事業継続計画(BCP)の重要性
デジタル化を知りたい
先生、「事業継続計画(BCP)」って、災害が起きた時だけ考えればいいんですか?
デジタル化研究家
いい質問だね。災害時はもちろんだけど、それだけではないんだよ。例えば、大規模なシステム障害やサイバー攻撃といった、ITシステムに問題が起こった時にも事業を継続するための計画なんだ。
デジタル化を知りたい
なるほど。でも、システム障害やサイバー攻撃って、災害とは違いますよね?
デジタル化研究家
そうだね。災害以外にも、事業を継続できないような様々な事態を想定しておく必要があるんだ。BCPは、どんなことが起きても事業を止めない、あるいはすぐに再開できるようにするための計画なんだよ。
BCPとは。
事業を続けられるようにするための計画「事業継続計画」(略してBCP)について説明します。BCPとは、地震やテロといった、事業に大きな影響を与える出来事が起きた時に、被害を小さくして事業を続けられるようにするための方法をまとめたものです。特に、コンピューターを使ったサービスの事業に関しては「IT-BCP」と呼ばれます。
今の時代は、ほとんどの仕事がコンピューターに頼っています。そのため、災害やコンピューターへの攻撃などでシステムが止まると、とても大きな被害が出ることが予想されます。いざという時にもシステムを動かし続けるためには、BCPを作っておくことが必要です。
BCPの作り方は、国の機関が出している手引書に書いてあります。大まかな流れは以下のとおりです。
1. 計画の基本的な考え方と、誰が何をするのかを決める。
2. どんなことが起きるか、どれくらいの被害が出るかを予想する。
3. システムを直す順番を決める。
4. 何か起きた時に、どのように対応するかを決める。
作った計画に基づいて、事前に対策をしたり、訓練をしたりします。また、実際に何か起きた時には、そこから学んだことをもとに、BCPをときどき見直します。
災害の時にもシステムを止めないためには、データを保管する場所を複数用意したり、電気や通信回線を複数用意したりします。システムが止まってしまった時には、バックアップしておいたデータを使って復旧したり、コンピューターを使わない方法で仕事をしたりすることを考えておく必要があります。また、災害のすぐ後にどのように情報を伝えるかなど、災害特有の仕事への対応も考えておく必要があります。
事業継続計画とは
事業継続計画(事業を続けていくための計画)とは、地震や台風、火事、事故、不正アクセスといった、思いがけない出来事に見舞われた際に、事業への影響を小さくし、中心となる事業を続けていく、あるいは早く立て直すための方策をまとめた計画のことです。
近頃では、企業活動を取り巻く危険の種類が増え、内容も複雑化しています。感染症の流行や、国際情勢の変化、大規模なシステム障害なども、企業活動に大きな影響を与える可能性があります。こうした危険に備えることは、企業が存続していく上で欠かすことができません。
事業継続計画は、災害時に従業員の安全を確保するための防災計画とは異なります。防災計画は人命を守るための計画である一方、事業継続計画は、企業活動全体を続けていくという視点で作成される包括的な計画です。具体的には、重要な事業を特定し、その事業を継続するために必要な資源(人、物、情報、取引先など)を洗い出し、災害時でもこれらの資源を確保するための対策を定めます。
例えば、主要な取引先が被災した場合に備えて、代替となる取引先を確保しておく、重要なデータは複数の場所に保管しておく、従業員が自宅などから仕事ができるように環境を整えておく、といった対策が考えられます。
事業継続計画を策定することで、企業は予期せぬ出来事による損失を最小限に抑え、顧客や取引先からの信頼を維持し、事業の安定的な成長を図ることができます。また、計画を定期的に見直し、訓練を行うことで、より実効性の高いものにすることが重要です。
| 項目 | 内容 |
|---|---|
| 事業継続計画(BCP)の定義 | 思いがけない出来事(地震、台風、火事、事故、不正アクセス、感染症の流行、国際情勢の変化、大規模なシステム障害など)に見舞われた際に、事業への影響を小さくし、中心となる事業を続けていく、あるいは早く立て直すための方策をまとめた計画 |
| BCPの目的 | 企業の存続、事業の安定的な成長、顧客や取引先からの信頼維持、予期せぬ出来事による損失の最小限化 |
| BCPの特徴 | 企業活動全体を続けていくという視点で作成される包括的な計画。重要な事業を特定し、その事業を継続するために必要な資源(人、物、情報、取引先など)を洗い出し、災害時でもこれらの資源を確保するための対策を定める。 |
| BCPの例 | 代替となる取引先の確保、重要なデータの複数保管、従業員の在宅勤務環境整備 |
| BCP策定後の運用 | 計画を定期的に見直し、訓練を行うことで、より実効性の高いものにする。 |
情報技術の継続性確保
今の世の中は、会社で仕事をするにはコンピュータなどの機械が欠かせません。もしもの時、例えば大きな地震や事故でこれらの機械が動かなくなると、仕事に大きな影響が出てしまいます。そのため、機械が止まっても仕事が続けられるように準備しておくことが大切です。これを情報技術の継続性確保、略して情報技術継続性計画と言います。これは、会社全体の事業継続計画の一部です。
情報技術継続性計画では、いざという時にもコンピュータなどをきちんと動かせるように、具体的な方法を決めておきます。例えば、大切なデータの写しを別の場所に保管しておくことが重要です。普段使っている機械が壊れても、別の機械で仕事ができるように、予備の機械を用意しておくのも良いでしょう。また、機械が壊れた時に、どのように直すのか、その手順を決めておくことも大切です。
データの写し方はいくつかあります。毎日決まった時間に写しを作る方法や、変更があった時だけ写しを作る方法など、会社の状況に合わせて適切な方法を選びます。予備の機械は、自社で用意する以外にも、他の会社と共同で利用する方法もあります。
機械を直す手順書には、誰が何をいつまでにやるのかを具体的に書いておく必要があります。手順書があれば、慌ただしい時でも落ち着いて作業を進めることができます。情報技術継続性計画は、一度作って終わりではなく、定期的に見直して、改善していくことが大切です。会社の規模や仕事の内容が変われば、必要な対策も変わってきます。また、新しい機械や技術を取り入れた場合は、計画を更新する必要があります。 情報技術継続性計画をきちんと作ることで、会社は災害や事故などの影響を最小限に抑え、事業を続けることができます。
| 情報技術継続性計画の目的 | 具体的な対策 | 詳細 |
|---|---|---|
| 機械が止まっても仕事が続けられるようにする | データの複製保管 | – 毎日決まった時間に複製 – 変更があった時だけ複製 – 会社の状況に合わせた方法を選択 |
| 予備の機械を用意 | – 自社で用意 – 他社と共同利用 |
|
| 復旧手順の策定 | – 誰が何をいつまでにやるかを明確化 – 手順書に基づいた作業 |
|
| 定期的な見直しと改善 | 計画の更新 | – 会社の規模や仕事内容の変化に対応 – 新しい機械や技術の導入に対応 |
計画策定の進め方
事業継続計画(BCP)を作るには、まず、政府が発表している指針を参考にすると良いでしょう。この指針には、計画を作る上での基本的な考え方や、計画を実行するための組織作りなどが説明されています。
計画作りで一番大切なのは、起こりうる様々な危機を想定し、それぞれの危機が事業にどのような影響を与えるかを予測することです。例えば、大規模な地震が発生した場合、会社の建物や設備が損壊するだけでなく、従業員が出社できない、取引先との連絡が取れないといった問題も発生するでしょう。これらの問題によって、会社の業務がどの程度停止し、どれくらいの損失が発生するかを、事前にしっかりと見積もっておく必要があります。
次に、会社の業務を支える情報システムの中で、どれを優先的に復旧させるかを決めなければなりません。例えば、会社の基幹システムは、顧客からの注文受付や商品の発送など、事業の中核を担っているため、最優先で復旧させるべきです。一方、社員食堂の予約システムなどは、事業への影響が比較的小さいため、復旧の優先順位は低くなります。このように、それぞれの情報システムの重要度に応じて、復旧の優先順位を明確に定めることが大切です。
そして、優先順位に基づき、具体的な対策を検討します。例えば、基幹システムを早期に復旧させるためには、予備のシステムを準備しておく、重要なデータは別の場所に保管しておくといった対策が必要でしょう。その他、従業員への連絡手段の確保、代替の事業拠点の確保など、様々な状況を想定し、具体的な対応策を細かく計画に盛り込むことが重要です。
計画を作ったら終わりではありません。定期的に計画を見直し、改善していく必要があります。また、計画に沿った訓練を定期的に実施することで、計画の実効性を高めることができます。さらに、計画の内容を関係者に周知徹底し、いざという時に適切な行動が取れるよう、教育訓練を行うことも重要です。
| 項目 | 内容 |
|---|---|
| 指針の活用 | 政府発表の指針を参考に、基本的な考え方や組織作りを学ぶ。 |
| 危機想定と影響予測 | 様々な危機を想定し、事業への影響(業務停止、損失など)を予測する。例:地震発生時の建物損壊、従業員の出社困難、取引先との連絡途絶など。 |
| システム復旧の優先順位決定 | 情報システムの重要度に応じて復旧の優先順位を決める。例:基幹システムは最優先、社員食堂予約システムは優先度低。 |
| 具体的な対策検討 | 優先順位に基づき具体的な対策を検討する。例:基幹システムの早期復旧のため、予備システムの準備、重要データの別場所保管。従業員への連絡手段確保、代替事業拠点確保など。 |
| 計画の見直しと訓練 | 定期的な計画見直しと改善、訓練実施による実効性向上、関係者への周知徹底と教育訓練の実施。 |
具体的な対策例
災害や事故など、予期せぬ出来事が起きた時でも事業を続けられるように、いくつかの具体的な対策をご紹介いたします。まず、事業の心臓部とも言えるデータセンターや主要拠点の複製を用意することをお勧めします。複数の場所に同じ機能を持つ施設を配置することで、一つが利用できなくなっても、別の場所で業務を続けられます。これは、複数の支社を持つ企業が、本社機能を他の支社でも代替できるようにするようなイメージです。
同様に、電力や通信回線も複数の経路を用意することが大切です。普段利用している電力会社や通信事業者とは別に、予備の契約を結んでおくことで、一つが途切れてもすぐに別の経路に切り替えることができます。停電時にも自家発電装置を備えておくことで、事業継続に備えることができます。
情報システムが停止した場合に備え、日頃からデータの複製を作成し、安全な場所に保管しておくことも重要です。また、複製したデータからシステムを復旧するための手順を明確に定め、担当者に周知徹底しておくことで、迅速な復旧作業が可能になります。定期的に訓練を実施することで、いざという時に落ち着いて対応できる体制を築きましょう。
情報システムに頼り切らずに業務を遂行できる方法も検討しておくことも重要です。例えば、受発注のシステムが停止した場合に備え、書面やファックスなど、別の方法で注文を受けられるようにしておく、といった工夫です。普段から情報システム以外の業務処理方法を確立しておくことで、システムトラブル発生時にも混乱を最小限に抑え、事業継続の可能性を高めることができます。これらの対策を組み合わせ、自社に最適な体制を整えることで、どんな状況にも対応できる強い組織を構築できるでしょう。
| 対策 | 内容 | 目的 |
|---|---|---|
| 拠点の多重化 | データセンターや主要拠点を複製し、複数の場所に同じ機能を持つ施設を配置する。 | 一つが利用できなくなっても、別の場所で業務を続けられるようにする。 |
| 電力・通信の多重化 | 電力や通信回線を複数経路用意する。予備の契約を結んでおく、自家発電装置を備える。 | 一つが途切れてもすぐに別の経路に切り替えられるようにする。 |
| データのバックアップと復旧体制の整備 | 日頃からデータの複製を作成し、安全な場所に保管する。複製したデータからシステムを復旧するための手順を明確に定め、担当者に周知徹底する。定期的に訓練を実施する。 | 情報システムが停止した場合に備え、迅速な復旧作業を可能にする。 |
| 代替手段の確保 | 情報システムに頼り切らずに業務を遂行できる方法を検討しておく。例えば、受発注のシステムが停止した場合に備え、書面やファックスなど、別の方法で注文を受けられるようにしておく。 | システムトラブル発生時にも混乱を最小限に抑え、事業継続の可能性を高める。 |
災害時の情報共有
大きな災害が起こった直後には、人々の命を守るため、また被害を少しでも減らすため、正確な情報を素早く伝え合うことがとても大切です。まず、会社で働く人たちの無事を確認し、建物や設備の被害状況を把握しなければなりません。同時に、お客さまやお取引先にも状況を伝え、連絡を取り合う必要があります。これらの大切な連絡を確実に行うには、災害が起こる前に、特別な連絡網を作っておくことが必要です。
例えば、社員一人ひとりの連絡先をまとめた一覧表を作り、安否確認の方法を決めておくことが大切です。電話が繋がりにくい場合を考え、携帯電話のメールアドレスや、災害時専用の連絡アプリなどを活用する方法も検討しましょう。また、安否確認だけでなく、被害状況を報告するための仕組みも必要です。社員が自分の状況や周りの被害状況を簡単に入力できるシステムがあると便利です。
お客さまやお取引先への連絡も、事前に方法を決めておく必要があります。会社のホームページや、広く使われている会話のアプリなどで情報を伝える方法も有効です。伝える内容も、あらかじめいくつか用意しておくと、いざという時に慌てずに済みます。例えば、災害時の対応窓口の電話番号や、事業への影響に関する情報などをまとめておきましょう。
加えて、情報の伝え方にも注意が必要です。混乱している状況では、誤解を招かないように、分かりやすく正確な情報を伝えることが重要です。情報の更新日時を明記することも忘れずに行いましょう。また、不確かな情報は流さないように注意し、公式な情報に基づいて発信することが大切です。これらの準備をしっかり行うことで、災害時の混乱を少しでも減らし、人々の安全を守り、被害の拡大を防ぐことに繋がります。
| 対象 | 目的 | 手段 | 事前準備 |
|---|---|---|---|
| 社員 | 安否確認、被害状況把握 | 電話、携帯メール、災害時連絡アプリ | 連絡先一覧表作成、安否確認方法決定、被害状況報告システム構築 |
| 顧客・取引先 | 状況伝達、連絡 | 会社ホームページ、会話アプリ | 連絡方法決定、発信内容準備(対応窓口電話番号、事業への影響情報など) |
| 全般 | 正確な情報伝達、混乱の軽減、安全確保、被害拡大防止 | 情報の伝え方(正確、分かりやすい)、更新日時の明記、不確かな情報の排除 |
継続的な改善
事業継続計画(BCP)は、作って終わりではありません。継続的な改善が必要です。まるで生き物のように、周りの状況に合わせて変化させていくことが大切です。
災害や事故が起きた時は、計画通りにうまくいったか、そうでなかったかをしっかりと調べなければなりません。もし問題があれば、計画を修正する必要があります。例えば、連絡がうまくいかなかった場合は、連絡手段を増やす、あるいは担当者を見直す必要があるかもしれません。避難経路が適切でなかった場合は、より安全な経路に見直したり、経路を示す案内を増やす必要があるでしょう。
また、定期的な訓練も重要です。机上の計画通りに事が運ぶとは限りません。実際にやってみることで、計画の穴や問題点が見えてきます。例えば、避難訓練を実施することで、想定していたよりも避難に時間がかかったり、集合場所が適切でないことに気づくかもしれません。訓練で見つかった課題は、計画に反映し、改善していく必要があります。
さらに、社会の状況や技術は常に変化しています。新しい法律ができたり、通信手段が変わったりすることもあります。ですから、BCPも常に最新の状態に保つ必要があります。例えば、在宅勤務制度を導入した場合は、在宅勤務者への連絡方法や、自宅での業務環境の整備について計画に盛り込む必要があるでしょう。新しい情報通信技術を活用することで、より効率的な情報伝達や業務の継続が可能になるかもしれません。これらの変化に対応することで、BCPは真に役に立つものになります。
