内閣府が公開した「事業継続ガイドライン」

呉井嬢次(Johji Kurei) 2005-08-15 17:37:00

 お盆も終わり、仕事場も普段と変わらない日々の筈だったのに、飛行機は事故を起こすし、解散して総選挙に突入した。おかげで情報セキュリティの仕事は休む暇がない。選挙事務所のIT盗聴機のチェックにはじまり、パソコンには新たに個人情報漏洩対策の丸秘ツールを導入した。それでもトラブルに不安を覚える人は多い。絶妙なタイミングで、8月1日に内閣府防災担当から「事業継続ガイドライン」が公開された。

 ウェブに公開されているので一読を勧める。なぜなら、あらゆる災害やITトラブルに対処できるようにすることを求める「事業継続」が、経営者への殺し文句になっているからだ。「事業継続計画されてますか」なんて聞かれた経営者が、情報システム部門に作成を指示することも起きている。寝耳に水にならないように、「事業継続」について勉強してはどうだろうか。

まず、事業継続のチェックリストを活用せよ

 同ガイドラインには、事業継続計画の策定、実施および運用と細かいことが書かれている。しかし、最初に試して欲しいのは、別添にある「事業継続のチェックリスト」で自社をチェックしてみることだ。このチェックをすれば、何をすべきなのか、ガイドラインが何を考えているのか7割くらい理解できる。この文書は、あくまでもガイドラインであって、法的な強制力を持つものではない。海外のリスク分析手法、災害復旧計画、危機管理、業界別事業継続関連文書を参考にして作られている。自主的に情報システムの事故に備えて対処するか否かは、経営者に任されている。

 このガイドラインは、一度出来上がると、あちこちで活用されていくだろう。例えば、取引先、外部委託先に対して、アンケートするチェックリストに追加され、企業の評価に使われる。また、競合会社による差別化のツール、第三者の格付け機関が、企業の災害対処能力評価に使われる可能性だってある。「事業継続」は業務プロセスを分析し、業務の優先順位を決定していく。従業員の安否確認システム、災害を想定した訓練計画、訓練実施など本格的に行うと費用もかかる。コンサルティング会社にとっては、経営者にアピールできるビジネスの種でもある。しかし、企業の情報システムを別な観点から評価する手法として、事業継続は有効な手段となる。経営者、情報システム責任者は「事業継続」について把握しておくべきなのだ。

電子投票システムにこそ、「事業継続」を考えよ

 事業継続なんて企業が考える問題と思うかもしれないが、自治体にこそ必要な場合がある。自治体には「住民基本台帳ネットワーク」をはじめ、個人情報が蓄積された情報システムが多数ある。例えば、電子投票システムも停止すれば大きな影響を及ぼす。実際に事故は起きている。2003年に岐阜県可児市の市議選では電子投票が行われた。しかし、電子投票システムにトラブルが発生。選挙の無効を訴えて裁判が起き、今年7月に最高裁で「選挙は無効」となった。有権者が10万人規模の選挙である。選挙をやり直せ、なんてピントこないかもしれない。株主総会を再び開催するようなものだ。事業継続の重要性は、企業だけでなく、自治体にも問われることになるだろう。

 電子投票システムを検証するのは容易ではない。システムテストに数万単位でテスター(評価者)を集めるだけでも大変だ。10年以上前になるが、家庭用ゲーム機を使った株式売買システムのテストに協力したことがある。それでもテスター(評価者)は、数千人規模だった(当然、統計的にも絞り込んでいる筈だ)。ちなみに、テストに参加したら、家庭用ゲーム機がもらえた。電子投票システムで、数万人単位でテストする場合、もっと費用がかかる。

 では海外に目を向けてみよう。ある国では、電子投票システムが適切に稼動するかテストするのに、軍が協力している。インターネットとは別に情報ネットワークを持っており、複数の拠点(基地)で行えば実際の選挙がシミュレートできる。本番の電子投票ではないから、ネットワークやシステムダウンしても国民には影響を受けない。人件費については説明不要だろう。万が一でも、軍のネットワークがダウンすれば、その程度で軍のネットワークが脆弱なことが判明するので一石二鳥。そこで、日本でテストをするなら、複数の拠点存在し、かつインターネットとは別のネットワークを所有している組織。となれば、電子投票システムをテストするなら、自衛隊病院がいいかもしれない。札幌、仙台、岐阜など各地にあり、平時はネットワークのトラフィック(負荷)も低い。

事業継続が本格化するのは2006年から

 来年の話をすると笑われるかもしれないが、今は未だ8月。電子メールには、後期の授業用教材の作成、セキュリティ資格の認定講座の講師依頼が舞い込んでいる。個人に限らず、企業も事業継続を検討する時間がとれないのが現状だろう。しかし、既に事業継続に取り組んでいる企業も登場してきている。おそらく2006年から「事業継続」という言葉が取上げられるようになるに違いない。事業継続を考慮した情報システム、セキュリティシステムが話題になってから、慌てないように、今年の夏の読書は、「事業継続ガイドライン」なんでいかがだろうか。

事業継続ガイドライン 第一版
 http://www.bousai.go.jp/MinkanToShijyou/guideline01.pdf

※このエントリはZDNetブロガーにより投稿されたものです。朝日インタラクティブ および ZDNet編集部の見解・意向を示すものではありません。

SpecialPR