【現場】編では、実際に遭わなければわからない落とし穴を紹介した。当然ながら、これらを教訓とするには、対策の幹となる業務継続計画が必要となる。企業によって、実効性のある計画の内容は異なる。しかし、実効性を持たせるためにすべきことは決まっている。業務の重要性を明らかにしたうえで災害リスクを分析し、テストを行って改善を続けることである。
| 日経コンピュータ2005年2月7日号の記事をそのまま掲載しています。執筆時の情報に基づいており現在は状況が若干変わっていますが、BCP策定を考える企業にとって有益な情報であることは変わりません。最新状況は本サイトで更新していく予定です。 |
「業務継続計画が現場でうまく機能しないのは、計画を維持する取り組みが手薄だから」。KPMGビジネスアシュアランスの堀越シニア マネージャーは、災害対策で陥りやすい失敗を、こう指摘する。
実際、同社の調査結果によると、策定した業務継続計画が妥当かどうかを定期的に監査・テストする、計画の内容を社員を教育するといった、形骸化しないための仕組みが盛り込まれていないケースが多い(図5)。
 |
| 図5●業務継続計画(BCP)を策定している企業がBCPに記載している内容 策定した後のテストや監査が甘い [画像のクリックで拡大表示] |
さらに同氏は、「維持管理体制を構築する前に、自社の業務と災害リスクの関係を分析し、有効な業務継続計画を作っていることが前提になければ意味がない」と続ける。
すなわち、災害対策では業務継続やシステム復旧の計画を策定することに目がいきがちだが、その上流の「リスク分析」と、下流である「テスト、改善」が重要、ということだ(図6)。
 |
| 図6●業務継続計画(BCP)は、策定前のリスク分析と策定後の改善が重要 [画像のクリックで拡大表示] |
リスク分析がしっかりしていれば、福井豪雨で福井商工会議所の電気設備が水害に遭うことを予見できたかもしれない。中越地震の際に、森永乳業が代替拠点の切り替えで薄氷を踏む思いをしなくて済んだかもしれない。
難しいのは、【現場】編で紹介したように、実際に遭ってみなければ気が付かない事象がたくさんあること。机の上で考えているだけでは、すべてのリスクを見つけ出すことはできない。また、起こり得る事象が明らかになっても、どうすれば最も的確に、低コストで対応できるのかの解も見えづらい。
では、どうすればいいのか。災害対策に熱心な先進企業の取り組みから、徹底した情報収集、業務リスクの数値化による投資の集中、計画に基づいた定期的な訓練、の三つが浮かび上がってくる。
専門家の情報を基に災害リスク分析
災害のリスクを細かく分析している先進企業の一社が、INAXである。同社が災害対策に本腰を入れ始めたのは、2002年4月。本社やデータセンターといった主要拠点がある愛知県が、東海・東南海地震の防災対策強化地域に指定されたのを受けてのことだ。
対策の一環として2003年、地震が起きた場合に予想されるデータセンターのリスクを細かく洗い出し、現状の対策が十分かどうかを分析した。具体的には、地震による主な想定被害として、建物の崩壊、津波、液状化現象、天井の落下―の四つを選び、専門家などから情報を収集。それにデータセンターの現状を対応させて、評価した(図7)。
 |
| 図7●INAXは災害の種類ごとにリスクを分析している 地震に関しては建物の崩壊、津波、液状化現象、天井の落下など細かくリスクと対策を評価 [画像のクリックで拡大表示] |
例えば、津波。災害時、津波の高さはどれだけになるのかを聞いて回ったところ、名古屋市が、過去300年間にわたる伊勢湾での津波を調査していた。その資料を基に、同社付近で現実に起こり得る津波の高さを最大4メートルと設定。データセンターの標高位置と比較した結果、「満潮時に発生したとしても、データセンターの床には届かない」(柿崎稔経営管理本部情報システム部IT基盤革新グループ課長)との結論を出した。
建物の崩壊リスクについては、耐震および免震構造で対処できていることを確認。液状化現象については、実際にボーリング調査を実施し、その結果を基に専門家に安全性を確認してもらった。天井が落下する可能性が非常に少ないこともわかった。
もちろん、図7の四つ以外のリスクも徹底的に調べた。電力や通信回線が使えなくなる可能性、公共交通機関が停止した場合に社員が出社できなくなる可能性、などである。
業務リスクを評価し、集中投資
災害のリスクを明らかにしたら、次は業務停止リスクの評価だ。災害時にどのような被害が起きるかわかっても、すべてに対応することはコスト的に無理。そこで優先順位を付け、被害が起きない、もしくは、早期復旧ができるように投資を集中する。
社内の重要な業務は何か、どのシステムの復旧を優先するかといった要件は、業種や企業の事情によって異なる。
例えば横河電機では、生産システムの復旧を最優先としている。ジャスト・イン・タイムの生産方式を採用する同社は在庫を極力持たないため、「生産システムの停止は致命的」(今川部長)だからだ。一方、森永乳業は受注・出荷システムに重きを置く。工場が全国に分散し、生産がすべて止まることは考えにくい。ただ、生産した乳製品は賞味期限が短いので、受注と出荷が止まると被害が大きくなってしまう。
森永乳業の木村部長は、業務ごとにシステムの重要度を細かく設定し、復旧までの目標時間を数値に落とし込むことを勧める(図8)。「数値化することで、適切な投資を考えやすくなる」(木村部長)。
 |
| 図8●森永乳業は業務ごとに重要度を評価し、対策レベルを設定している |
同社の業務システムの評価でユニークなのは、会計や原価管理のシステムよりも電子メール・システムの復旧を優先している点。「災害時の安否確認や社員に指示伝達を素早く行うためには、メールをすぐに復旧する必要がある」(木村部長)という判断だ。ただし、すぐに使えるようにしているのは、電子メールを送受信する機能だけ。「災害直後のメールはあくまで復旧作業の連絡に使う」と考え、過去のメールやアドレス帳を含めたメール・システムの2重化は行っていない。
業務リスクの評価の結果、投資対効果が低い災害対策を見つけ出せることもある。ミツカンは以前、受注システムなどの重要なシステムを遠隔地に2重化して毎日データをバックアップしていた。だが、2002年に行った災害対策の見直しをきっかけに中止した。
データの整合性を日々保つため、バックアップ拠点に運用担当者を常駐させる必要があるなど、それまでも運用コストが問題になっていた。ミツカン ビジテックの竹嶌敏雄情報システム部システム管理課課長は、「災害対策が非常にしっかりした専門業者のデータセンターにシステムを移設などを実施した結果、遠隔地への2重化対策は、投資対効果に見合わなくなったと判断した」という注9)。
---------目 次-----------------------------------------------------
【総論】その災害対策は機能しない
【現場】復旧の前段階で立ち往生、被災地で続出した誤算
(1)避難・安否確認:社員と連絡が取れない
(2)損害把握:建物に入れない、担当者が出社できない
(3)システム復旧:サーバーは無事でも停電で使えず
(4)業務再開:サーバー室が温度上昇、被災なしも要対処
【備え】リスク分析とテストで投資対効果を高める
(1)業務の重要性を明らかにしたうえで災害リスクを分析
(2)テストを行って改善をし続ける
