災害時の対策をより迅速に、より実践的に機能させるということであれば、私はコンティンジェンシープランを選択します。震災後の今となっては、対症療法ととらえる人がいるかもしれませんが、余震などのリスクも考えると、コンティンジェンシープランの方が即戦力になるからです。
コンティンジェンシープランの作成で重要なことは次の2つです。
実際に作成を進める上でのポイントを紹介します。
例えば、「本社のある東京で震度7の地震が発生。支社は福岡、大阪、名古屋、札幌にあり、支社は被災を免れた。関東大震災級規模であり、類似している。関東大震災と同じように熱海で12メートル、房総半島で9メートルの津波が発生し、横浜も相当な津波の被害を受けた。本社は津波で3メートルほど水没し、津波が引いてからしばらくして停電になった」とします。
このようなシナリオを幾つか作成します。さらに、「本社近くの発電所が火災」とか、「100メートルも離れていないガソリンスタンドが炎上」といったケースを組み合わせるといいでしょう。「発電不足のため30%の需要削減が発令された」などのケースも加えるとより具体的になります。
いたずらにシナリオを想定することはいけませんが、柔軟な発想でライフラインの供給が断たれたケースをイメージし、万一の場合に実効力のある対策(事前対策、事後対策)をきちんと検討しておきます。これにはある程度のコストが伴いますが、経営者を含めて関係者が相談し合い、企業の体力に見合った対策をすぐにでも進めることが一番重要です。
幾つかの想定ケース(シナリオ)ができたら、その場合に会社にはどういう被害が起きるのかをなるべく論理的に想定します。当然ながら、もっとも重要なことは「人的被害」がどうなるのかという点です。そして、会社が成立するための重要なもの(会社の実印や社印、機密情報、経理上の書類、人事情報など)の被害はどうなるのか、また、製造業ならば工場の稼働状況からサーバ、施設、ネットワーク、通信網、端末、営業車、製品など、多くの視点で被害を想定します。重要なライフライン――電気、ガス、水道、インターネットなどの被害もできる限り資料を取り寄せて、その被害を想定しておきます。
経営者として「何を優先するのか?」という視点も不可欠です。これは業種、業態、規模、環境、経営者の考え方などさまざまな要素で異なります。
例えば、
優先順位に基づく施策をどう進めるかについて、期間を区切って検討します。1週間以内で準備できるものは「短期策」、1カ月程度なら「中期策」、数カ月から数年かかるものは「長期策」です。しかし、優先順位が極めて高いものを長期策とすべきではありません。
ここでは、経営の3つの要素(人・物・金)のパラメータに従って、経営者がその順位を決定します。震災の場合では、「震災直後」「当日」「3日後」「1週間」「1カ月」「長期」という時系列に応じて、各部門が事業継続させるための作業項目、そして、生きながらえるために最低限必要な備蓄や防犯対策、ビルの強化工事といった面を含めて検討することになります。
万一の場合に備えた「緊急組織」「緊急連絡網」が必ず機能し、その体制に適切に移行できるかを普段からチェックしなければなりません。
経営者の意思や万が一に備えた体制も、従業員の意識が希薄では機能しません。いかに会社を存続させ、それが企業関係者の生活を保障するものであることを意識させなければなりません。全社一丸となって、緊急時には団結した行動が重要でることを啓蒙・教育を通じて理解してもらうようにすることが重要です。
コンティンジェンシープランは、このように今すぐ取り組むことができる災害対策です。長期的にはBCPも視野に入れていくことになりますが、日本の大部分を占める中小企業ではそこまで手が回らないのが実態ですので、まずはコンティンジェンシープランから検討されてはいかがでしょうか。
一般社団法人「情報セキュリティ相談センター」事務局長、社団法人コンピュータソフトウェア著作権協会技術顧問、ネット情報セキュリティ研究会相談役、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少(当時)で合格した実績も持つ。
情報セキュリティに関する講演や執筆を精力的にこなし、一般企業へも顧問やコンサルタント(システムエンジニアおよび情報セキュリティ一般など多岐に渡る実践的指導で有名)として活躍中。「個人情報はこうして盗まれる」(KK ベストセラーズ)や「デジタル・フォレンジック辞典」(日科技連出版)など著書多数。
過去の連載記事一覧はこちらから
Copyright © ITmedia, Inc. All Rights Reserved.