2003年を迎え，気分を一新して仕事に取り組もうと考えておられる読者も多いと思う。イヤなことは忘れ，新しい仕事にチャレンジするのは気持ちのいいものだ。

　しかし，イヤなことをいつまでも忘れないことが重要な意味を持つ場合がある。企業にとっては，危機管理，リスク・マネジメント，セキュリティ対策といった言葉で呼ばれる取り組みが，その典型例だろう。

　IT関係者の多くは今からわずか9カ月前に，“他人事”とはいえ背筋が寒くなるような事件報道を連日，見聞きしていたはずだ。みずほフィナンシャルグループが起こした一連の大規模システム障害である。

　日本が“みずほ”なら，米国では“9.11”だろう。一昨年のあの日以降，ニューヨークではビジネスの再開に向けて，多くのIT関係者が不眠不休で情報システムの復旧に取り組んだ。

障害対策の本来の目的があいまいになっていないか

　だがどうだろう。企業のリスク・マネジメントにかかわるIT関係者でさえ，これらの事件はもはや“昔の出来事”なのではないか。いや，現場のIT関係者は切実な問題だと認識し続けているのかもしれない。しかし，経営者の意識はどうか。意地悪な言い方をすると，「のど元過ぎれば・・・」が実態ではないだろうか。

　IT部門任せのケースが多かった情報システムの障害対策は，“みずほ”の一件以来，トップ・マネジメントにとっても重要な経営課題と認識されるようになったはずだった。しかし，業績回復がままならない状況が続くなかで，当時と同じ意識を持ち続けている経営者はどれだけいるだろう。

　どんなに大きな事件が起きても，結局こうなってしまうのはなぜか。その最大の理由は，情報システムの障害対策を実施する本来の目的が，あいまいにされてきたことだと筆者は考える。

　本来の目的とは，言うまでもなく「ビジネスを止めない」ことだ。

　どれだけ多くのコストと手間をかけてデータを二重化しても，そのデータを処理するアプリケーションが稼働するサーバーの障害対策がおろそかだったためにビジネスが止まってしまったのでは意味がない。逆に，完璧な障害対策を施しても，それによって守られるのが，実はその企業にとって優先度の非常に低いビジネスだったとしたら，どうだろう。経営者にとって，これは無駄な投資である。

　順序が逆なのだ。どのビジネスを守るのか，なかでも優先度の高いビジネスは何か，仮にトラブルが起きたら，どの程度の時間でビジネスを再開しなければならないのか。こうしたことを徹底的に詰めたうえで，必要な情報システムの障害対策の方法を決め，実施する。こうした判断や意思決定は，まさに経営者に求められるものだ。

重要なのは「ビジネス継続」という観点

　米国では以前から，このような取り組みが「ビジネス継続マネジメント（Business Continuity Management）」あるいは「ビジネス継続プラン（Business Continuity Plan）」といった呼び方で知られている。しかし，日本企業にはこうした考え方はまだ定着していない。

　KPMGビジネスアシュアランスが国内大手企業を対象に昨年実施したビジネス継続に関する調査でも，このことは裏づけられた。「ビジネス継続プラン（BCP）全般について，課題と感じることは何か」という質問に対して，最も多かった回答は「BCPの必要性に関する社内のコンセンサスが低い」だった。

　リスク・マネジメントに取り組むIT関係者は，経営者を含む社内のコンセンサスを取り付けるためにも，「ビジネスを止めない」という本来の目的に立ち返って，情報システムの障害対策を見直すべきである。企業にとって本当に大切なビジネスを守り，無駄な投資を省くことができるなら，経営者も前向きに取り組まざるを得ないはずだ。

　ビジネス継続は決して一般企業だけの問題ではない。最近では情報システムのアウトソーシングが徐々に普及し，サービスの品質を保証する「SLA（サービス・レベル・アグリーメント）」の考え方も広まりつつある。企業の情報システムやデータ資産を預かるITベンダーも，まったく同じ課題を突きつけられているのだ。

　「日経コンピュータ」はこれまで，情報システムの障害対策を含む運用管理について，何度か記事を掲載してきたが，「ビジネス継続」という観点でこの問題を取り上げたことはなかった。筆者は“みずほ”と“9.11”の記憶が風化する前に，是非このような企画に取り組みたいと考えている。

（吉田　琢也＝日経コンピュータ副編集長）