ガートナージャパンは、企業で事業継続計画(BCP)を見直す際の3つのポイントを発表した。ITの観点から不測の事態に備える必要があるという。
同社が2023年4月に行った調査の結果によると、国内企業の約半分がBCPを満たす適切な災害普及(DR)対策を講じていなかったという。2024年1月に発生した能登半島での地震災害や国際情勢の混迷などを背景に、企業ではBCPの見直しが肝心だとする。同社が発表した3つのポイントは以下の通り。
ポイント1:事業を優先順位付けし、合意を形成する
BCPあるいは事業継続管理(BCM)は、企業で発生するさまざまな問題を「事業」という単位で捉え、戦略的な優先順位に従って対処していく活動になる。企業の予算や要員は有限であり、全ての問題に完全な形で備えることは難しく、また、問題が発生した際も全て同時に対処できるわけではない。そのため危機発生時には、事業に対する影響の大きいものから優先的に対処するような姿勢が重要視される。
同社シニア ディレクター アナリストの矢野薫氏は、「BCPが不十分あるいは長期間更新されていない場合には、まずは『業務がわずかに中断しただけでも対外的に大きな影響を与える事業』を洗い出し、それらの現在の優先順位を緊急対策本部の構成メンバーと再確認することが重要」と解説している。
ポイント2:事業の完全停止を避け、暫定的に継続させるための手順の策定/見直しを行う
BCPで取り扱う主なリスクには、IT障害、自然災害、セキュリティ、パンデミック、あるいは政情不安などさまざまなものが挙げられる。例えば、自然災害の場合は、電気や交通網のような社会インフラが停止することで、本社機能のほか生産、販売、物流、データセンターのような拠点が機能しなくなり、また、被災により従業員が拠点にたどり着けないような事態も起こり得る。
レジリエンス(回復力)を高めるためには、完全な形ではなくとも業務を続け、事業を止めないようにすることが重要であり、そのための手順(コンティンジェンシープラン:緊急時の行動指針を示したもの)の策定や見直しを行う必要がある。矢野氏は、「現在さまざまな業務は複雑なエコシステムの中にあり、高度なテクノロジーに大きく依存しているため、企業にとって最新のビジネスやテクノロジー環境に合わせた暫定手順の策定や見直しが急務の課題となっている」と述べる。
ポイント3:「できること/できないこと」を整理し、ITに対する過剰な期待や誤解を解消する
同社ディレクター アナリストの山本琢磨氏は、「BCPを支えるITにおいてまず考慮すべきことは、システム/サービスの継続的提供、早期リカバリー、新しいサービス作りと新興テクノロジーの活用の3つになる。少なくともこの3つが実現できなければ、IT部門としての責任を大きく問われる」と指摘する。
システム/サービスの継続的提供では、これらを継続的に提供する鍵は、ニーズに基づいた可用性を備えることになる。現時点で想定されている可用性やリカバリーの仕様について状況を把握し、特にリカバリーについては、本番サイトから離れた別サイトでの災害復旧策やその必要性の確認を忘れないようにすることがポイントになる。
早期リカバリーでは、リカバリープロセスを正しく実行することができるように、DRのクラウドサービスを利用したり、リカバリー計画を整理したり、定期的な訓練を実施したりすることと、その際に出てきた問題点などから見直しに着手することが有効となる。
新しいサービス作りと新興テクノロジーの活用では、早期に復旧するだけでなく、新たなサービスや仕組みをすぐに作るニーズが生まれる可能性があるため、ローコードアプリケーション基盤や非常時のコラボレーション手段についての検討、ロボットやドローンを含めたこれまで用いていないテクノロジーの活用についての可能性を探ることも必要になる。
山本氏は、「災害対策そのものや災害対策への感度には、企業ごとに違いがある。2027年までにITの広域災害対策を行わない企業や組織の過半数は、都市部の大規模災害において災害時の対策が機能せず、経営に大きな打撃を受けると見ている。一方で、2027年までに、ITに関する非常時の対策を進めた企業や組織の30%は、想定外の事態に対処するための原則を確立し、不測の事態に備えるとの仮説も立てている。このように、災害に対する感度の高い企業とそうでない企業との間で、対策に関する成熟度に差が生まれると考えられる」をコメントしている。
