文・百名 朝寛(NTTデータ経営研究所 情報戦略コンサルティング本部 コンサルタント)
「BCP(Business Continuity Plan:事業継続計画)」は、企業などの組織におけるリスクマネジメントの一部であり、災害や情報システムのトラブルに対し事業を形成する業務プロセスや資産を的確に守るための計画のことを指します。行政の場合は「業務継続計画」とも呼ばれます。
企業や政府機関などの組織は、災害や事故で被害を受けても、重要業務が中断しないことや、中断しても可能な限り短い期間で業務を再開することが求められています。このような事業継続のためには、BCPを策定し、バックアップシステムやオフィスの確保、即応した要員の確保、迅速な安否の確認といった具体的対応を事前に計画しておくことが重要となります。
政府より公表されたBCP関連ガイドライン
2005年頃から、政府では、企業や政府機関におけるBCPの普及に向けて、様々なガイドラインの整備を進めています。策定された主なガイドラインには、以下のようなものがあります。
●事業継続計画策定ガイドライン(2005年3月公表)
経済産業省が主催した「企業における情報セキュリティガバナンスのあり方に関する研究会」において、「情報セキュリティガバナンス」の確立を促進するための施策ツールの一つとして策定されました。企業に対しBCPの概念自体の認知度向上と、IT事故発生時にも事業運営を継続的に維持するのに有効なBCPの普及を図ることを目的としており、IT事故を想定したBCPの策定手順や検討項目等が解説されています。
●事業継続ガイドライン 第一版(2005年5月公表)
内閣府防災担当の中央防災会議に設置された「民間と市場の力を活かした防災力向上に関する専門調査会」の「企業評価・事業継続ワーキンググループ」での検討内容をもとに策定されました。大地震を主とする災害対策の柱として、企業を対象とした事業継続の取組の概要および効果が示されています。
●中央省庁業務継続ガイドライン 第1版(2007年6月公表)
内閣府防災担当より、中央省庁における業務継続計画の策定作業を支援するためのガイドラインとして整理されました。「首都直下地震」を対象事象として、業務継続計画の策定から運用までの手順や考え方について解説されています。
●地方公共団体におけるICT部門の業務継続計画(BCP)策定に関するガイドライン(2008年8月公表)
総務省が主催した「電子自治体の推進に関する懇談会セキュリティワーキンググループ」での検討内容をもとに策定されました。地方公共団体の情報システムに障害が発生した場合の業務の中断防止や早期復旧を目的としており、BCP策定の手引きが整理されています。なお、このガイドラインはICT部門における業務継続計画を策定することを目的としていますが、「本来、全庁的に実施するのが望ましく」としています。
企業、地方公共団体におけるBCPの取組状況
政府はガイドラインの策定等により、BCP普及に向けた取り組みを進めていますが、企業や地方公共団体におけるBCP策定は、十分に進んでいない状況にあります。
2008年1月に実施された「企業の事業継続及び防災の取組に関する実態調査」によれば、「BCPを既に策定済み」と回答した企業は、大企業で約2割、中堅企業で約1割と低い水準にあります。
さらに地方公共団体におけるBCPの策定状況をみると、2008年7月に実施された全国の都道府県、市区町村を対象としたBCPの策定状況に関する調査(「情報システムに関する業務継続計画の策定状況の調査結果」総務省)において、「業務継続計画を策定している」と回答した自治体は、都道府県で6.4%(3団体)、市区町村で2.3%(41団体)にとどまっています(図1)。
≪都道府県≫ 3団体:静岡県、徳島県、福岡県
≪市区町村≫ 41団体:北海道留萌市、北海道湧別町、岩手県大船渡市、茨城県稲敷市、茨城県八千代町、栃木県二宮町、群馬県太田市、埼玉県さいたま市、埼玉県蕨市、埼玉県三芳町、埼玉県川島町、千葉県市川市、千葉県佐倉市、千葉県流山市、千葉県四街道市、東京都中央区、東京都日野市、東京都東村山市、東京都狛江市、東京都瑞穂町、神奈川県藤沢市、石川県志賀町、長野県諏訪市、岐阜県各務原市、岐阜県下呂市、愛知県岡崎市、愛知県大府市、三重県いなべ市、京都府亀岡市、大阪府豊中市、大阪府岬町、兵庫県西宮市、島根県邑南町、岡山県津山市、広島県広島市、福岡県久留米市、福岡県新宮町、福岡県岡垣町、佐賀県神埼市、鹿児島県姶良町、沖縄県宮古島市
地方公共団体は、災害時において、地域住民の生命・身体の安全確保、被災者支援、企業活動復旧のために、災害応急業務、復旧業務、平常時からの重要業務を実施する責務を負っています。このような社会的責任を果たすためにも、地方公共団体では、災害等の事態を想定して、BCPを策定し、業務継続力を高めておくことが求められているといえます。
地方公共団体におけるICT部門の取り組みのポイント
災害時に業務の継続を確保するためには、情報システムが不可欠となっており、災害時に情報システムが稼動していることが重要となります。「地方公共団体におけるICT部門の業務継続計画(BCP)策定に関するガイドライン」では、災害、事故時に情報システムの機能を継続、早期復旧するために、首長やICT部門長が取り組むべき事項として、以下のような項目が挙げられています。
【最低限のバックアップの実施】
住民・企業の納税や支援の情報、許認可に関わる情報をはじめ、地方公共団体のみが保有する住民、企業に関する情報を消失することは、影響の大きさからも必ず回避しなければなりません。そのためには、消失した際に復元不可能な情報にどのようなものがあるかを把握し、最低限のバックアップを取得しておく必要があります。
【災害時の行動を指揮できる管理者の育成】
災害時において、要員、機材等の資源及び情報が十分でない中でも適切な対応を取るためには、緊急時における対応策を熟知して指揮命令できる管理者がいることが望まれます。ICT部門長は、災害発生時における管理者用のマニュアルを整備することなどにより、業務継続を統制することができる管理者を育成・確保することが望まれます。
【外部事業者との連携・協力関係の構築】
外部事業者についても、役所と同様の初動行動の計画を立てるよう連携・協力を求める必要があります。このため、恒常的に緊急時の対応について訓練を行ったり情報交換を密に行うとともに、必要に応じ、災害時の参集や復旧担当者の確保等を契約事項とすることも検討する必要があります。
【遠隔地で運用しているサービスの利用】
近年、ASPやSaaS等の遠隔地で運用しているサービスをネットワーク経由で利用する形態が増加しています。業務継続の視点で考えると、自らの地域が被災しても、ネットワークや端末さえ利用可能であれば当該サービスを利用することができるため、リスクの軽減を図ることができます。業務継続の確保の観点から、このようなサービスを利用することは検討に値するといえます。
地域の中小企業などのへの啓蒙
いくつかの地方公共団体では、地域の中小企業へのBCP普及を目指した試みが行われています。
静岡県では、中小企業庁が公表した「中小企業BCP策定運用指針」を基に、地域の中小製造業を想定して内容の追加・変更を行った「静岡県事業継続計画モデルプラン」を作成し、地域の中小企業がより簡易にBCPを策定できるような取り組みを行っています。また、「BCP指導者養成講座」を開催し、中小企業のBCP策定への取組を支援するための相談や指導ができる人材の育成に取り組んでいます。
徳島県では、「徳島県企業防災ガイドライン」を策定するとともに、BCP策定企業のうち、取り組みが優れている企業に対する表彰制度を創設して、企業信用力の向上の面からBCPの普及を図っています。
