震災をきっかけにBCP対策に取り組む企業が増えたが、上手くいっていない企業、あるいはいまだに未着手の企業も多い。加えて昨今では、自然災害やシステム障害に加えてサイバー攻撃などの新たな脅威も登場している。企業にとって、BCP対策の重要性はますます高まっている。
そこでITpro Activeでは、ITPro Active製品選択支援セミナー「事業継続計画/バックアップ~災害、障害、サイバー攻撃に備える~」を、2013年8月23日に東京で開催した。プライスウォーターハウスクーパースの一原 盛悟氏が、BCPの最近の動向やIT-BCP構築のポイントなどを解説したほか、主要ベンダーがバックアップ/DR用の製品、技術を紹介。最後に『日経BPシステム運用ナレッジ』の池上俊也副編集長兼プロデューサーが、予算に応じた実践的なDR対策方法を紹介した。
基調講演
変化しつつある事業継続の取り組み
基調講演では、プライスウォーターハウスクーパースの一原 盛悟氏が、企業が事業継続に取り組む意義やリスクに関する情報開示の重要性、事業継続に関する取り組みの最新動向、BCPとIT-BCPの関係、事業継続にかかわるITの導入方法などについて、詳しく解説した。
シニア マネージャー
一原 盛悟氏
講演の冒頭で一原氏は、企業が事業継続に取り組む4つの意義を示した。すなわち、
- 有事の際の自社の利益を守る
- 供給責任を果たすなど、取引先の利益を守る
- 自社や取引先以外の利益や地域秩序などを守り、社会的利益を守る
- 投資家の利益を守る
である。
そのうえで、「守りのリスクマネジメントではなく攻めのリスクマネジメントが重要」と強調した。特に、リスク情報の開示は欠かせないという。機関投資家に対して事業継続に関する取り組みを開示することで、企業の安定性や健全性をアピールし、ファンドへの組入機会増加や株価の安定化といった効果を期待できるからだ。BCPやBCMへの取り組みを開示するチャネルとしては、有価証券報告書のほか、社会環境報告書、ディスクロージャー誌、自社のホームページなどがある。
一原氏は「リスク情報の開示は、実際の株価にも反映されている」と指摘しながら、福島、岩手、宮城に主要な設備を持ち、なおかつ東日本大震災の被害が特定された企業209社の株価推移を、BCP/BCM開示企業と非開示企業で比較したグラフを示した。「震災発生の10日後までは、どちらも同じように株価が下落しているが、20日後以降は、BCPへの取り組みを開示している企業は、非開示企業に比べて明らかに回復度が高い」(一原氏)。
一原氏は、BCPに関する取り組みを開示している企業の例も示した。例えばファミリーマートは、東日本大震災の被害状況や復旧状況を可能な限り素早く情報開示したことで、日本IR協議会の2011年度IR優良企業大賞を受賞。ローソンは、社内向けに作成した対応記録「それぞれの3.11」を、2012年3月9日からホームページで一般公開し、事業継続推進機構(BCAO)の「BCAOアワード2011」大賞を受賞した。清水建設も、BCPへの取り組みをホームページで詳しく開示しているという。
サプライチェーン全体や同業種での連携にシフト
一原氏は、企業の事業継続に関する取り組みには、大きな変化が見られるという。「今までの事業継続に関する取り組みは、一企業として有事の際にどのように対応するかを検討するレベルだった。しかし、一企業としての取り組みだけでは、有事の際に対応できないことが分かってきたため、現在では、サプライチェーン全体や同業種での連携、同じ地域内(工業団地など)での連携を考慮した取り組みにシフトしつつある」(一原氏)。
実際、東日本大震災では、新聞社が別の新聞社に印刷を依頼したり、食品メーカーが別のメーカーに生産を委託するといった、同業種での連携が数多く見られたという。経済産業省による事業継続取り組み支援でも、一企業ではなく、地域や業界、サプライチェーンなどの広域的なグループを対象にしている(「事業継続等の新たなマネジメントシステム規格とその活用等による事業競争力強化モデル事業」)。
BCPとIT-BCPの整合性をとる
一原氏は、「現在の業務プロセスは、IT(システム)への依存度が極めて高いために、業務を継続するためには、ITの存在が不可欠」と指摘したうえで、「実効性のあるBCP策定を行うためには、業務部門のBCPと情報システム部門のIT-BCPが整合が取れている必要がある」と強調した。
業務部門の事業継続計画(BCP)は、危機管理体制や行動計画、演習から成る。一方、情報システム部門の事業継続計画(IT-BCP)は危機管理体制、行動計画、演習に加えて、遠隔地バックアップやDRサイト、クラウドなどのテクノロジーの要素が加わる。「もし両者で不整合があれば、会社全体としての事業継続はうまくいかない」(一原氏)。
事業継続以外の効果を示して、経営層の理解を得る
ここで、一原氏は、プライスウォーターハウスクーパースが実施した「IT-BCPサーベイ2013」の結果を紹介した。それによると、「IT-BCPを策定していない」と回答した企業は、まだ約3割を占めている(回答企業数38社)。また、「グローバルで事業展開している場合、どのようにIT-BCPに取り組んでいますか?」という質問に対しては「海外拠点 の状況が把握できていない」と回答した企業は約6割を超えている(回答企業数20社)。
「業務の継続性を向上させるために、どのようなIT対策や技術要素を採用(もしくは採用を検討)しましたか」という質問に対しては、最も多かった回答は「バックアップテープなどの媒体遠隔地保管」と「サーバーの仮想化」(63%)だった。次いで「ネットワーク回線の2重化」(58%)、「重要システムの運用監視」(50%)、「クラウドコンピューティングの利用」(47%)、「在宅勤務を可能にするシステムインフラの導入」(34%)と続く。
こうした事業継続目的のIT投資に関して、一原氏は「実際に導入しようとすると、多額の費用が必要になることがある。その場合は、事業継続にかかわる効果だけではなく、事業継続以外のビジネス上の効果を示すと、経営層の理解を得やすくなる」と指摘する。
例えば、クラウド・コンピューティングであれば、事業継続にかかわる効果は、「特定のハードウエアに依存しないことによるシステム障害リスクの分散」となるが、それ以外に、「システム導入および撤退の迅速化」「システム拡張の柔軟性」「システム保守業務の負荷軽減に伴うコアコンピタンス業務への資源集中」といった効果を示すべきだ。
在宅勤務用インフラ(シンクライアントやWeb会議など)であれば、事業継続にかかわる効果は「普段の勤務地に行かなくても業務が遂行できる」「迅速に連絡が取り合える」といった点だが、それ以外に「勤務形態の多様化」「育児休暇後の職場復帰支援」「出張費用の削減」などの効果を示した方がよい。
一原氏は最後に、中長期的なIT投資のロードマップに、事業継続の観点を含める必要があることを強調した。「BCM責任者は、CIOと連携して、BCMの実効性向上に貢献するITの導入を検討すべきだ」(同)。