事業継続計画とは

今回の「これからは、コレ！」では、事業継続計画について紹介します。事業継続計画（以下、BCP：Business Continuity Plan）とは、企業が継続的に事業を行っていく際に、火事や事故など、何らかのアクシデントが発生した場合にでも、人・物・金・情報（社員や機材や設備、収入や支出、基幹システムや保管しているデータなど）といった資源を守り、いち早く事業を復旧させるために策定する計画のことを指します（図1）。

図1. BCPの概念

事業を停止させるさまざまなアクシデント

BCP自体は目新しいものではありませんが、2011年に発生した震災の影響で、改めて注目されています。企業の事業継続を阻むアクシデントには、災害以外にもさまざまなものがあります。例えば、パンデミック（※1）発生による専門知識を持つ担当者の欠勤や、オペレーターの操作ミスによる情報システムの障害といった人災なども含まれます（図2）。また近年、企業にとって情報システムは欠かせないものですが、サイバー攻撃によるデータの漏えいや改ざんを起因としたサービスの停止といったアクシデントも起こり得ます。
このようなアクシデントが発生して業務が停止すると、「対策を怠っていた」として自社の信頼度が低下してしまいます。これによって取引先やお客様を失い、最悪の場合には事業からの撤退に繋がる可能性も考えられます。
このような事態を避けるためにも、BCPを策定し、全社員に周知徹底することが大切です。たとえアクシデントに見舞われたとしても、早期に企業活動を開始できれば損害を最小限に抑えることが可能です。さらに、早期の復旧は自社の損害を軽減させるのはもちろん、ステークホルダーの損害軽減にも繋がります。

図2. 企業への影響

※1.パンデミック：世界的な感染の流行を表す用語。近年では、2009年の新型インフルエンザが記憶に新しい。

BCPの策定と情報システム

BCPを策定する際は、まず企業が守るべき資源を把握し、優先的に復旧させる業務を選定します（図3）。例えば、人災やサイバー攻撃などのリスクを分析し、リスクが事業に与える影響を検討します。リスクの発生確率と事業への影響度を比較・検討して、重要度の高い業務から優先的に復旧させる対策を立てます。

図3. BCPの手順・情報を文書化

本コラムでは、情報システムを用いた復旧方法にスポットを当てます。何らかのアクシデントが発生し、社員がオフィスに出社できなくなった場合と、Webサービスへのアクセスが集中し、高負荷になった場合を例に挙げ、対策方法を紹介します。

■例１■　社員がオフィスに出社できなくなった場合
パソコンを使って業務を行なっている場合、それが手元になければ仕事をすることはできないでしょう。例えば、火事や地震によってパソコンが故障したり、オフィス・ビル内に入館できなくなったりすると、社員は仕事ができないため、事業が停止してしまいます。
このような場合に備えて、シン・クライアントを活用する方法があります。例えば、シン・クライアント・システムを遠隔地のデータセンターに導入すると、出社できない場合でも代替のパソコンさえあれば、業務端末として利用できます。これによって、オフィスに出社できない場合にでも、自宅やサテライト・オフィスで働くことが可能となり、事業を継続することができます。

■例２■　Webサービスにアクセスが集中して高負荷になった場合
Webサービスを展開している企業にとって、Webサービスの停止は大きな機会損失と成り得ます。例えば、商品の販売を行なっているWebサイトがアクセス過多で停止すると、商品を販売することができないため、売上の低下に繋がります。
このような場合に備えて、Webサイトの基盤としてクラウドを利用することができます。クラウドが持っているオートスケール機能（※2）を利用すると、Webサービスを停止させることなく、販売活動を継続させる事が可能になります。

※2.オートスケール機能：サーバの負荷状況に合わせて自動的にサーバを増減し、リソースを過不足なく利用することができる機能。

事業を継続させるために

今回は、今さらながら「BCP」についてご紹介しました。BCPは一度策定すれば終わりという訳ではありません。策定後は定期的に訓練を実施し、策定したBCPが適切に運用できるかをチェックします。訓練後はそこで挙がった課題を洗い出し、BCPを見直します。このようにして、PDCAサイクルを回し、BCPが形骸化しないように努めます。何らかのアクシデントが発生してから対策を考えるのではなく、事前に対策を取り決めておくことが、万が一の時に事業を早期復旧へと導くでしょう。

2013年2月