ICTで経営課題の解決に役立つコラムを掲載

2023年05月22日掲載

非常時対策の必要性・ICT企業のリスクマネジメント「BCP（事業継続計画）」とは

「BCP（Business Continuity Plan：事業継続計画）」とは、災害等、不測の事態が生じた際、重要な事業を継続させるための方針・体制・手順を記した計画をいいます。

自然災害・テロ・システム障害・情報流出・感染症等、企業にとって重大なリスクとなる緊急事態への危機感が高まっていることを背景に、近年ではBCP策定の重要性がいっそうクローズアップされています。

BCPは「BCM（事業継続マネジメント）」の一環

BCPの策定は、「BCM（Business Continuity Management：事業継続マネジメント）」の一要素として位置づけられます。

BCMとは、緊急事態下における事業継続に向けた総合マネジメント活動のことです。BCPはあくまでも事業継続の「設計図」であり、それを実現するための基本方針・社内体制・全体戦略等の整備を行い、従業員への浸透を図ることが、BCM全体の要点となります。

BCMの全体プロセス

内閣府が公表している事業継続ガイドライン※1では、BCPの策定を含むBCMの全体プロセスを、以下の6段階に区分しています。

(1)方針の策定
自社が果たすべき責任や、自社にとって重要な事項を明確化した基本方針を策定します。
また、責任者の指名や事務局の立ち上げ等により、BCMの実施体制を全社的に構築する必要があります。

(2)分析・検討
事業影響度分析とリスク分析を行います。不測の事態への対応の優先順位を決定するための判断材料とすることが目的です。

(a)事業影響度分析
各事業が停止した場合に、生じる影響の大きさや変化を時系列に沿って評価します。
(b)リスク分析
不測の事態の類型ごとに、自社が負うリスクの大きさを分析します。

(3)事業継続戦略・対策の検討と決定
重要業務について、取引先等のニーズを踏まえた上で、目標となる復旧時間や復旧レベルの案を作成します。
さらに、目標復旧時間と目標復旧レベルを達成するため、どのような対策・取り組みが必要かを検討した上で、経営者が決定します。

(4)計画の策定
以下の4つの計画を策定します。
(a)BCP（事業継続計画）
(b)事前対策の実施計画
(c)教育・訓練の実施計画
(d)見直し・改善の実施計画

(5)事前対策および教育・訓練の実施
策定した計画に基づき、緊急時に備えた事前対策と、従業員等に対する教育・訓練を行います。

(6)見直し・改善
年1回以上の定期点検を行い、BCMやBCPの是正・改善を行います。

ICT企業におけるBCP

ICT企業にとって、緊急時にもっとも致命的な影響をもたらすのは「情報システムの停止」です。情報システムが停止してしまえば操業が不可能となる上に、十分な対策を準備していなければ、原状回復にも大きな困難が生じます。

そのためICT企業においては、情報システム停止時の即時復旧に高度の優先順位を置いた上で、BCMの構築・BCPの策定を行うことが求められます。

ICT企業における通常の障害対応と緊急時対応の違い

ICT企業における緊急時対応については、特に以下の2点において、通常の障害対応とは異なるリスクを想定すべきです。

(1)ハードウェアの物理的損壊
災害等によってハードウェアが物理的に損壊した場合、システム・データが復旧できなければ、事業に致命的な悪影響が生じかねません。
システムを二重化して遠隔地で操作できるようすることが望ましいですが、コストの観点から難しければ、切り替え先の代替システムを準備し、またはクラウドサーバーを活用したデータ保全等を行っておきましょう。

(2)技術者の出勤不可
災害等の際には、技術者が普段の職場に出勤できないことも想定されます。こうした事態に備えて、テレワーク環境や遠隔操作システムの整備、対応優先順位の決定、代替システムから通常環境に戻すプロセスの整備などを行いましょう。

ICT企業のBCPにおける記載項目例

2008年に経済産業省が公表した「ITサービス継続ガイドライン」※2では、ICT企業におけるBCPの記載項目例が示されています。
その考え方は、現代においても陳腐化しているものではなく、骨格であり続けている考え方です。

(1)事前対策計画
(a)対策実施計画
バックアップシステムの構築、データのバックアップの実施、サーバルーム・情報システムセンターの耐震強化等の物理的な対策を定めます。
＜記載項目例＞
・ITサービスの継続要件（どのような条件が揃えばサービスを継続できるか）
・実現方法（技術的対策、運用的対策）
・実施スケジュール
・必要な投資

(b)教育訓練計画
緊急時の対応能力の向上や、ITサービス担当者の意識向上を目的とした教育訓練計画を定めます。
＜記載項目例＞
・教育訓練の目的
・教育訓練の対象者と達成目標
・教育カリキュラムと実施スケジュール
・評価と改善へのフィードバック

(c)維持改善計画
ITサービス継続性の維持改善を行うための管理方法を定めます。
＜記載項目例＞
・維持改善の目的
・維持改善の体制
・維持改善方法（点検時期、点検項目、点検主体）
・実施スケジュール
・改善へのフィードバック

(2)事後対応計画（緊急時対応計画）
緊急事態発生時における、情報システムの迅速な復旧・再開に向けた体制・対応方法を定めます。
＜記載項目例＞
・緊急時対応体制（対策本部の役割・機能、部員の連絡方法・連絡先、代替要員等）
・緊急時対応プロセス（バックアップシステムへの切り替え、BCPの発動基準、発動者等）
・緊急時対応手順（担当チームごとに定める、個別に手順書を作成する）

あくまでも参考とした上で、自社の事業と時流に合わせた形でアレンジし、リスクマネジメントの行き届いたBCPを策定してください。

ICT企業におけるBCM・BCPの取組事例

ICT企業におけるBCM・BCP関連の取組事例として、パナソニックグループとＮＴＴグループの2例を紹介します。

パナソニックグループ

パナソニックグループが2022年に公表した「Sustainability Data Book 2022」※3では、BCM・BCPの方針が宣言されています。

BCM・BCPに関する主な取り組みとして挙げられているのは、以下の事項です。

「グループ緊急対策規程」の制定
BCM構築ガイドラインの策定
事業場単位でのBCP策定、見直し
調達、物流、IT等の機能ごとのBCPガイドラインの策定
自然災害リスクに関するハザード調査の実施、結果の共有
「災害・事故対策委員会」の設置
緊急時を想定した全社防災訓練の実施
火災事故に関する「グローバル防火規程」の制定

等

また、新型コロナウイルスへの対応に関しては、2020年1月31日に全社緊急対策本部を発足した上で、本部内に経営・調達・広報等の職能チームを編成し、専門的な対応によって事業の安定継続に取り組んでいる旨が述べられています。

ＮＴＴグループ

ＮＴＴグループでは、通信ネットワーク・情報システムをはじめ、社会と経済活動を支え、国民生活の安全を守るライフラインとして欠かせないサービスを数多く提供しています。

ウェブサイトでは、近年頻発する災害発生時の取り組みが公表されています。
例えば、自然災害によるサービス中断のリスクを低減するため、災害時の活用を想定した基地局の整備拡大、移動電源車やポータブル衛星装置等の機動性のある機器の配備や機能の高度化、各地域での防訓練に参加する等、設備の強靭化、通信サービスの早期復旧に努めています。自然災害やシステム障害等のリスクは、ＮＴＴグループを利用するお客さまにとっても同様に対応が必要となることから、BCPサービスの需要増加が見込まれます。そのためＮＴＴグループでは、蓄電所を核としたスマートグリッドの構築に積極的に取組み、エネルギーの地産地消へ貢献すると述べています。※4

災害時には通信の重要性が高まることから、通信の安定性と信頼性を確保することがますます求められている中、ＮＴＴグループは、「重要通信の確保」「サービスの早期復旧」「ネットワークの信頼性向上」を災害対策の基本と位置づけ、東日本大震災以降はこれらをさらに強化しています。(図1)

図1　ＮＴＴグループ　災害対策の3本柱

以下を参考に図を作成しています。
出所）ＮＴＴグループ　サステナビリティレポート2022　p.110

また、中期経営戦略に「災害対策の取組み」を掲げ、さらなる通信インフラの強化、初動対応の強化（プロアクティブな災害対応）、被災した方々への情報発信力の強化にも注力しています。

まとめ

ICT企業が築き上げてきた資産や信頼を災害等から守るには、適切なBCMの構築とBCPの策定が必要不可欠です。
内閣府のガイドライン等を参考に、自社の事業に即した形でBCM・BCPに取り組み、時流に合わせて随時改善を図りましょう。

企業経営の中では、いつどのような出来事に遭遇するかわかりません。災害への備えについて解説した記事もあわせてご覧ください。

あわせて読みたい関連記事

災害・感染症...緊急事態から企業を守る「BCP」　DRも必要な時代に

参考資料一覧（ページ数は、参考文献内の表記に準じています）