BCP対策とはなにをどうしておけばよいの？～クラウド活用は有効な対策案のひとつになる～

自治体や企業が活動をするうえで、さまざまなリスク対策はかかせません。非常事態が発生し、被害を受けたときにも、主力となる事業が継続できることや、いち早く復旧することを平時から考えておく必要があります。特に、自治体においては、市民の安全確保やライフラインの確保など、早急な対応と復旧方法の計画をたて、その内容をつねに更新していくことが重要です。それがBCP対策です。多くの自治体や企業が取り組んでいるBCP対策ですが、今回は具体的にどのような手順で対策をたてておけば最善策となるのか、またBCP対策が有事の際に機能するにはどのような環境を構築しておくべきなのかについても考えていきましょう。

BCP対策とは

事業を行ううえでは、さまざまなリスクが存在しています。リスクを回避しながら、事業を継続させ、社会的意義をまっとうしていくことは企業の使命でもあります。また、自治体においては、市民が日々の生活を安全かつ快適に過ごせるように対応し、被害が発生した際には、いち早く対応することが大きな役割です。

そのための対策は、つねづね必要なものです。ここではBCP対策について、それがどういったものであるのかを確認していきましょう。

BCP対策の概要と目的

中小企業庁が示しているBCP（事業継続計画）とは、企業が自然災害や大火災、テロ攻撃などの緊急事態に遭遇した際、事業資産の損害を最小限にとどめつつ、中核となる事業の継続や早期復旧を可能にするために、平時に行うべき活動や緊急時における事業継続のための方法、手段などを決めておく計画のことです。

つまり、 BCPの目的は自治体においても、企業においても組織が有する「人的資源、施設や設備といったインフラ、資金、情報やデータといった資源、体制など」を守り、緊急時における被害を最小限にとどめ、いち早く復旧することで事業を継続させ、その組織の役割を果たせる体制を継続的に維持する ことだといえます。

BCP対策の対象となる非常事態とは

ではBCPで対象となる非常事態がどのようなものかを確認していきましょう。

自然災害、感染症の流行

世界的にみても、阪神淡路大震災、東日本大震災クラスの巨大地震に見舞われる可能性の高い地域にある日本においては、 地震は特に対策を講じておくべき非常事態 です。それに加え、 最近では、台風、集中豪雨、落雷などの自然現象による災害や、2020年から世界をパンデミックに陥れた新型コロナウイルスによる感染拡大といった状況 もBCPで対策を講じておく対象です。

事故・人為的災害

設備の大規模事故や組織内の従業員・職員が巻き込まれるような事故や、悪意を持って攻撃をしかけるようなテロ行為による非常事態もBCP対策の対象です。

サイバー攻撃

日常的といっていいほど、企業活動をするうえではサイバー攻撃の恐怖に晒されます。それによってシステムが破壊される、情報が盗まれるなどの被害が発生することがあります。こうした攻撃による非常事態もBCP対策に盛り込むべきことです。

防災との違い

BCPの重要性をより明らかにするためにも、防災との違いを確認しておきましょう。

前文で述べた通り、 BCP対策において、自然災害への対策は非常に重要です。BCPは、突然発生する自然災害に瞬時に対応できるよう平時での防災が深く関わってきます。

防災においては「人命の安全を確保する」「物的被害の軽減を図る」「拠点レベルでの対策・対応」「安全関連部門・施設部門の取組」と考えられてきました。

つまり、 防災は命や財産を被害から守るための対策であり、その取組は役割を担う担当部署に任されることが一般的 であったのです。

一方、 BCPは、防災の考え方に加えて、事業やその組織が担う役割を継続できるような備えをしておくところまでを含みます。 そのため、その組織における重要業務を選択し、被災しないための環境構築はもちろんのこと、被災した際にはいち早く復旧させ、事業や役割を果たせる体制を計画します。こうした計画は拠点レベルに留まらず、サプライチェーンでの対策・対応、経営ならびにステークホルダーにおよぼす影響までを考慮したものでなくてはなりません。

つまり 防災とBCPの違いの大きなところは視点の違い ということなのですが、それぞれが別に対策を講じるのではなく、 どちらの視点も重視しながら総合的に取り組むことが重要 です。

BCPを策定するだけでは不十分。BCMの重要性

BCPは非常事態を想定して、それに備えた体制を整えておき、非常事態が発生しても事業を継続できる可能性を高め、さらに被災した場合にはいち早く復旧するための計画です。

しかし、 事前に非常事態を想定して計画をたてるだけでは、具体的な行動をとることは難しいのが現実 です。いいかえれば平時に考えただけでは動けないということです。

実際にBCPを実現して、できる限り被害、損害を小さくするためには、マネジメントが必要です。

BCMとは

BCMというのはBusiness Continuity Management の略で、事業継続に取り組むうえで、計画の策定、導入、さらに手順、施設、リソース、コミュニケーションなどを含めたそれらの運用、見直しを継続的・包括的・総合的に実行することを指します。つまり事業継続のための総合的なマネジメントです。

BCMとBCPはつねに継続的に取り組むことが重要

現在の企業活動や自治体の活動はさまざまな組織との分業や連携で成り立っています。そのため、自社や特定の自治体組織だけでは事業継続が難しい環境です。どこかで突然、非常事態が発生すると、多くの事業に影響をおよぼし、非常事態が発生していないところで事業が中断することも考えられます。

こうした事態を回避するためには、 自社や自治体がBCPを策定するだけでなく、サプライチェーンにおけるBCP対策や実効性を高めるための運用を求めていく必要 があります。

また、自社や自治体においても、全体的な計画とその運用について両方の視点で継続的な取組をすることが重要なのです。

BCMを踏まえたBCP策定の手順

BCP策定の具体的な手順を考えておきましょう。

基本方針を決める

自治体における主要な業務や所有データ資産、企業にとっての重要な事項を明確にします。自治体や企業が果たすべき役割や社内外のステークホルダーとの関係も含め、決めます。

事業への影響度を分析する

BCPの対象とする事業を選定します。特に重要な事業やサービスを優先させなくてはなりません。そのため、事業が停止した場合の影響を時系列に定量的に評価をします。具体的には、利益、売上、マーケットシェアへの影響、資金繰りへの影響、顧客や取引先との関係維持への影響、従業員や職員の雇用・福祉への影響、社会的信用への影響などを分析します。

リスクを分析し、評価する

どのようなリスクが起こりえるのかを洗い出し、そのリスクが発生することによって、どのような被害が想定されるのかを分析します。たとえば、調達先、インフラ、ライフライン、顧客への被害などを検討します。

緊急事態が発生したときの体制と役割を決める

事業を継続するための体制を決めます。関係者の役割、指揮命令系統、権限なども明確にしておきます。

BCPを実行するための教育・訓練

役割や緊急事態への対応が決まったら、実行できるように対応方法やそれに必要な知識、技術などを教育・訓練によって全社・自治体全体をあげて習得します。こうした教育や訓練は定期的に、継続的に行うことが重要です。

ただ、 自治体独自に、あるいは企業内で、上記に示したようにBCMを行いながらBCPを策定するとなると、かなりのコストを想定しておく必要があります。 人的・時間的・資金的なコストをかけて、組織に最適なBCPを策定し、それを運営していく体制を継続的に維持することはかなり大変な作業です。

そうなると、結局、案は出したけれど、実現できていない、という状況にもなりかねません。

有事に機能するBCP対策であるためには、平時からも活用できる環境を見直し、再構築することも必要です。つまり、一気に進めようとするのではなく、 平時にも有効な環境の構築、たとえば、クラウド活用を進めるなど、すぐに対応できるところからはじめることが実効性のあるBCP策定への近道 といえるでしょう。

BCP対策に有効なシステム環境へ

では、BCP対策に有効なシステム環境を構築するにはなにをどのようにしておけばよいのでしょうか。

それを考えるには、上記で示したようにリスクを分析することが重要です。 昨今、注視しておくべきリスクの筆頭はサイバー攻撃と自然災害 でしょう。

自然災害のリスクを考えると、オンプレミスで構築したシステムだけではかなりリスクが高くなります。システムを保有し、データを管理している場所が被災すれば、事業はストップせざるをえません。

クラウド型システムという選択

それぞれのリスクを分析し、それぞれのリスクを複合的に、効率的に回避すること、それがBCPの最大の目的です。

セキュリティを強化しつつ、一元的に管理ができ、さらにどこからでも機能が使えるように環境を構築することが必要です。そのために最適なのがクラウド型システムです。

また、オンプレミス環境とクラウド環境を両立させてうまく活用するハイブリッドクラウドやマルチクラウドの活用を進めておけば、BCP対策としても有効だといえるでしょう。

次のポイントを押さえつつ、どこでも同じような作業が継続できて、組織に適した環境を構築しましょう。

活発なコミュニケーションの確保

クラウド型のコミュニケーションツールを活用し、どこからでもコミュニケーションがとれる環境を整える

安全なデータの保存

セキュリティの高さはもちろんのこと、社屋が被災した際にもどこからでもデータにアクセスができ、活用できる場所としてクラウド型のストレージを用意する

デバイス、場所、時間に左右されない情報共有と情報の活用

クラウド型のストレージ、ソフトウエアなどを用意し、どこからでも、いつでもすぐに必要な情報にアクセスができ、最新の情報が共有できる環境を整える

こうした ポイントを同時に確保できるのがクラウド型のサービス です。それを効果的に活用しましょう。自社、自治体での環境設定については、対応事例があり、専門的な知識のある企業からのアドバイスが最適化の近道です。

ＮＴＴデータ関西では、クラウド環境を構築するためのソリューションを提供しています。

https://www.nttdata-kansai.co.jp/xCooS/

まとめ： クラウド活用でBCP対策を本格的に機能させる

さまざまなリスクに晒されている現在の自治体や企業において、非常事態の発生は想定しておくべき事態です。そのうえで、事業を継続するためにはどうすればよいのか、被害を受けた場合は、平常業務に対してどのような代替案が想定できるのかなど、具体的な計画をたてなくてはなりません。ただし、BCPが策定できたからこれで安心だとはいえません。

つねに組織の現状を見直し、BCPも更新していくこと。そのためにマネジメントを実施しておくことが必要です。組織の価値や社会的意義を見直すことからはじめ、最適な計画とその運用を進めていきましょう。

具体的なシステムの見直しを図り、有事の際に機能できる環境を構築することも重要です。

ＮＴＴデータ関西では１９９５年に発生した阪神淡路大震災をきっかけに、全国の自治体を対象とした防災システム事業に取り組んでいます。 リアルタイムに災害状況の確認ができ、『人命救助を最優先とした、人・組織を動かす状況判断・意思決定支援システム』をコンセプト とした自社開発クラウドシステムEYE-BOUSAI®を提供しており、全国シェアNo1の導入・運用実績を誇ります。

自治体のシステムだけでなく、法人向けのシステムも保有 し、有事の際にはどこからでも 場所を選ぶことなくインターネットを介して利用できる災害に強いクラウド型の総合防災情報システム であり、日々継続的にバージョンアップを実施しています。

そのほか、クラウド型のソリューションを数多く提供しており、組織に最適な環境構築にご活用いただけます。

具体的な内容については以下を参照ください。

https://www.nttdata-kansai.co.jp/eye-bousai/