計画だけでなく「管理」が重要
事業継続計画が策定されていても、いざと言う時に機能しなければ計画は単なる絵にかいた餅になってしまう。そのため、BCPには実効性があり計画が行動に移せることが大切になってくる。
セキュリティにおいても、ISMS(情報セキュリティマネジメントシステム)や個人情報保護法の認証を取るため、初期構築に苦労された方も多いと思うが、本当に大変なのはその後マネジメントシステムを維持し改善プロセスを回すことであるとよく耳にする。また、さまざまな監査でも多くの場合、規定された項目の実施有無とレベルチェックにも増して、運用管理が機能しているかを確認することがポイントになっている。
これと同様に事業継続においても、BCPの策定も大事だが、事業継続管理が構築され実体として機能していることが重要となる。
企業の事業継続に対する認識は向上
IDC Japanの事業継続計画に関する調査によると、2001年以降徐々に策定企業数が増え、2007年7月時点で累計での策定済み企業の割合が多くなったという。事業継続計画の策定動機としては、「企業価値向上のため」「経営リスク管理の一環として」などが上位を占めており、外部からの圧力で策定するよりも自主的に取り組んでいるケースが目立っている。これは、企業としての事業継続に対する意識が高まってきたことの表れだ。
BCP策定を実施している企業の内訳としては、通信・ITサービス、学校・研究機関、金融・保険業の策定率が高い。しかし、企業規模でみた場合大企業における対応が先行しており、中小企業では今後本格的な対策を行うとした企業が多い。
事業継続の課題は何なのか
また、同じくIDC Japanの調査にて、事業継続管理を実施した企業の過半数で、投資に対する効果が得られていないと感じていることが明らかとなった。これは、事業継続への対応が遅れている背景のひとつとも考えられる。
先ほども述べたように、対策は予算確保が可能な大企業で先行しており、こうした理由からも新興企業や中小企業で対策が遅れていることにつながっていると考えられる。
また、BCPを策定している企業に確認すると、ほとんどの企業では定期的な見直しも含め訓練は実施されていない。情報システムへの依存度が高い金融業界や情報通信業界では昔から対策を立てているものの、システムの改変に伴う事業継続計画の更新や災害対策の変更をタイムリーに行っていないのが実態である。つまり事業継続の対策は、予算を確保しにくい経営テーマであるとともに、実効性が不明であるという課題を抱えている。
次回はこうした課題に関する根本的な原因や解決に向けたアプローチを、経営の視点を中心に考察してみようと思う。
筆者紹介
小林啓宣(こばやし はるひさ)
ストレージベンダーにおいてバックアップシステム/災害対策の構築、情報保護に関するコンサルティングやBCP策定のプロジェクトを経験後、2005年にシマンテックに入社。現在はグローバルコンサルティングサービス本部 プリンシパルコンサルタントとして同様のプロジェクトを担当すると共に、セキュリティ監査も実施する。PMP、事業継続推進機構(BCAO)会員。