ISO取得・コンサルティングサービス 帝国データバンクネットコミュニケーション

帝国データバンクネットコミュニケーション
岡崎 弘明

■事業継続計画とは

　ここまでの連載で、情報セキュリティ事件・事故をいかに未然に防ぐかをまとめてきた。しかしながら、リスクをゼロにするというのは現実的ではないし、そもそもありえない。すなわち、どんなに対策を講じていても、事件・事故は起きうるものであり、その覚悟は必要だということである。今回は最終回ということで、事業継続計画（Business Continuity Plan：BCP）をテーマとする。

　情報セキュリティの範疇に限らず、企業の永続的発展のためには、このＢＣＰが必要だ。　 地震や風水害等の自然災害、火災、事故、経営者の不慮の死など、経営に重大なインパクトを与えてしまう様々な脅威が発生した際、いかに事業を継続させていくかをあらかじめ検討・準備しておくというものである。

　ただし、「何が起きても、事業を継続していく」という目的意識は必要だが、そうなると、脅威ごとに数多くの事業継続計画が必要になってくる。当然、計画にはヒトモノカネが関わってくるし、ありとあらゆる脅威を想定したつもりでも、何が起きるかは分からず、いくつもの計画を立てるというのは現実的ではない。すべてを網羅するような完ぺきな事業継続計画は必要ないし、そもそも無理である。

　そこで肝要なのは、とりあえず脅威をひとつに絞り込んで、事業継続計画を立ててみることである。さらに、すべての事業や業務の継続を考えていくと収拾がつかなくなるので、 コアとなる重要な事業、業務に絞る方が懸命である。いずれにしろ、当初から完成度の高いものを望まないで、試しに作ってみる程度の気構えで良いのではないだろうか。その後、定期的に見直しをして、ブラッシュアップしていけばよい。

それでは、何の脅威に絞り込むかということだが、これは各企業の業態や立地などにより様々であろう。コンサルティングの経験から言わせて頂ければ、やはり「地震」を対象とした計画が一番多い。今回は、この「地震」という脅威を元に、事業継続計画を考察する。

　続いてコア事業の絞り込みだが、地震が起きた時、どの事業・業務に大きな支障が出そうなのか、またその事業・業務が一定期間停止した場合、会社としてどれだけの損失となるのか、これらを考慮して決定する。

　事業継続計画を策定する際、まずは、「人命・身体の安全」が最優先である。その為には、避難経路の確保や緊急連絡網の整備などが必要となってくる。また、地震が来た際のそれぞれの身の安全の確保を考え、職場内での危険因子を排除しておく。続いて、「二次災害の防止」を考えねばならない。火災の防止や構築物の倒壊阻止、また工場などの施設を有する企業にとっては、燃料や危険薬物、廃液などの漏出防止も重要である。その為には、あらかじめ様々なシミュレーションを行い、必要であれば、耐震仕様の物理的な手当をして予防処置を講じておく。ただしコストがかかる問題であり、重要度を決め、身の丈に応じて可能な範囲で実施する。

■事業継続計画の策定

　ここからが、事業継続計画策定の本題となってくるのだが、「事業復旧期間の想定」が必要である。地震によって停止したコア事業をどれだけの期間で、何割程度復旧させるかだ。そもそも、コア事業を決定する際に、どこまで会社として事業の停止期間に耐えられるのか（企業体力）を考慮しているはずであり、そこから復旧期間の目安を想定する。これも、被害の大きさによって、期間は変わるかもしれないが、とりあえず中〜大程度の被害で考えると良い。壊滅的な激甚被害を想定すると、収拾がつかなくなる恐れがあり、計画通りにいかない可能性の方が高い。逆に小規模の被害想定では、あまり意味がない。

　復旧期間の目安が決まれば、それを計画に落とし込んでいく。事業継続計画は以下のポイントで策定する。

　まず大切なのは、事業継続のための組織・体制である。あらかじめ、経営陣をトップに据えた「対策委員会」のメンバーを決めておき、各部門にそれぞれ委員をアサインしておく。いざ地震が起きた際には、委員会の立ち上げとなり、事業継続計画が発動される。また委員会のトップに万一の場合があれば、権限を誰に委譲するのか、代行順位を決めておくことも必要である。

　続いて、本社などの拠点の機能確保と、人員の確保だが、地震が起きた際、社員が真っ先に案ずるのは家族であろう。そこをまったまったく無視しての事業復旧はあり得ないので、人員の確保に関しての計画は現実的なことを考えねばならない。

　続いて、「対策委員会」の指示の元、各部門の委員は被害状況を確認するが、人的被害、オフィスや工場、設備等の物理的被害、電気・ガス・水道・電話などのライフラインの状態、在庫などの製品・商品の被害、サプライチェーンの各社の状況、サーバやＰＣの被害、データの破壊や書類の損傷状態、ネットワークの断線状況など、様々な角度で確認する必要がある。あらかじめ、チェックシートを作っておくと良い。また、情報収集・発信の手段や手順も考えておく必要がある。

　それから情報セキュリティ上の問題であるが、情報のバックアップは必須である。社内のデータが消えてしまうと、取り返しがつかなくなり、事業継続が不能になる恐れもある。欲を言えば、地震の少ない地域にデータのバックアップを取っておくと憂いが少なくなる。

　最後が、製品やサービスの供給に関しての計画であり、事業継続の根幹であるが、想定された期間内にどう復旧させるのか、様々なことを考えて計画に落とし込む。被災していない他の拠点からの応援の要請、他の拠点への生産ラインのシフト、外注先や同業他社との事前の応援協定など様々なことが考えられる。いろんなものが複雑に絡み合っていて、策定は難航する事も多いが、なるべく多くの社員を巻き込んでいったん議論を拡散させてみると、気付かなかった点や、効果的な打開策が出てきたりもする。また、真剣に議論した社員達は、それだけでも事業継続に関しての意識が高まるという効果がある。

■事業継続計画の運用と見直し

　こうして策定された事業継続計画は、当然経営陣の承認が必要となる。その際、コストを考慮し、そもそも現実的なものかどうか吟味されなければならない。

　承認された計画は、それだけでは絵に描いた餅であり、実際に日頃から教育・訓練しておく必要がある。そこで、不具合が発見されれば、計画は修正されなければならない。こうして、見直し・点検を重ねて、段々と中身のある計画へと進化していくのである。

　前段で述べたとおり、最初から完ぺきなものを作ろうとしても無理であり、挫折するのがオチである。とりあえず、コンパクトな計画を作ってみて、教育・訓練、見直し・点検を積み重ねているうちに、良いものに仕上がるはずである。事業継続計画が策定され、それが企業の血となり、肉となれば、リスクに対して非常に強い体質となるであろう。
「備えあれば、憂いなし」なのである。