ガートナー、BCP策定や見直しにおいて3つのキーポイントを指摘：セキュリティニュースアラート

ガートナージャパンは事業継続計画（BCP）策定や見直しにおいて押さえるべき3つのポイントを発表した。日本企業の約半数は適切なディザスタリカバリー対策を講じられていないという。

[後藤大地，有限会社オングス]

　ガートナージャパン（以下、ガートナー）は2024年3月25日、事業継続計画（BCP）の策定や見直しに不可欠な3つのポイントを発表した。

BCPの策定と見直しに不可欠な3つのポイント

　ガートナーの調査によると、国内企業の約半分がBCPを満たす適正なディザスタリカバリー対策を取っていないことが明らかになったという。企業は複雑なエコシステムの中で高度なテクノロジーに依存しており、BCPの不備が企業にとって重大なリスクをもたらす可能性がある。

　ガートナーは企業がレジリエンスを高めるために次の3つのポイントを押さえてBCPを策定または見直す必要があると指摘している。

1. 事業を優先順位付けし合意を形成する：　BCPまたは事業継続管理（BCM）は企業において発生するさまざまな問題を「事業」という単位で捉え、戦略的な優先順位に従って対処する活動と言える。企業の予算や要員は有限であるため全ての問題に完全な形で備えることは難しく、問題が発生した際も全て同時に対処できるわけではない。危機発生時には事業に対する影響の大きいものから優先的に対処するような姿勢が重要となる
2. 事業の完全停止を回避し、暫定的に継続させるための手順の策定や見直しを実施する：　BCPにおいて取り扱う主なリスクには、IT障害や自然災害、セキュリティ、パンデミック、政情不安などさまざまなものがある。レジリエンスを高めるためには完全な形ではなくとも業務を続け事業を止めないようにすることが重要だ。そのためのコンティンジェンシープランの策定や見直しを実施する必要がある
3. 「できること／できないこと」を整理し、ITに対する過剰な期待や誤解を解消する：　BCPを支えるITにおいては「システム／サービスの継続的提供」「早期リカバリー」「新しいサービス作りと新興テクノロジーの活用」の3つを実現する必要がある。少なくともこの3つが実現できなければIT部門としての責任を大きく問われることになる

　ガートナーの矢野 薫氏（シニアディレクターアナリスト）は「BCPが不十分である、あるいは長期間更新されていない場合は、まずは『業務がわずかに中断しただけでも対外的に大きな影響を与える事業』を洗い出し、優先順位を緊急対策本部の構成メンバーと再確認することが重要だ」とコメントする。

　災害対策そのものや災害対策への感度は企業によって異なる。ガートナーは「2027年までに、ITの広域災害対策を講じない企業や組織の過半数は、都市部の大規模災害において災害時の対策が機能せず、経営に大きな打撃を受ける」と予測する。

　同社はこの他、「2027年までにITに関する非常時の対策を進めた企業や組織の30％は、想定外の事態に対処するための原則を確立し、不測の事態に備える」と仮説を立てた。災害対策への感度が対策の成熟度に関係すると考えられる。