策:センター設備の見直し
初動対応や運用体制の見直し
2020年:新型コロナウィルスパンデミック
発生した被害:区域外への移動の制限、オペレーション要員の罹患による出社制限
対策:リモートワーク環境の構築
阪神淡路大震災のときは、自営の電算室が多く、建物の崩壊やIT機器の倒壊/移動/ケーブルの切断などの被害が多く発生しました。その教訓を受けて、建物の耐震/免振化やIT機器の倒壊防止の対策が施されました。
新潟中越地震のときは被害地域の範囲は小さいものの、一部の工場の生産が止まり、サプライチェーンが中断されてしまいました。このころから自社のBCP/BCMだけでなく、取引先に対しても事業継続の検討がされるようになりました。
東日本大震災では、地震の規模が大きかったものの、IT機器の倒壊はほとんど報告されませんでした。代わりに原子力発電所の事故による電力不足で輪番停電が地震の発生した地域から離れたところで行われたり、立ち入り禁止区域が出たりして、初動対応(システム切り替えなど)の判断が難しくなりました。
記憶に新しいところでは新型コロナの大流行(パンデミック)により、罹患や政府からの要請により出社が難しくなり、リモートで仕事ができるようにリモートワークの環境を整えざるを得ないことになりました。システムオペレーターは出社スケジュールの調整やシフトの調整などが必要になったりしました。
このように過去の大きな災害でも対策のおかげで防いだ被害がありながらも、新しいリスクが生まれたりしています。BCPの策定においては、被災想定を定義してその対策や計画を立案しますが、社会環境や現状調査を行いBCMで見直していくことが重要です。また、訓練などの実施で発生するリスクのパターンを変えてみて、柔軟に対応できる能力(レジリエンス)を磨いておくことも大切です。
5.企業のリスク対策にBCPは不可欠
事業継続とは、企業活動の根幹であり、企業の存続と社会貢献のために欠かせません。
- 事業継続は企業活動の源泉であり、企業の存続と社会貢献のために不可欠
- 事業継続に影響を及ぼす要因には様々なものがある。特に地震は影響が大きく、被害額も甚大になりやすい
- 近年では地震・災害だけでなく、サイバー攻撃やシステム障害への対応も重要になっている
- 情報システム(テクノロジー)は業務と密接に関わり、現在では事業を継続する上で不可欠な要素
- BCPは策定するだけでなく、運用・改善を継続的に行うことが重要
- 取引先や従業員にもBCPの重要性を周知し、組織全体で取り組むべき
事業継続のためには、単に計画を立てるだけではなく、組織全体での理解と協力が不可欠です。リスクは常に変化するため、BCPの定期的な見直しと改善を怠らないことが、企業の持続的な発展につながります。こうした取り組みを進めるためには、経験豊富なパートナーの支援を受けることも有効です。専門的な知識と実績を持つ企業と連携し、より強固なBCP/BCMを策定・運用していくことが重要です。
MONO-Xでは、企業のIT環境に合わせた事業継続対策をサポートしています。BCPや災害対策でお悩みの方は、ぜひMONO-Xにご相談ください。
>>PVS Oneに関するお問い合わせはこちら
株式会社MONO-X公式サイト
株式会社MONO-Xへのご相談・お問い合わせはこちら
次回の記事では、情報システム部門としてBCP/BCMにどのように対応していくべきかについて詳しく解説します。※3月公開予定
