BCPの策定にあたって考慮すべきポイントは何か：本当に大丈夫？ 災害危機管理対策

危機に直面した際の「企業経営のあり方」そのものであるBCPの策定は、社会全体から求められているものである。今回はBCPの策定にあたって考慮すべきポイントを解説する。

[水野宏美，ITmedia]

　前回はBCPがどういったものかについて解説した。危機に直面した際の「企業経営のあり方」そのものであるBCPの策定は、社会全体から求められているものである。国内でも徐々にBCPを策定する企業が増えてきたが、目標復旧時間（RTO）が考慮されていないなどBCPとしては不十分なケースも見られる。こうしたことが起こるのは、BCP策定のフローを理解していないこともその一因となっている。今回は、経済産業省が策定した事業継続計画策定ガイドラインを基に、BCPの策定にあたって考慮すべきポイントを解説していこう。

まずは組織作り

　BCPでは、事業の継続にかかわる多くの問題を考慮するため、何らかの形で組織内の人間すべてがこれにかかわることになる。このため、BCPの策定にあたっては全社横断的なタスクフォースを設けてこれを推進するとよい。タスクフォースの設置は、組織として最終的な責任の所在を明確化することにもつながる。これを構成する中心的なメンバーは、情報システムや総務といった部署だけでなく、法務、営業、製造などから広く招集することで、社内の関係部署との連携もスムーズに進めることができる。

　なお、タスクフォースに経営層を加えるべきかどうかは検討の余地がある。BCPの策定は全社的な視点が必要な経営判断と強く結びついているほか、最終的なプロセスで経営層の承認が欠かせないため、ここに入ってもらうことも間違いではないが、むしろタスクフォースの上位組織として経営陣で構成される組織を別途設けたほうがトップのコミットメントを得やすいだろう。

　タスクフォースの設置に加え、タスクフォースで提案された意見の取りまとめを行う責任者を任命することが必要となる。この責任者の役割はBCPの策定で終了するものではない。策定後、組織全体および各部署に対して行う教育、訓練といった定期的な作業もこの責任者が主導して行うことになる。

ビジネスインパクト分析とリスク分析

　BCPの策定に必要な体制が整ったところで、BCP策定のフローを紹介していこう。BCP策定のフローを単純化すると、「ピジネスインパクト分析」「発動基準の明確化」「BCP策定」となる。

ピジネスインパクト分析

　BCPの策定において、ビジネスインパクト分析を行う意図には次のようなものが挙げられる。

1. 継続させるべき事業の優先順位付け
2. リスク分析
3. 目標復旧時間（RTO）の設定

　ビジネスインパクト分析では、企業の存続上、必須の事業、業務、プロセスを特定し、それに関連するリソースを洗い出した上で、それらが事業継続に及ぼす影響を分析する。ここで、取引先への影響以上にブランドイメージに対して甚大な影響があるといったように、スコープの向け方で影響度は異なる。このため、それらを複合的に勘案することで最終的な影響度を導く必要がある。この分析結果から、それぞれの業務やプロセスに復旧の優先順位を付けていく。この優先順位がそのまま事業が停止した際の再開順序となる。

　どのように分析を行うかについては、ビジネスの流れや利害関係者との相互依存関係分析、リスクマネジメントに関連した資料の確認といった作業のほか、関係者にアンケートなどを行うのが一般的である。

• リスク分析

　こうした作業に前後して、組織に存在するリスクの洗い出しと、そのリスクを低減させるための方策を検討するリスク分析も実施しておく。リスク分析では、組織における重要な業務、プロセス、関連するリソースを対象に関係するリスクを洗い出すことから始まる。洗い出されたリスクの脅威と発生の可能性に関して、利用可能なデータをできる限り収集し、BCPの発動にいたる可能性のあるリスクを関係者で検討する必要がある。これにより、組織の事業継続に関わる重要な事態が明らかになる。

• RTOの設定

　前回も簡単に触れたが、RTOは災害などが発生した場合に、事業活動を復旧・再開させるための目標となる時間である。例えば、企業を支えるITシステムの復旧は優先して行われるべきだろう。

　RTOを設定するのと同時に、情報システム部門においては、データの損失をどれだけ許容できるかを示す目標復旧ポイント（Recovery Point objective：RPO）を設定することが望ましい。システム自体は早期復旧したとしても、データが存在しなければただの箱である。バックアップシステムをどのように運用するかを定義しておくことは重要なポイントとなる。

　また、復旧させるべき業務の範囲を拡大させることは、RTOを遅らせることとトレードオフの関係にある。このため、どの業務の復旧を優先させるかという判断は経営判断にほかならない。優先順位が低い業務の事業継続を遅らせる、または業務そのものを中断することで優先順位が高い業務の早期復旧を図るなどの判断は経営へのインパクトを考えて行う必要がある。

発動基準の明確化

　ピジネスインパクト分析がひととおり終わったところで、組織としての対応レベルに従った発動基準を定めていく。これにより、組織として対応するレベルに応じた対応手順が定まっていく。また、各組織は、目標復旧時間を達成するために必要なリソースを準備することも重要である。ここでのリソースには、要員のほかに、バックアップデータの確保や通信手段の確保なども含まれる。

BCP策定

　ビジネスインパクト分析終了後、その結果に応じたBCPを策定する。上記で設定したRTOを達成するために必要な投資を予算化することもこのフェーズで重要なポイントとなる。

　BCPの策定にあたっては、全社的に通用する部分とそうでない部分が存在することに留意する必要がある。大きく分けると、全社的に適用される基本的な対応手順と、部門ごとに対応が異なる個別計画に分けられるが、主従の関係にないか、依存していないかなどを明らかにしてみることで、重複が判明することもある。レビューを行うことで効率化を図ってほしい。

　BCPの策定は、事業継続の優先順位付けやBCPに関連する人間の行動指針を設定・明確化するために時間軸を考慮しながら行うものであることがおぼろげながら理解できたのではないだろうか。各フェーズにおける具体的な項目まで踏み込んでの説明も考慮したが、2つの理由でここでは取り上げない。1つは、想定すべき項目が多岐にわたるため、テンプレートとなるようなものを提供できない、ということ。もう1つは、詳細すぎる計画は実効性を損なう場面が往々にして起こるためだ。実際にBCPが発動される場面においては、BCPを基盤としつつも、臨機応変に対応可能でなければそれこそ机上の論理となるので注意が必要だ。

　BCPの策定で陥りがちなパターンとして、必要以上にビジネスインパクト分析を細かく行ってしまったがために、優先度がうまくつけられないといったことがある。もしBCPの策定に十分なリソースが割けない場合、「一番なくなると困る業務は何か」を考えることから始めてみてはいかがだろう。

　次回は、BCPの各フェーズにおいて考慮すべきポイントについて解説しよう。