万一の備え、事業継続計画策定のススメ（第1回） 情報がなくなれば企業活動が継続できなくなる

　2011年3月の東日本大震災以降、日本列島は頻発する地震や火山活動に見舞われている。風水害などを含めた自然災害以外でも、火災や新型インフルエンザなど感染症のパンデミック、テロ等々。企業活動は様々なリスクに取り巻かれている。

　リスクが実際に目の前に現れたとき、企業は事業を続けるためにどのように対処すべきか。あまり想像したくない事態だが、リスクがゼロではない以上、何らかの対策を考えておかなければならない。それが事業継続計画（BCP）である。

人・モノ・カネ・情報・体制をすべてチェック

　当然ながら、企業によって求められるBCPのレベルは異なる。災害などが発生したときに、休業しても問題のない事業もあるだろう。一方で、電力、水道、通信などインフラ関連の事業のように何が起きても、いつもと同じように商品やサービスを提供しなければならないビジネスもある。また、建設、土木、物流事業のように災害復旧に関連する分野などでは、普段よりもニーズが高くなるケースもあるはずだ。

　こうした事業のポジションに応じて社内で議論を交わし、自社のBCPを策定しておくことが大切だ。大企業なら、コンサルタントなど専門家のサポートを受けたり、担当部署を設けたりする手がある。ただそうしたコストや人手がかけられない中小企業の場合は、金融機関や商工会などに相談する方法がある。中小企業庁のホームページには中小企業向けのBCP策定運用指針があるので参考にしたい。

　中小企業庁の指針では、取り組みを「人」「モノ」「カネ」「情報」「体制等」の5つに分けて自己チェックすることを推奨している。各分野のチェック項目は次のようなものだ。

人……従業員の安全確保、安否確認、避難訓練など
モノ……ビルの耐震性・耐災害性、危険性の把握、代替調達手段など
カネ……事業を中断した場合の損害の把握、保険の損害補償範囲の妥当性など
情報……情報のバックアップ、IT機器停止時の代替手段など
体制等……復旧の優先順位づけとその対策、社長不在時の指揮系統など

　以上の5分野はそれぞれ重要だが、以下では特に「情報」について考えてみたい。

情報なしではビジネスが回らない！ IT関連が重要に

　今日、企業にとって情報は死活的な意味を持っている。顧客や取引に関する情報、社員情報や設計情報などはいずれも、それなしでは事業が回らなくなるほど重要なものだ。もし長年にわたって蓄積したデータが消滅してしまえば、そのダメージから立ち直るには長い時間を要するだろう。その可能性は低いとはいえ、東日本大震災のときにいくつかの企業で実際に起きたことである。

　そうした情報を管理、運用するIT技術の重要性はいうまでもない。あらゆる企業において、業務のIT依存度は高まる一方だ。サーバーやパソコンの電源が落ちたとき、あるいは通信網が途切れたときにどう対処すべきか。現在のIT環境の実情を踏まえて、システムやデータごとの重要性や利用頻度に応じた対策がいる。

　データ消滅ほど重大な事態には至らなくても、一時的にシステムやデータが使えなくなれば、その間、ビジネスは大きなダメージを受ける。こうした影響を回避または最小化する対策はBCPの必須要素といえる。

　情報に関するBCPのポイントは、できるだけ安全な場所に置き、そして日常的にバックアップを行うことである。バックアップによりデータを二重化しておけば、仮に本社に置いたデータが破損した場合でも、別の場所に保管したデータを用いてビジネスを継続できるからだ。その場合、通信ネットワークの二重化も併せて行う必要がある。

　災害などの突発的な事象は千差万別で、BCPで想定した通りに起きるとは限らない。むしろ、想定とは異なる場合が多いと覚悟しておくべきだ。しかし、だからといってBCPの有用性が否定されるものではない。何の準備をしない場合に比べれば、ダメージは相当軽減される。BCPを策定するためにリスクを洗い出し、何が起こりうるかというイメージを膨らませる。そのプロセスを通じて得られたことは、様々な形で役立つはずだ。

　情報分野のBCPは他の分野と比べて、短いサイクルで見直さなくてはならない。IT分野の変化は激しいからだ。5年前、BCPを策定していても、その後にIT環境は大きく変わっているはずだ。IT環境の進化に合わせて、万一の備えも常に最新のレベルにバージョンアップしていくことが大切だ。