皆さんご無沙汰いたしております。6回に渡り「間違いだらけのグローバリゼーション」のコラムを連載した矢坂です。番外編として、今回から2回に渡り企業の事業継続計画(BCP:Business Continuity Plan)と災害復旧計画(DRP:Disaster Recovery Plan)の連携に関する課題を検証し、その解決法を皆さんと考えていきたいと思っております。

 BCPは2000年問題の対応を転機にここ十数年企業の中で語られてきました。現在もBCPまたはBCM(Business Continuity Management)という言葉で自然災害も含めた企業の危機管理方策として体系立てられていることは、言うまでもありません。

 昨今の企業に関して言えば、BCPやDRPが作成されていない企業を探す事が困難なほど、リスク管理を含めたBCPやDRPの考え方は定着していると言えます。今回起きた東日本大震災は、我々の想定をその影響地域でもインパクトの強さでも大きく超えた震災であったことは事実です。東日本大震災のマグニチュード8.8は国内観測史上で一番大きく、そのエネルギーは1995年に起きた阪神大震災の実に700倍であったと聞いています。

 多くの企業は2000年問題で取り上げたBCPやDRPを阪神大震災後その教訓を基に改訂し次の災害に備えてきたつもりですが、その想定を大きく超えた今回の未曾有の災害は我々や企業に何を学ばせてくれたのでしょうか? 現在のBCPやDRPは企業がリスクマネージメントと言う観点から事業を迅速に復旧するに足る計画なのでしょうか?

 私には疑問が残ります。現在の経営はBCPに集中し、CIOはDRPに特化する形で本当にBCPとDRPの連携は担保されているのでしょうか? 今回のコラムでは、これらの質問について、皆さんと考えていきたいと思います。

「事業継続計画の落とし穴」

 多くの企業のIT部門責任者様とお話しする立場の私は、折に触れBCPやIT部門が主に主幹となっているDRPについて議論をしています。その中でCIOの多くは「我々はDRPの主幹部署ではあるが、BCPについてはビジネス部門を含めた経営が考えるべき」と言う意見を言います。

 一見正しいご意見に聞こえますが、本当にそうなのでしょうか?

 一般企業で考える危機管理は、人的災害、物理的災害、自然災害など多岐にわたります。また、事業を継続させるためには商流、物流、情報の流れを復旧させる必要があります。これも言わずもがなですが、現代の企業で情報の復旧なしには商流・物流の復旧は限られた部分でしか可能ではありません。つまり、現在の企業はシステム、ネットワーク、データセンターなどを管理するシステム部門の介入なしでは成り立たないのです。

 もちろんCIO経験者が経営陣にいる場合または社長である場合はシステム的知識やその対応を基にBCP策定の推進をできるかもしれません。だが、残念ながら現在の日本ではこのような企業は非常に少ないと言わざるを得ません。往々にして、ビジネス部門はITに弱く、IT部門はビジネスに弱いと言う現状が継続しているのです。システムやネットワークなどの情報資産の商流・物量上の連携の知識なしにBCPは作成できないのですし、できたとしても実行可能かどうかははなはだ疑問です。

 それでは、CIO率いるIT部門はどうでしょうか?先ほど話したように、CIOは別として、IT部門は情報に関する知識はありますが、実際のビジネスの流れ、や業務についての知識が希薄であるということが言えます。

 IT部門の人員を見てもビジネスが分かる人材の少ないこと。「技術には興味を示すが、ビジネスには興味を示さない」「何で企業のIT部門にいたいの?と問いかけたくなるようなIT部門の人間が多い」と言う嘆きをCIOから聞くこともしばしばです。

 「経営とビジネス部門が作成したBCPを見ながら、我々IT部門がDRPを作成するんだからよいんじゃありませんか?」と言う声が聞こえます。原則的にはシステム復旧までのビジネスをいわば人海戦術も含め対応するBCPと1日でも早くシステムを復旧するDRPはそれらを連携する担保がされていれば論理的には動くと思われがちです。

 では、何日間どのビジネスを人海戦術で対応し、何日間以内でシステムが立ち上がればよいのでしょうか? また、どのシステムは1カ月止めてよく、そのシステムは3日後に復旧しなくてはいけないのでしょうか? その根拠は何なのでしょうか?これらの仮定となるライフライン(電気、水道、ガス)などは何日後に復旧すると考えているのでしょうか?

 これらはBCPとDRPの連携担保をする為の狭義の質問ですが、経営陣はこれら質問の回答をご存じなのでしょうか? また、IT部門の皆さんはお答えになれますでしょうか?

 以前私がCIOをしていたときに、社長から呼ばれお願いされたことがあります。2000年問題対応が盛んにマスコミで議論されていた頃でした。「2000年問題についてビジネスのインパクトと情報が及ぼす事業インパクトを明確に答えられるのは、うちの幹部の中では矢坂さんしかいないと思う、2000年問題に関するBCPの指揮をとってほしい」というものです。

 驚いている私に、社長はこう付け加えました。「BCPは企業にとって必須だと私は思うが、ビジネス部門はそれはIT部門の問題だという、またうちの中では私が命令すればこの件でビジネスも動くが、このくらいまででよいと言うおざなりなBCPができそうな気がする。私は、この事業を預かっている責任から、時間をかけて実行できないBCPは作成したくない。」

 こうして当時のCIOであった私がBCPをビジネス部門と議論しながら1年半かけ作成したわけですが、結果は商流・物流・情報の連携のとれた実行可能なプランであったような気がします(一番よかったことは、2000年問題が想定内の少ない事業インパクトで終了した事ですが)。

 そのBCP、DRP策定作業を通して多くの事を和t氏も含めた当時のIT部門仲間も学んだと思います。2000年問題と言うシステムに起因した要求であった事から、IT部門がけん引し、BCPの積極的けん引業務が行えたことは幸運としか言えませんが、その後もこの時の経験が実は現在の本業にも役立っていると思います。商流・物流・情報をできるだけ早く復旧するという観点からは、実はCIO率いるIT部門がけん引することも間違いではないような気がいたします。

 皆さんはどう思われますか?