※こちらの記事は発行時(2019年1月)の文章のまま掲載を行っております。
東日本大震災や熊本地震など、近年になって大きな自然災害が続いている日本ですが、災害から会社を守るBCPについての意識は、日本全体で見るとまだ低いように思われます。
いっぽうで、企業ではDX※(デジタルトランスフォーメーション)への大きな流れによって、ITシステムの重要性が増しています。今後、ITシステムを万が一の事態から守るということは、企業経営そのものを守ることにも繋がっていくでしょう。
このような状況の中、いま一度BCP策定の重要性と、どうすれば導入が進んでいくのか、何から取り組めばいいのかについて考えてみたいと思います。
ページコンテンツ
BCPとは?なぜ重要なのか?
日本はもともと多くの活火山が存在し、四方を海で囲まれている地形から、地震や台風などの自然災害が頻発しています。さらに、異常気象による局地的な大雨の災害も、私たちの生活に大きな影響を与えるようになってきました。
企業規模の大小にかかわらず、災害による物理的な被害の影響はその企業だけにとどまらず、地域の雇用や経済にも大きな打撃を与え、さらには取引関係を通じて、他の企業や地域にも影響を及ぼすことが懸念されます。
そこで、企業などが緊急事態に遭遇した際に事業資産の損害を最低限にとどめ、中核となる事業の継続あるいは早期復帰を可能とするために平時から行っておくべき活動や、緊急非常時を想定した事業継続のための方法、手段などをあらかじめ取り決めておき、それを文書化したものが「BCP(Business Continuity Plan:事業継続計画)」です(図1)。
BCPの役割は、災害による損害を最小限に食い止めるだけではありません。日本企業は今、海外市場に目を向けています。今後、様々な海外企業との取引を円滑に進めていくためにも、企業の信頼を担保するBCPを策定しておくことが重要になってくるのです。
防災計画とBCPはどう違うのか
日本では、地震などの大規模自然災害が、どこでも起きる可能性があります。そのため、日本人のほとんどが防災に関する意識が高く、国主導で大規模自然災害への対策が考えられています。また、地域や公共施設、大型店舗などでも、自主的な防災訓練が定期的に行われています。
しかし、防災計画とBCPは異なるものであり、企業の視点で見れば、防災計画は「自然災害や感染症に備えて、人命(従業員)や建物、機材、情報資産などを守ることを目的とした計画」となります。すなわち、災害から人やものを守るために、日頃から備えておくための計画です。
いっぽうでBCPは、「あらゆるアクシデントに対して、重要かつ優先度の高い業務から速やかに復旧・再開できるように策定しておく計画」となります。
防災計画とBCPの大きな違いは、防災計画は主に自然災害や感染症を対象としているのに対して、BCPの場合はそれらの災害も含め、事故や事件、システムや通信インフラの障害、ライフラインの停止、内部不祥事、テロ行為など、多岐にわたった緊急事態を想定していることです(表1)。またBCPは、自然災害のように広範囲に被害を及ぼす事態への対処だけでなく、自社だけが被害に遭った場合の対処も含まれている点で、防災計画とは性質が異なります。
したがって、「うちの会社は日頃から防災対策をしっかりと行ってるので、なにかあっても大丈夫」という意識を持っている企業でも、災害以外への対策としてBCPを導入して、様々なアクシデントに備えておくことが重要なのです。
BCPの導入が進まない一番の理由は人材不足
日本でも大企業においては、すでにBCPを策定して導入しているところがかなりの数に上ります。そのいっぽうで、中堅・中小企業においては、まだそれほど導入は進んでいないのが実状です。
内閣府が2018年3月に発表した「平成29年度 企業の事業継続及び防災の取組に関する実態調査」によれば、BCPの策定状況について大企業では 64.0%が「策定済み」と回答し、これに「策定中」の17.4%を加えると8 割を超えます。これに対し、中堅企業では「策定済み」と回答したのは31.8%にすぎず、「策定中」の14.7%を加えても5割に届きません(図2)。
とはいえ、2011年に発生した東日本大震災や2016年の熊本地震などの大災害が続いていることにより、BCPの導入が必要だと感じる経営者は確実に増えています。
では、中堅企業でBCPの導入が進んでいない理由はどこにあるのでしょうか?
帝国データバンクが行った、「BCPを策定していない理由」に関する調査では、「策定に必要なスキル・ノウハウがない」が45.1%で最も高く、「策定する人材を確保できない」(30.3%)や「策定する時間を確保できない」(24.7%)など、人材や時間不足によってBCP を導入できない企業が多いことがわかります。
それ以外の理由としては、「書類づくりで終わってしまい、実践的に使える計画にすることが難しい」(25.7%)と、策定内容の充実が難しいことを挙げる企業が多いいっぽうで、いまだに「必要性を感じない」(24.0%)や「自社のみ策定しても効果が期待できない」(22.0%)など、BCPの必要性を感じていない企業も少なくありません。
企業経営を守るIT-BCP導入のポイント
しかし、現在の企業活動においては、万が一の事態からITシステムを守ることが急務の課題となってきました。中堅企業であっても、その課題は避けて通れません。
そこで重要になってくるのが、企業が様々なアクシデントに遭遇した際に、事業運営の継続に必要なITシステムの復旧を確保するIT-BCPの導入です。
1.ITが経営の継続に不可欠であることを認識する
そもそも、なぜIT-BCPの導入が重要なのでしょうか。従来の情報システムは、社内の基幹業務を処理するためのシステムだったので、日々のデータをバックアップしておいたり、データセンターにデータを保管しておいたりすることなどによって災害に備えていました。万が一、災害によって一定期間システムが停止することがあったとしても、社内業務が停滞するだけで経営に与える影響はそれほど大きくはありませんでした。
これに対して、最近はDXへの対応やIoTの普及などによって、ITシステムの役割は大きく変わってきました。そのため、災害時に企業の営業やサービスにかかわるシステムが止まったり、工場の製造ラインにかかわるシステムが止まったりした場合、企業活動そのものへの影響は極めて大きくなります。
したがって、IT-BCPとは不測の事態に対して、経営の継続をITサービスの側面から支援する計画であるとも言えます。具体的には、データのバックアップやシステムの冗長化を実施するとともに、システムの切り替えやデータのリストア手順を整備するなどによって、不測の事態に備えます。
2.BCPはコストではなく投資と考える
前述の、BCPの導入が進んでいない理由として「人材不足」を挙げている企業では、BCPをコストと考えている例が多いようです。いつ起きるかわからないアクシデントに資金を投入するよりも、目の前にある事業に投資したいと考えています。
これに対して欧米では、BCPは結果的に利益を生むものだという認識に立ち、経営戦略の中に取り込まれています。IT-BCPの導入を促進するには、まずはBCPをコストと捉えることをやめる必要があります。
実際、東日本大震災や熊本地震において、あらかじめIT-BCPを策定していたことでシステムダウン時のバックアップや復旧の手順を素早く実行でき、災害による損害額を数分の1に抑えることができたなど、具体的な事例が数多くあることを知っておきましょう。
3.システム復旧の基本方針を立てる
BCPの策定を進めるにあたって、「実践的に使える計画を立てることが難しい」と考えている企業は、まず基本方針をしっかりと決めておくことが必要です。
BCPにおける基本方針とは、会社としての事業継続に対する方向性や考え方のことですが、IT-BCPでは、事前に様々な災害のケースを想定して対策を講じておくことで、被災のダメージを小さくする「被害の軽減」と、災害発生時に各自が行うべきことを時系列でリストアップしておき、復旧までに要する時間が短縮する「時間の短縮」が柱になります。
4.まずはできるところからBCP対策を始める
BCPの策定にもそれなりに時間がかかります。とはいえ、自然災害はいつ来るかわかりません。そのため、表2に示すシステム運用形態の例を参考に、まずはできるところからBCP対策を始めておき、並行してBCP策定の準備を進めることも検討しましょう。
BCPの策定支援ツールやコンサルティングサービスを活用しよう
最近では、企業のBCP策定を支援するサービスも数多く登場しています。
サービスの内容としては、毎日1回クラウドで必要なデータをバックアップしておき、災害時に素早く復旧できるようにするサービスをはじめ、富士通総研が提供する「ICT-BCP(IT-BCP)コンサルティング」のように、「現状調査」から「対策の立案」「訓練・演習実施」「評価・改善」といった一連のマネジメントサイクル全体をワンストップで提供するサービス(図3)まで、様々な形態があります。
また、中小企業庁のホームページには、「BCP策定・運用のサイクル」(図4)をはじめ中小企業がBCPを策定するにあたって参考になる資料が多数用意されています。これらを参考にしながらBCPの基本方針を立て、自社で対応可能なプロセスと外部の力を借りなければならないプロセスを切り分け、外部の力を必要とするプロセスについては各社のサービスの利用を検討してみてはいかがでしょうか。
いずれにせよ、1日でも早くBCPを導入することが、デジタル社会で勝ち残っていくための必須条件でもあるのです。
自然災害はいつ来るかわかりませんが、BCPは「いつ使うかわからないもの」ではなく、「すぐにでも使う可能性があるもの」なのです。
DAiKOではBCP対策として、災害時のデータバックアップ体制の構築なども行っています。いつでも、お客さまのシステムを守るお手伝いをする準備がありますので、お気軽にご相談ください。
本記事はD’sTALK Vol.47の掲載コンテンツです。
その他の掲載コンテンツは下記のページからご覧ください。
https://www.daikodenshi.jp/daiko-plus/ds-talk/vol-47/
登録商標について
本文中に記載の製品名、会社名は各社の商標または登録商標です