来たる2020年に開催される東京オリンピック・パラリンピックや、年々脅威を増す自然災害の備えとして、『BCP(事業継続計画)』という言葉を耳にする機会が増えてきました。
企業に事業中断を引き起こさせる要因には、外部、内部ともにさまざまなものがあり、それらの要因の発生を見越して、万一の際にも事業を継続できるよう行う対策がBCP(事業継続計画)、あるいはBCM(事業継続マネジメント)です。
今回は、BCPとは何か、そしてBCPの定義から実際の策定に必要なもの、ガイドラインなどについて紹介します。
>>システム障害が発生してからでは遅い!仮想環境の導入前に検討すべきことを知っていますか?
BCPとは何か
中小企業庁によると、BCP(Business Continuity Plan:事業継続計画)とは「企業が自然災害、大火災、テロ攻撃などの緊急事態に遭遇した場合において、事業資産の損害を最小限にとどめつつ、中核となる事業の継続あるいは早期復旧を可能とするために、平常時に行うべき活動や緊急時における事業継続のための方法、手段などを取り決めておく計画」としています。
また最近では、BCM(Business Continuity Management:事業継続マネジメント)という言葉もよく聞かれるようになりました。BCMは、組織を脅かす潜在的なインパクトを認識し、利害関係者の利益、名声、ブランドおよび価値創造活動を守るため、復旧力及び対応力を構築するための有効な対応を行うフレームワーク、包括的なマネジメントプロセスと定義されています。(英国規格協会:BSI)
BCPは、事業停止のリスクが発生した際の対策、たとえばシステムの冗長化や遠隔地へのバックアップ、災害に耐えうる設備の実現、避難経路や重要書類の保護など、具体的な計画を策定することといえます。そしてBCMは、BCPの内容をを定期的に見直し運用していくことといえます。
BCPとBCMの関係
BCPやBCMが注目される背景には、さまざまな要因があります。そのひとつがコスト削減と効率化を目的とした事業の集約化です。一時期はコスト削減のために海外を含めた拠点の分散化が進んでいましたが、コストメリットが少なくなったことで、生産拠点や物流拠点、取引先などの集約が進んでいます。このため、集約された拠点に障害が発生した場合の事業停止のリスクが増加しています。
IT化の進展による業務のシステム化も要因のひとつです。受発注処理から工場での生産、社内外との連絡、経理など、ほとんどの業務がITシステムとネットワークの上で行われています。このため、システム障害やネットワーク障害などが発生すると、たちまち業務に影響をきたします。また、こうした障害は外的な原因に限らず、業務拡大における新社屋への引っ越しや新工場の稼働、メンテナンスなど、本来企業が成長するためのことでも停止する可能性があります。
大規模な自然災害や事件・事故も、業務の継続を阻害する要因になります。ゲリラ雷雨や台風による被害は年々大きくなっていますし、地震も頻発しています。物理的に社屋やシステムが被害を受けるケースも少なくありません。また、テロによる影響も見逃せなくなっていますし、重症急性呼吸器症候群(SARS)の蔓延による事業停止も記憶に新しいところです。企業にとって、事業停止のリスクを把握し、有事の際の対策を明文化しておくことは喫緊の課題といえます。
>>システム障害からの速やかな回復を実現するHAクラスターシステムとは?
BCPの考え方
企業は、こうしたさまざまな事業停止のリスクに対し、それぞれ対策を行う必要があります。社員が出社できない場合はどう業務を遂行するか、停電した場合にITシステムの電源をどう確保するか、社屋が物理的なダメージを受けた場合にはどう対処するかなど、考えるべきことはたくさんあります。
BCPやBCMは、万一の事態に対処するための施策で、投資も必要になります。そのため、事業停止の危機に直面しないと、その必要性が実感できないかも知れません。しかし、そうなったときには手遅れなのです。まずは企業のトップが事業停止のリスクを認識し、平常時から万一の事態を想定して備えておくことが重要なのです。
また、BCPやBCMといった対策を公表することは、関連企業やステークホルダー、お客様などに対する安全さのアピールにもなります。これは社員に対しても同様で、BCPやBCMを策定することで安心して業務を行える環境が構築できます。人材流出の遠因にならないためにも必要な対策といえるでしょう。
BCP構築に必要なもの
BCPやBCMを構築する目的は、事業停止のリスクとなることが発生した際に、「いかに事業を継続させるか」、あるいは「いかに事業の停止時間を短くするか」となります。このため、対象範囲となるのは基本的にすべての事業、業務、施設、人員となります。とはいえ、いきなりすべてを対象に対策を練るのは難しいため、たとえば対象を基幹業務や重要な業務のみ、あるいは人員の安全確保などに限定するといいでしょう。
まずはBCP、BCMのための責任者と対応チームを編成します。チームには、なるべく経営の視点を持つ「Cクラス(CEOやCTO、CMOなど)」の人間と、部署を横断したメンバーを集めるべきでしょう。また、普段は各自の業務を行い、必要なときや緊急時にチームを編成できるようにします。チームを編成したら、継続すべき業務の優先度を決定し、それに対して起きうるリスクと継続のための対策法を立てていきます。
具体的な検討項目の例を挙げてみましょう。
(1)優先して継続・復旧すべき中核事業を特定する
(2)緊急時における中核事業の目標復旧時間を定めておく
(3)緊急時に提供できるサービスのレベルについて顧客とあらかじめ協議しておく
(4)事業拠点や生産設備、仕入品調達等の代替策を用意しておく
(5)すべての従業員と事業継続についてコニュニケーションを図っておく
これ以外にも、有事の際の連絡網の設定や、社外の連絡すべき場所もピックアップしておくとよいでしょう。また、大規模なシステム障害やウイルス感染、情報漏えいなどの場合には、警察や経済産業省など、関連省庁への連絡も必要になります。あらゆるケースを想定しておくことが重要です。BCPを策定したら、シミュレーションを行って定期的にその内容を見直していきます。そのPDCAのサイクルがBCMであるといえます。そして、BCPの意識を全社に広げていくことが重要です。
>>事業停止を引き起こすサイバー攻撃、発生から収束まで
>>インターネット分離(1) – 事業継続を阻害する標的型攻撃と、「インターネット分離」による対策
BCP策定までの流れ(例)
BCPに関するガイドライン
このほか、BCPの取り組みに関する情報開示も義務づけられています。2003年3月には、「企業内容等の開示に関する内閣府令」等が改正され、有価証券報告書において「事業等のリスクに関する情報」の記載が義務付けられた。単にリスクを開示するだけでなく、BCPの取組みについて触れる報告書も多く、この流れは今後加速していくでしょう。
また、金融業界では金融庁が危機管理体制の構築を求めているほか、BCPやコンティンジェンシープランなどに関する取り組みについての情報開示を自主的に行っているケースもあります。このほか、経済産業省がBCPおよびBCMについてのガイドラインを公開しているほか、金融庁の例のように業界ごとにガイドラインが策定されています。関係省庁の情報を調べてみるとよいでしょう。
BCPやBCMの策定は、万一の事態が発生しても事業を継続するための重要な施策であり、企業価値を高めるものでもあります。それは単に紙上のものだけでなく、有事の際に実際に遂行できる内容が求められます。事業停止のリスクは、業界や規模に関係なくすべての企業に存在します。他人ごとと思わず、自社の評価を落とさないためにも必要な施策なのです。
ITシステムに対するBCP対策にご興味がある方は、是非こちらもご参照ください。
