第4回「クリティカルな業務」のBCPを考える

BCP策定時に考慮すべきこと（その2）

2008.07.23

山本直樹
ベリングポイント
テクノロジーソリューションチーム　シニアマネージャー

　前回は、BCP（事業継続計画）を発動する際の指令塔である「コマンドセンター」の役割について解説した。今回は各部署に求められるBCPの内容やレベル、果たすべき役割などについて考える。

　まず前半では、BCPの策定を効率的に進めるために「クリティカルな業務」を明確にすることを提言する。後半では、昨今のBCM（事業継続マネジメント）において、情報システム部門に求められる新しい役割について解説する。

「クリティカルな業務」を識別する

　BCMは、事業を滞りなく継続するための活動である。したがって、企業の事業活動を支えるすべての部署がBCMの対象となる。しかし、仮に企業内のすべての業務が一斉に中断したとしても、それらすべての業務を、同じ緊急性で復旧させる必要はない。

　では、どのような業務を優先的に復旧させるべきなのだろうか。

　その答えは、業務単位に「事業影響度分析（BIA）」を実施することによって、導き出すことができる。

　BIAとは、災害などが発生して業務が中断した場合、財務的な影響および非財務的な影響が、どの程度出るのかをシミュレーションする分析手法である。すべての部署のすべての業務についてBIAを実施すれば、全業務に関する影響度が算出される。それらを、値の大きいものから順に並べれば、どの業務を優先的に復旧させなければならないのかを知ることができる。

　ところが、BIAは実に骨の折れる作業である。すべての部署のすべての業務について、一様にBIAを実施することは非効率だ。そこで効率的にBCMを進めるために、BIAの範囲を限定することをお勧めしたい。

　BIAの範囲を限定するためには、「クリティカルな業務」の基準を設ければよい。ここでいうクリティカルとは、「緊急時の重要性が高い」という意味である。この基準に当てはまる部署や業務についてのみ、詳細なBIAを実施し、該当しない部署や業務については簡易的な分析を行う、という切り分けをしてみよう。

　表1に、クリティカルな業務の基準と、それに該当する部署や業務の例を示した。このような基準に該当する業務は、詳細な分析をするまでもなく、優先的に復旧させなればならない業務であるはずだ。

表1●「クリティカルな業務」の基準の例と、それに該当する部署や業務

「クリティカルな業務」の基準の例	該当する部署や業務の例
売上計上に関係する業務	販売、与信管理、製造、物流
キャッシュフローに関係する業務	請求、債権回収、給与計算、支払い
顧客に直接関係する業務	営業、カスタマーサービス、広報
上記部署の運営に不可欠なサポート業務	情報システム、施設・設備管理

「クリティカルな業務」および「クリティカルでない業務」のBCP

　クリティカルな業務が中断したまま、何のアクションも取らなければ、事業に大きな影響が出てしまう。したがって、クリティカルな業務のBCPは、事業への影響度を低減させるのに十分な内容でないと意味がない。また、「誰が、どのタイミングで、何をすべきなのか」が具体的に書かれており、かつ、その内容が実行可能なものでなければならない。すなわち、以下のような事柄を一つひとつ明確にしなければならない。

業務中断が発生した際、どの程度の停止時間であれば許容できるのか
暫定的に臨時の業務プロセスに切り替える場合、別の場所に移動して業務を継続するのか、それとも遠隔地にある別チームに業務を託すのか
別の場所に移動するのであれば、移動手段をどのように確保するのか
移動先で業務が継続できるように、施設・設備、情報通信・ネットワークなどのインフラを、どの程度のスピードで準備すればよいのか
遠隔地にある別チームに一時的に業務を振り替えるのであれば、どのような手段で別チームと連携するのか

　一方、「クリティカルな業務の基準」に合致しない業務はすべて、「クリティカルではない業務」ということになる。例を挙げると、「新商品の企画・開発」、「社員の採用」、「社内研修」、「文書管理」、「製品の品質管理」などである。

　これらはすべて、事業運営上、不可欠な業務だが、BCMの観点で見た場合には、クリティカルではない可能性が高い。一定の基準を設け、例えば1週間これらの業務が停止したとしても、事業全体に大きな影響が出ないのであれば、「クリティカルではない」と定義することができる。

　BCPに書かれているのは、「平常通りに業務が継続できない場合に、どのようなアクションを取るべきか」ということである。したがって、クリティカルでない部署のBCPには、「何もせず待機する」、「自宅で業務を続ける」、「会社の指示に従い、他部署の支援に回る」といった内容が書かれることになるだろう。しかし留意したいのは、「BCMの観点でクリティカルでない」からといって、「BCPの実効性を下げてもよい」わけではないということだ。

　クリティカルでない部署のBCPに「自宅で業務を続ける」と記述するのであれば、社員が自宅で業務を継続できるように、勤務形態の柔軟性を制度化しておく必要がある。そのうえで、ノートPCを貸与しておくか、自宅のPCから会社のネットワークにセキュアに接続できるネットワーク技術を導入する必要があり、また、ファイル交換ソフトなどによる情報流出を防止するセキュリティ対策を講じておく必要がある。

　また、「会社の指示に従い、他部署の支援に回る」という計画があるのであれば、会社と社員がお互いに連絡し合えるように、緊急連絡網や安否確認システムを導入しておく必要がある。