BCP(Business Continuity Plan)という言葉をご存じでしょうか。BCPは、事業継続計画と訳され、緊急時において企業が事業継続のために行う、活動や手段などを取りまとめた計画のことです。企業は自然災害や大火災・テロ・システム障害などの危機的状況に遭遇した際、被害を最小限に抑えつつ、中核となる事業の継続や早期復旧を行うことが求められます。不測の事態に備え、平常時から周到に準備しておき、有効な戦略を立てるために必要なのが、BCPです。本記事では、BCPの概要や、企業がBCPの策定を実現する方法について解説します。
BCPとは
はじめに、BCPの概要とBCPが必要とされる理由について解説します。
BCP(事業継続計画)とは
BCPとは、Business Continuity Planの頭文字を取った言葉で、事業継続計画とも呼ばれています。災害や事故などの緊急事態に遭遇した場合、企業の中核となる事業の継続や早期復旧のために、企業が取るべき行動や手段を決めておく計画のことです。
BCPを導入する企業の目的は、主に4点あります。
- 緊急時に優先度の高い事業を途切れずに継続する
- 事業が途切れた場合は、早期復旧に役立てる
- 事業被害や損害を最小限に抑える
- 企業の価値・顧客からの信頼を維持・向上させる
BCPが必要とされる理由
企業は大地震や台風などの災害に遭遇すると、操業率や生産能力が落ちてしまいます。その際、事業の継続や早期復旧ができなければ、取引先や企業のシステムを利用するエンドユーザーからの信頼を失い、倒産や事業縮小を余儀なくされるでしょう。
緊急事態は突然訪れるため、有効な手段をあらかじめ定めておかなければ、特に中小企業は従業員を解雇する必要があったり、廃業に追い込まれたりするリスクが高まります。
そのため、内閣府は2005年発行の「事業継続計画ガイドライン」で、BCPの策定や組織で継続的に運用できるリスク対策の立案を訴えています。
どのような状況においても、企業が生き抜くための計画書としてBCPは役立てられています。
BCP策定の流れ
続いて、BCP策定の流れについて解説します。
自社のBCPの基本方針の決定
自社の経営理念や行動指針をもとに、どのような目的でBCPを策定するのかを設定します。
具体例として、以下のような方針が挙げられます。
- 従業員の安全確保を最優先とする
- 速やかに早期復旧する体制を確立して、社会的責任を果たす
- 地域や被災地支援へ貢献する
リスクの洗い出し
企業を取り巻く様々なリスクをあらかじめ抽出して、明確化します。
例えば、以下のようなリスクが想定されます。
- 地震や台風、豪雨による被害
- パンデミック(広域に及ぶ感染症)
- テロ攻撃
- 情報漏洩問題
優先して継続・復旧すべき業務を決める
自社のなかで、重要だと思われる事業をいくつか抽出します。
例えば、このような事業が挙げられます。
- 売上が最も高い事業
- 市場への損害・影響が最も大きい事業
- 企業価値の維持や顧客の信頼度と最も結びつく事業
BCPでは、会社の事業継続に関わる重要な事業を「中核事業」と呼び、緊急時において優先度の高い順に並べておく必要があります。
事業影響度分析(BIA)を測定する
BIAとは、中核事業としてあげた業務が実際に停止した際に、どの程度影響を及ぼすのか評価するための分析方法です。
「評価軸」と「時間軸」の二つの基準をもとに、被害の分析データを算出し、リスク分析を実施します。
基準1:「評価軸」
企業が受ける影響(設備や資金繰りなど)や、ステークホルダーに与える影響(顧客、従業員、株主など)
基準2:「時間軸」
企業が業務停止状態を許容できる「最大許容停止時間」、業務を復旧する目安になる「目標復旧時間」
BIAはBCPを作成するうえで、現実とのギャップが少ない実用性のある計画にするために必要不可欠なデータとなります。
BCPの発動基準を策定する
BCPの発動基準とは、災害に直面した際に、BCP対策を実行に移す条件のことです。
主に二つの基準を満たした場合にBCPは発動されます。
- 中核事業のボトルネックが影響を受けた
- BIA分析であげた目標復旧時間内に、中核事業を復旧させるためにBCPが必要である
災害時は素早い対応が求められるため、企業毎に発動基準を定めておき、指示がなくてもBCPが発動できるような仕組みづくりが大切です。
実行可能なBCPの具体案を決める
想定されるリスク毎に、誰が指示し、誰が指示を受けて行動するか、細かく落とし込んでおきます。抽象的な内容ではなく、具体的な対応を定めておくと、咄嗟の反応が取りやすくなります。
例として、地震の発生時の対応を紹介します。
- 発生直後は、身を守る、安全確保を第一とします
- 津波の危険性がある場合は、指定避難場所へ避難します
- 会社以外にいる場合、会社への連絡は必須です。ただし、出社は交通網への影響により判断します
BCP対策のポイント3点
続いて、企業がBCP対策を策定・運用する際のポイントを解説していきます。
ポイント1.BCPサイクルで継続運用を行う
BCPの実行性を高めるには、最初から完璧を目指さず、継続的に見直しを行うことが大切です。定期的に緊急時を想定したテストを行い、実行が難しい場合はBCPの内容を変更しなければなりません。BCP発動後は、問題がなかったかを確認し、改善を行いながら、新しい計画に向けてBCPを更新していく必要があります。
ポイント2.社内にBCPを浸透させる
BCP対策はすべての従業員が対象となるため、緊急時にルールに従った対応ができるように、策定したBCPを社員と共有する必要があります。
BCP文化の定着のためには、社員に対してBCP対策の説明を行ったり、誰でも見られる場所にBCPを置いたりするなど、企業として積極的な働きかけが重要です。
ポイント3.リスク分散のために社内データのクラウド化を検討する
自社のサーバーやストレージ環境でのみ、社内データを保管していると、災害などでシステムが利用できなくなった際に、業務を継続できなくなるおそれがあります。
システムのクラウド化によって、バックアップ環境を複数拠点におくことができ、リスク分散に繋がります。
まとめ
BCPは、大規模な災害やシステム障害・サイバー攻撃といったリスクに備える対策として、企業に欠かせない要件となっています。オンプレミス環境のみではなく、遠隔地へのバックアップを実施されてきた企業の多くは、BCP策定のタイミングでクラウド化を取り入れています。
クラウドは、リスクの低い拠点にバックアップを置き、有事の際に事業を継続できる点で、災害対策としても有効です。また、オンプレミスとクラウドを組み合わせたハイブリッドクラウドを導入する企業も増えています。システムの置き換えを行う際には、クラウドを検討してみるとよいでしょう。
NetAppでは、中核事業のクラウド環境の構築をはじめ、セキュリティやインフラの監視・トラブルシューティングまで、幅広いソリューションを提供していますので、ぜひ導入を検討してみてください。
