2007年は中越沖地震などの自然災害の被害として、発電施設の停止や自動車部品工場の供給停止、システム障害による交通機関の機能停止などが発生し、あらためて事業継続への取組みの必要性が認識させられた年であった。今では、BCP(Business Continuity Plan)策定や事業継続管理の構築、災害対策の実施例などを自社ホームページ上に公開する企業も見ることができる。
私は2001年よりバックアップシステムや災害対策システムの構築とコンサルティング活動を行っているが、最近はセキュリティ関連のコンサルティングの機会も多く、事業継続に対して別の視点が増えたと感じている。
今回は基礎的な部分も含め、事業継続実現への課題は何なのか、その背景や原因、また解決に向けてどうすべきなのかを、実際のプロジェクトを通じ得られた現場の声も含めてまとめてみようと思う。
事業継続とは何か
事業継続を理解するにあたって、まずは関連するガイドラインを確認してみよう。近年は日本や海外でさまざまなガイドラインが作成されているが、代表的なものとして以下のものが挙げられる。
日本
- 内閣府 中央防災会議 事業継続ガイドライン 2005年8月1日
- 経済産業省 事業継続計画策定ガイドライン 2005年3月
- 金融機関等におけるコンティンジェンシープラン策定のための手引書 財団法人金融情報システムセンター 2006年3月
- 中小企業庁 中小企業BCP策定運用指針 2006年2月
米国
- DRII(Disaster Recovery Institute International) Professional Practices for Business Continuity Planners 2006
英国
- BCI(The Business Continuity Institute) Good Practice Guidelines 2007
- BSI(British Standards Institution) BS25999-1 Business Continuity Management Part1:Code of Practice Nov 2006 Part2:A Specification for BCM
上記ガイドラインの中で事業継続に関する言葉はそれぞれ定義されているが、その内容をまとめると以下のようになる。
- 事業継続計画(BCP:Business Continuity Plan)
インシデント発生時に事業を継続させるため、あらかじめ決められた計画および手順。または計画書そのもの - 事業継続管理(BCM:Business Continuity Management)
事業継続計画を機能させるための管理システム。事業継続計画の評価見直しまでの含めた改善プロセス - 災害対策(DR:Disaster Recovery)
情報システムのリカバリー施策。その復旧手順や施策に関わる機器も含めた設備の構築
ここに挙げたBCP、BCM、DRで共通する最終的な目的は、予期せぬ事態が発生した場合に事業の継続を実現することである。