転ばぬ先の杖――内部統制とともに重要なBCP：わが社のビジネス継続性を確立する！（1/2 ページ）

今や多様なサービスが社会インフラを支えている時代となった。システムのトラブルが及ぼす影響範囲は非常に大きなものとなり、社会的に大きな問題を引き起こすケースも少なくない。金融機関や交通機関、通信事業者などは言うに及ばず、物流業界などでもシステムを含めた「信頼感」「安心感」が強く社会から求められている。

[岡田靖，ITmedia]

このコンテンツは、オンライン・ムック「わが社のビジネス継続性を確立する！」のコンテンツです。関連する記事はこちらでご覧になれます。

　企業ビジネスにおける「信頼感」「安心感」を高めるにはさまざまな取り組みがあるが、とりわけ重要なのが、内部統制とBCP（Business Continuity Plan：事業継続計画）の2つである。日本では、いわゆる日本版SOX法のおかげで内部統制には注目が集まっているものの、残念なことにBCPについての認識は（災害大国であるにもかかわらず）薄いと言わざるを得ない。BCPの有無が企業活動にどのような影響を与えるのかを検討してみた。

企業には「信頼感」「安心感」が欠かせない

　――突如、大都市を襲う大地震。幸いにしてビルそのものは無事だったが、オフィスには書類やPCが床に落ちて散乱し、仕事どころではなくなる。サーバー室では固定が甘かった一部の機器がラックから抜け落ち、あるいはラックごと倒れ、システム全体がストップ。さらには広い範囲で停電や通信インフラの障害が発生し、被害を受けていない他地域の拠点でも業務に支障が出る。大急ぎでシステム管理要員を招集したが、自宅が被災したり本人が負傷していて動けないか、交通網の遮断ですぐには駆け付けられないスタッフも多い。それどころか、全く連絡が取れず安否さえ不明という社員もいて心配だ。ようやく少しずつ人員が集まってきても、停電や断水で空調が止まったオフィスビルの中、まずは室内の片付けに追われる。電力が復旧しても、システム障害部位の特定に時間がかかり、作業は遅々として進まない。どうにかデータベースサーバを立ち上げてみたら、データの一部が破損していて使い物にならない状態だった。地震発生から3日目には社長がサーバー室に現れたものの、その混乱した作業風景を見て何も言えず、不安と怒りと失望が入り混じった複雑な表情で立ち去っていった――。

　まずは、BCPを持たずに大規模災害に直面するという、かなり厳しいケースを想定してみた。もちろん、ここまで後手の対応になっていては、企業の存続も危ぶまれることだろう。

　こうした最悪の事態を避け、損害を軽減するためには、BCPを立案・実施することが効果的だ。例えば上記のような震災に対しては、他の地域に予備のシステムを設置し、データの遠隔バックアップを行って、プライマリサイトがダウンした際には素早く切り替えられるようにしておくなどの対策を用意しておけば、システムの長期停止を避けることができるはず。

　もっと軽微な問題、例えば停電や回線障害については、UPSや自家発電機などの導入、複数事業者からの回線調達など、より低コストの対策が考えられるのは言うまでもない。局所的なソフトウェアやハードウェアに起因するシステム障害についても同様だ。一方、システムへの不正侵入など情報セキュリティ事故が発生してしまった場合はどうだろうか。該当部分のサービス停止、他に被害がないかどうかの確認、進入経路の特定と応急処置、関係各機関への通報・連絡、そして仮復旧しつつ抜本的対策を講じる、といった手順が考えられるだろう。

　このように各種のリスクを想定し、それぞれに対して可能な対策を講じておくというのが、BCPの基本的な考え方である。対策を立案する上で考慮すべきポイントは2つ。「事業遂行能力低下の程度を軽減すること」と、「事業中断や能力低下の期間を短縮すること」だ。