今、企業に求められる事業継続計画

コラムカテゴリー:

 現在、私たち企業の周りには多くのリスクが存在しています。例を挙げると、地震・台風・火山噴火・新型疫病などの自然災害リスク、火災・爆発などの事故リスク、紛争・テロなどの社会リスク、横領・背任・情報漏えいなどの内部統制リスク、またそれらに伴って生じる財務リスクなど私たちは様々なリスクに取り囲まれています。これらのリスクが現実化して事業が停止してしまった場合、いかに早く事業を復旧・再開させるかが企業にとって重要となってきます。

 事業継続計画(以下BCP;Business Continuity Plan)とは、「事件・事故・災害などの事象を想定して、万が一業務が停止した場合、利害関係者(取引先・株主・従業員・顧客など)の利益を守るとともに事業停止の影響を最小限にとどめ、事業を復旧させていく計画のことを言います。

 阪神淡路大震災や米国同時多発テロを契機に、日本でも多くの企業がBCP策定に取り組んできました。しかしながら、多くの中小企業ではBCPが完備されていないのが現状です。また、中堅・大企業にあってもBCPを策定したつもりが防災計画になっている場合もあります。

 防災計画とBCPの違いには以下のような点があります。
    <防災計画>                  <BCP>
■目的;人的・物的被害軽減             事業継続・社会的責任の維持
■対象;危険が予想される場所(限定的)      中核事業
■リスク想定;特定の災害               業務中断を伴う事象
■復旧方針;目標復旧時間設定は任意       目標復旧時間を設定
既に防災計画を整備されている企業は、中核事業を速やかに復旧させるべく内容を改訂することによってBCPとすることができます。

 私たちの企業活動は情報システムがないと成り立たなくなってきました。大規模な災害(特に地震・台風など)が発生すると情報システムも被害を受けることが想定されます。災害によって重要なデータの損壊や長期間の停電が発生すると、どのような影響が及ぶのでしょうか。

<情報システムが被災した場合の影響の例>
 ・請求書発行、給与支払手続きができない
 ・入金情報・取引情報の確認ができなくなる
 ・設計データがなくなる
 ・生産ラインの機械を動かすことができない
 ・受注、発注、発送指示を行えない
 ・顧客情報にアクセスできない

以上から分かるように、情報システムを含めたBCPの策定は必須といえます。
情報システム関連でBCPに含めるべき内容には次のようなものがあります。
 ・データはバックアップを毎日取得し、安全な場所に保管する
 ・通信回線を二重化にする
 ・バックアップ体制の完備されたSaas(ASPサービス)を利用する
 ・重要業務に関連するシステムに無停電電源装置(UPS)を設置する
 ・情報システム機器を固定し、耐震補強を施す
単なる机上の想定ではなく、「大規模災害は必ず起きる。その影響が自社にも必ず及ぶ。」という前提に立ち、システムのバックアップとそのリストア体制について準備しておくことがポイントです。

 今回の東日本大震災では、システムは動かすことはできたが、社員・協力会社社員が被災して出社できずに業務が回らなかったという企業が多数ありました。バックアップは、システム自体だけでなくシステムを動かす人員の配置についても忘れずに対策を立てておくようにしてください。

 会社の規模に関係なく全ての企業はBCPを備えることが重要です。最初は完璧なものでなくても構いません。まずは防災計画の見直しなどできるところからはじめ、PDCA(Plan,Do,Check,Act)を繰り返すことによって緊急時に備えてください。そして、もしもの時にBCPを活かすことができるように従業員への教育と演習を行ってください。全社的に実際の災害を想定した実地訓練ができることが一番望ましいですが、できない場合は最低でも年一回の机上訓練を行います。訓練の目的は、実際に業務中断事由が発生した場合のBCP実効性を検証し、改善点を見つけること、問題発生時に従業員各自が練習通りに行動できるようになることです。
 BCPは作成してからが本番です。経営層・従業員ひとりひとりがBCPの方針・手順を十分理解し、教育や訓練を通じて企業文化に浸透・定着させてこそ「もしもの時」にBCPが効を奏すのです。

ASCの提供する「IT事業継続計画策定コンサルティング」のご案内は「こちら」をご覧ください

関連サービス

2011年03月01日 (火)

青山システムコンサルティング株式会社

田中純