「BCP : Business Continuity Planning(事業継続計画)」とは、長期間にわたって日常業務を脅かすような事故などが発生した場合に、「業務の継続を可能にするために必要となる手順や計画」を意味します。
BCP(事業継続計画)に関して推奨されるのは、発生する可能性のある事故に対して事前に準備し、そのような状況下で実施可能な活動などについて計画を立てるというアプローチです。
目次
BCP(事業継続計画)における2つのリスク
BCP(事業継続計画)に関連しては、2つの主要なリスクがあります。
準備不足
「当社には関係ない」や「いつもと同じように対処できる」などは、心構えや準備の不足について尋ねられた組織からよく聞かれる回答です。
多くの企業が、発生を想定していない事態に対して計画を立てるのは時間の無駄、と考えているのは驚きです。
しかし停電などの単純な事故でも、数千ものマンアワーの損失を出してしまい、電気がない状態では、社内のネットワークやデスクトップコンピューターを使用することさえできません。
IT 以外の対策
災害復旧では、組織の IT システムに焦点が当てられる場合がありますが、事業の継続という意味では、はるかに広い範囲が対象となります。
たとえば、オフィスの建物が浸水した場合などに、従業員が業務と顧客サービスを継続する上で必要な情報を入手する方法などにも焦点を当てる必要があります。
BCP(事業継続計画)の策定で考慮すべき5つのステップ
BCP(事業継続計画)の立案は、発生する可能性のある事故などに関する現実的なリスクの評価、および発生した場合にその事故による影響をベースに行います。
これによって組織は、一定の状況に対処するための適切な計画が整備されている、という保証を得ることができます。
また、緊急時対応計画を事前に試験し、必要に応じて修正すると同時に、全社員に、緊急時や異常事態発生時に何をすべきかを周知させる必要があります。
BCP(事業継続計画)は、以下の 5 つの要素(ステップ)を考慮して策定します。
業務上の重要リソースを全て認識する
ビジネスを行う上で必要な「重要リソース」をすべて把握して文書化します。
これには、物理的と電子的の両方の文書とファイルが含まれます。それらがどこに保管され、どれが「ビジネス上重要」、つまり日常業務の継続に欠かせないものであるかを把握する必要があります。
また、リソースの利用が一時的に制限された場合に、緊急措置が必要とされる状況になるまで、どの程度の時間ビジネスを継続させられるかも考慮する必要があります。
事前の防止策を検討する
業務環境でのあらゆる潜在的脅威や弱点、またそれらが及ぼす影響について考えます。
その際は、火災警報システムの状態はどうか、洪水によってどんな影響を受けるかなど、物理的なインフラ面での要因も考慮します。
BCP(事業継続計画)では、情報へのアクセスについても考慮すべきです。
重要な情報はどこに保管されているか?定期的にバックアップされているか?遠隔アクセス可能な別の場所に保管された予備データはあるか?などを考えます。
BCP(事業継続計画)は、組織外にある弱点が原因で脅威に曝される場合もあります。
会社用のノートパソコンを紛失した場合や盗難に遭った場合は、どうなるか?ノートパソコンに保存されている機密情報を保護するために適切なセキュリティが施してあるか?なども重要な考慮事項です。
影響を受けた場合の対応方法を検討する
組織が事故などの影響を受けた場合に「取るべき行動」を検討します。同時に、次に発生する事態を事前に想定する必要もあります。
また、業務中断の程度を評価するための計画を作成し、それに応じて対応策を設定します。
その際は、顧客や取引先との緊急連絡手段、情報を提供すべき対象者、従業員が生産的な業務を継続するための情報へのアクセス方法、従業員が自宅で業務を行えるかどうか、オフィスの代わりとして利用できる場所などを考慮します。
緊急時の対応計画の立案
詳細な緊急時対応計画は、緊急時や混乱発生時の対応に必要となります。
情報ガバナンスの観点から、この計画立案では、業務継続に必要となる最重要情報の識別、すぐに必要となる情報の優先順位の設定、情報の定期的なバックアップに加え、メインの情報源が利用不可能になった場合でも、複数のソースから情報を入手できるようにすることを考えます。
これを可能にするには、情報ストレージインフラに冗長性を持たせることを考慮します。たとえば、クラウドベースのストレージプロバイダーでは、社内 LAN では実現困難なレベルのデータ回復能力やアクセス環境が確保されているか?などを確認する必要があります。
また情報ガバナンスのポリシーでは、企業情報がクラウドに転送および保管される方法を厳しく管理する必要がありますが、Dropboxなどのサービスの普及に応じて、それらをビジネス継続戦略の一環として考えることも可能になります。
計画のテストを実行する
あらゆる要素が検討されたことを確認する際、テストは非常に重要な役割を果たします。
発生しうる多数の異なるシナリオを可視化し、それらを現実的に認識することが可能になります。定期的に実施される消防訓練と同様に、ビジネス継続計画についても同様の訓練が必要です。
まとめ
本記事では、BCP(事業継続計画)を策定・遂行するために組織が行うべき5つのステップについて解説しました。
貴社内でも再度以下をチェックしてみてはいかがでしょうか?
- あらゆる事業継続シナリオに対応した計画を立案する
- 業務上の重要情報を認識する
- 日常業務における必須情報に優先順位を付ける
- 情報の保存場所と保存方法に優先順位を付ける
- 情報の定期バックアップを計画する
- 業務上の重要情報の予備コピーを作成する
- 業務上の重要情報を複数箇所に保存する
- クラウドベースのサービスを検討し、業務上の重要情報のデータ回復能力やアクセス環境を向上させる
- 計画をテストする