昨今の大型台風による浸水や交通障害、2011年に発生した東日本大震災など、日本の企業において自然災害への対策は避けられません。被災によって倒産に追い込まれる企業は多く、緊急事態への対策を備えているかどうかは、事業の存続に影響します。
また企業が備えておくべきは、自然災害だけではありません。データを当たり前に扱う現代では、外部からの悪質なクラッキングによる情報漏えいなど、情報セキュリティにおける被害も増加しています。こうした緊急事態に備えるために、行政が企業に推奨している取り組みが「BCPの策定」です。本稿では、BCPの概要や策定手順、情報システム担当者が知っておくべき「3-2-1ルール」を解説します。
BCPとは「緊急時に事業を継続させるための計画」
BCPとは「Business Continuity Plan」の略語であり、日本語では、「事業継続計画」と呼ばれています。BCPの定義はさまざまですが、中小企業庁では以下のようにまとめられています。
BCP(事業継続計画)とは、企業が自然災害、大火災、テロ攻撃などの緊急事態に遭遇した場合において、事業資産の損害を最小限にとどめつつ、中核となる事業の継続あるいは早期復旧を可能とするために、平常時に行うべき活動や緊急時における事業継続のための方法、手段などを取り決めておく計画のこと
引用:『1.1 BCP(事業継続計画)とは』中小企業BCP策定運用指針、中小企業庁
つまり、BCPは緊急時に事業への被害を下げるための日常的な業務や体制、データ管理方法、問題発生時の対応手順などを定めたものです。BCPを定めておくと、災害などが発生した際、損害額を減らしたり、もし事業が中断されても早期再開が可能になるなどさまざまな効果が見込めます。
また、こうした緊急時の対応は、企業への信頼にもつながります。もし被災によって事業継続が困難になった場合、企業は倒産してしまうことも考えられます。BCPの策定は、緊急時でも安心して取引できることや、雇用の安全が守られていることを社内外に伝える手段でもあるのです。
アウトプットかプロセスか。BCPとBCM、BCMSの違い
BCPと混同されやすい言葉として「BCM(Business Continuity Management)」、日本語で「事業継続マネジメント」が挙げられます。BCPとBCMの違いは、経済産業省も紹介している英国規格協会(BSI)による定義がわかりやすいでしょう。
BCP | 事故発生時に備えて開発、編成、維持されている手順及び情報を文書化した事業継続の成果物 |
---|---|
BCM | 復旧力及び対応力を構築するための有効な対応を行うフレームワーク、包括的なマネジメントプロセス |
参考(一部抜粋):British Standards Institution
一般的に、BCPは緊急時の具体的な対策などを記載した“資料”です。一方、BCMは事業を継続するための“活動全体“を示しており、従業員のスキル向上やツールの導入、重要業務の特定や分析といった行動も含まれます。BCPは、BCMというマネジメントプロセスを通じて策定されたり、発動されたりするのです。
またBCMS(事業継続マネジメントシステム)という言葉もあり、これはBCMにかかわるすべての活動を効果的、効率的に運用改善できる仕組みを指します。もしBCMS適合性評価制度などの認証取得を目指している場合は、BCPやBCMを実施するだけではなく、BCMSの構築と運用が必要です。
自社の理解と他社からの信頼、BCPのメリットとは?
具体的に、BCPへ取り組むことのメリットについて確認しておきましょう。
予期せぬ事態への対策
BCPを策定しておくことで、自然災害やテロ被害といった予期せぬ事態でも慌てず対処できるようになります。まず何をすれば良いのか、どの部署にどのような確認を行うのか、優先して対応すべきは何かといった手順をマニュアル化しておくことで、組織の連携力を高めることができます。
結果として、被害を最小限に食い止めるだけでなく、その後の復旧の時間の短縮にもつながります。組織の強さとは、予想していなかった事態に直面したときにこそ明らかになるものなのです。
事業理解と強みと弱みの明確化
BCPを策定する際は、自然災害やテロ被害などに直面すると自社はどうなってしまうのかというシミュレーションを行います。そのなかで、今まで気づいていなかった自社の強みや弱みを洗い出すことができ、事業理解が進むというメリットがあります。
強みはさらに伸ばし、弱みについてはしっかりと対策を講じることで、リスクヘッジを行いつつ自社の事業の成長につなげることができます。また、日常業務の見直しもできるため、業務効率の向上が期待できるでしょう。
顧客流出のリスクを低減
災害等で自社の事業が停止してしまうと、必要なサービスを受けられなくなった顧客が流出してしまう可能性があります。顧客の流出を防ぐためには一刻も早く事業を再開し、平時の状態に回復させなければいけません。
BCPを策定しておくことで、事業の対処をすばやく効率的に行うことができ、再開までの時間を短縮できます。結果として顧客の流出を防ぎ、事業へのダメージを最小限に留めることができるでしょう。
取引先からの信頼性向上
企業が取り扱うデータは自社のものだけとは限りません。被災してデータが失われることで、自社だけでなく取引先をも事業継続が困難な状態にしてしまうという事態もありえるのです。
また、データには個人情報や機密情報など絶対に漏えいや消失が許されない重要な情報が含まれることもあります。そのような大切なデータについてしっかりと守る体制を整えていることは、取引先からの信頼を得ることにもつながります。
BCPの実施状況
帝国データバンクが2019年に調査したところ、BCPを策定している企業は全体の15.0%でした。現在、策定中の企業と策定を検討している企業を合わせても45.5%に留まるなど、BCPの策定は依然として進んでいない状況です。
BCPを策定しない理由としては「策定に必要なスキル・ノウハウがない」、「策定する時間や人材を確保できない」や「勉強不足でBCPについてよくわからない」といった意見が出ています。
多くの企業がBCPの重要性を認識していながら策定が進んでいない背景には、BCPの具体的な策定方法が浸透していないこと、さらに策定できる人材を探そうにもなかなか見つからないという現状があるようです。そこで次章ではBCPの策定手順と策定のポイントについて解説します。
影響度と優先順位の整理が肝心。BCP策定までの手順
さきほど、BCP策定は事業継続のためのマネジメントプロセス(BCM)の一環である点を解説しました。BCMは、BCPを策定した後も「従業員への教育・訓練」や「定期的な見直しや改善」といったプロセスがあって成立します。
この章では、BCM全体ではなく、BCPのみに焦点を合わせ、BCP策定までの手順をご紹介します。
手順1. 事業影響度の分析(BIA)
BCP策定への第一歩は、「事業影響度の分析(BIA:Business Impact Analysis)」からはじまります。BIAの目的は、緊急事態によって事業が中断したとき、「事業継続のために必要な業務」を明確にすることです。具体的には、以下の項目を整理していきます。
2.ボトルネックの特定
3.目標復旧時間(RTO)や目標復旧レベル(RLO)、目標回復ポイント(RPO)の設定
企業として事業を行うためには、営業やカスタマーサポート、バックオフィスなどさまざまな業務が必要です。BIAでは、それぞれの業務が売上やステークホルダーなどに与える影響度を整理することで、「この業務がないと事業が成り立たない」というボトルネックを特定でき、どの業務を優先的に行うべきか明確化できます。
もし緊急事態によって事業が中断してしまった場合、事業に深刻な影響を与えないうちに復旧・再開するための目標時間「RTO(Recovery Time Objective)」やレベル「RLO(Recovery Level Objective)」を設定することも重要です。また、データやシステムを扱う組織では、有事の際にデータの損失をどこまで許容するかの指標「RPO(Recovery Point Objective)」などを定めることが、日常的なバックアップシステムを構築する際の基準になります。組織が扱っているデータが持つ事業への影響度を考慮しながら、どれだけのセキュリティコストをかけるのか検討しましょう。
手順2. リスクの洗い出しと分析
次に、上記のBIAによって特定した、優先度が高い業務が中断させられるリスクを明らかにしていきます。地震や洪水といった自然災害だけではなく、外部からの悪質なクラッキングや協力会社の倒産といったリスクも挙げられるでしょう。また、こうした外的要因に加えて、従業員の不慮のミスといった内的要因も検討することで、事業継続が危ぶまれる深刻な事態を想定できるようになります。
手順3. BCPの策定(対応策の決定)
これまでに実施したBIAやリスク分析をふまえながら、BCPを策定します。この際に、以下の2つの観点から対策を検討することが望ましいでしょう。
・問題発生時
事前に検討した目標復旧時間(RTO)やレベル(RLO)、データ損失の許容レベル(RPO)を達成するため、想定しうる緊急事態が発生したときの対応手順や体制を決めることはもちろん、冗長性を持たせたデータ管理システムの構築なども行っていきます。
また、「BCPの発動基準」も同時に明確化したいポイントです。「どの水準まで問題が発生したら、どのような対策を講じるのか」を定めておくことで、復旧業務に割くべき人員などのリソース配分を具体的に想定しやすくなるでしょう。
情報システムは「3-2-1ルール」で緊急時に備える
現代のビジネス環境において、データの損失や流出は事業に深刻な被害をもたらします。NPO法人の日本ネットワークセキュリティ協会の報告書(※)によると、2018年に発生した個人情報の漏えい件数は443件、1件あたりの想定損害賠償額は約6億円とされており、データが事業に与える影響力の大きさが伺えます。
重要な経営資源であるデータを100%守る方法はありません。しかし、情報システムの障害耐性を高める方法として「3-2-1ルール」が挙げられます。3−2−1ルールとは、後述するルールに基づいてデータ管理を行う方法です。最後に、情報システム担当者が緊急時に備えて知っておきたい「3-2-1ルール」を解説します。
※『2018年情報セキュリティインシデントに関する調査結果~個人情報漏えい編~(速報版)』NPO 日本ネットワークセキュリティ協会
3つ以上のデータを作成する
オリジナルデータをコピーして2つ以上のバックアップデータを作ることで、オリジナルデータが失われときでも復旧が可能です。
2種類以上の異なる媒体にデータを保管する
複数のデータを作成しても、すべて同じ記録媒体に保管していると、災害などで物理的に壊れたり、システム障害が発生したりした場合に、全データが失われてしまう可能性があります。そのため、データの保管場所をHDDやNAS、クラウドストレージなどに分散しましょう。
最低でも1つのデータはオフサイト(別の場所)に保管する
複数のメディアに分散すると同時に、本社や支社など異なる場所に保管することも重要です。もしオフィスが被災したときなどに、一箇所にしかデータを保管していなければ、データをすべて失ってしまいます。
中小企業などで別の拠点を持っていない場合、クラウドストレージの活用も一つの手段です。クラウドストレージは事業会社によってサービスや保証範囲も異なるため、内容をよく確認してから利用することをおすすめします。
BCPの事例紹介
最後に、BCP策定の事例を紹介します。
都内で包装資材や緩衝材の製造を手掛けるA社は、2009年の新型インフルエンザの流行をきっかけにBCPを策定。同時期に東京都が募集していたBCP策定支援事業に参加して、BCPを整備しました。
特に力を入れて取り組んだのは震災リスクへの備えで、危険箇所の把握や商品の転倒落下の防止策、各種機器の固定、備蓄といった防災対策を徹底しました。また、商品が製造できなくなったときのことを考えて、同業者間で強力に連携。製造が困難になった際は他社の設備で製造できるよう情報の共有を行ったといいます。
結果として災害への備えができただけでなく取引先からの信頼も高まるなど、経営戦略としても効果的に働いたということです。
続いて紹介するのは、熊本市の工務店B社です。平成11年の大型台風を機に災害マニュアルを策定したという同社。工務店という業態故に、災害時には多くの顧客から修理・安全点検の要請が寄せられます。そんななか、B社がBCPのもっとも基本的な考え方として置いているのが「社員の命を最優先で守る」ということ。
さらに顧客の被害状況を4段階に分類し優先度をつけるなど、明確に行動するためのマニュアルを作成しました。また災害時に自社だけで対応できないことも考え、県外の工務店とも相互に応援協力ができるよう協定を締結。このような平時からの取り組みが災害時には大いに生かされているといいます。
参考:https://www.chusho.meti.go.jp/bcp/2018/180420BCPshiryo2.pdf
BCP策定は企業価値向上にもつながる
BCPの策定は、法令で義務付けられているわけではありません。しかし、もし被災時に企業の防災・避難計画が不十分で従業員が亡くなってしまった場合、「安全配慮義務違反」で遺族から訴えられる可能性もあります。また、事業が中断してしまい、クライアントとの契約を遂行できなくなると、違約金の請求につながってしまうかもしれません。
自然災害が多く、高度に情報化した日本において、BCPの策定は「緊急時の備え」以上の価値があります。BCP策定によってもたらされる事業の継続性は、従業員やクライアントからの信頼につながり、企業価値の向上に貢献するからです。
また近年はテクノロジーの発展により、テレワークなどオフィスに限定されない多様な働き方が実現しています。企業の情報資産の保護はもちろん、スムーズかつ迅速な従業員の安否確認が求められます。BCPを策定・実現するうえで、必要となるITシステムや機器の導入も検討しましょう。