「障害復旧」から企業のリスク管理としての「事業継続」へ：ディザスタリカバリで強い企業を作る（4/4 ページ）

[JPCERT/CC，ITmedia]

BCPの教育と訓練

　BCPを有効に機能させるためには、BCPを関係者全員に周知徹底させることが重要である。BCPは、定めただけではただのお題目に過ぎない。そこで、その内容を周知させるための説明会を必ず実施する。

　同時に、いざというときに迅速に行動に移れるよう、日常的な予行演習（訓練）が必要である。目安としては、いわゆる防災訓練と同様に、少なくとも1年に1回は実施すべきであろう。

　また訓練において問題点が発見されたならば、今後のBCPの見直しに反映していくため、報告書に記録することを決して忘れてはならない。同時に、報告書は必ず経営層に提出し、説明する。

BCPの維持・管理

　策定したBCPは関係者に配布することになるが、その配布先はあらかじめ規定された部署およびメンバーに限定し、外部に漏れることがないよう厳重に管理しなければならない。その一方で、常に最新版が速やかに取り出せる状態にしておく必要もある。

　保管場所としては、社内だけでなく、担当者の自宅に保管するなどして不測の事態に備えるべきだろう。ただし、自宅など社外に保管する場合の保管方法については、社内での保管方法と食い違いがないように明確に定めておく。

　BCPは、常に最新の業務遂行形態に合う形に更新されなくてはならない。そのためには前述した「訓練」の結果報告を基に定期的な見直しを行うべきだ。また、人事異動やシステム構成の大きな変更などがあった場合にも、必ずBCPを見直すよう徹底する。

　実際にBCPを発動するような「ディザスタ」が発生した場合は、まずは復旧に努めることになるが、事態が収束した時点でその事象を関係各部署で分析し直すべきだ。今後の「ディザスタ」に対する未然防止策や被害軽減策の検討、導入を忘れずに行うことが、その後の改善に有効だ。特にインシデントのような「ディザスタ」の場合は、その原因を調査・分析することで、同様のディザスタの発生を未然に防げるようになることが多い。

　以上、BCPの策定と運用について、簡単に説明した。繰り返しになるが、BCPの策定・運用には経営者層の理解と協力に基づく全社的な取り組みが必要である。この記事を経営者層向けの説明資料として利用してもらえれば幸いである。