BCPの策定
BCP(事業継続計画)の策定
BCP(Business Continuity Plan:事業継続計画)とは、災害や緊急事態が発生した際に、事業の継続または早期復旧を図るための包括的な計画です。DR計画がITシステムの復旧に焦点を当てるのに対し、BCPはビジネス全体の継続を視野に入れた、より広範な取り組みです。
BCPとDRの違い
| 項目 | BCP(事業継続計画) | DR(災害復旧)計画 |
|---|---|---|
| 対象範囲 | 事業活動全体(人・プロセス・技術・施設) | ITシステムの復旧 |
| 責任者 | 経営層 | IT部門(情シス) |
| 目的 | 事業の継続・早期復旧 | ITインフラ・データの復旧 |
| 含む要素 | 代替オフィス、要員確保、サプライチェーン、顧客対応 | バックアップ、復旧手順、DR環境 |
| 関連規格 | ISO 22301(事業継続マネジメント) | ISO 27031(ICT継続) |
ポイント:ひとり情シスの立場ではDR計画が主な担当範囲ですが、BCPの全体像を理解しておくことで、経営層や他部署との連携がスムーズになります。ITは事業継続の根幹を支える重要な要素であり、BCPの策定にIT担当者の関与は不可欠です。
ビジネスインパクト分析(BIA)
BIA(Business Impact Analysis)は、BCP策定の最初のステップであり、災害発生時に各業務プロセスが停止した場合のビジネスへの影響を定量的・定性的に分析します。
BIAの実施手順
- 重要業務の特定:全社の業務プロセスを洗い出し、停止時の影響が大きい業務を特定
- 影響度の評価:各業務が停止した場合の影響を時間軸で評価(1時間後、半日後、1日後、1週間後)
- MTPD(Maximum Tolerable Period of Disruption)の決定:各業務の最大許容停止時間を経営層と合意
- 必要リソースの特定:各業務の継続に必要な人員、IT システム、設備、外部サービスを洗い出し
- 依存関係の整理:業務間、システム間の依存関係を明確にし、復旧順序に反映
📋 具体例
小売業のBIA結果例:
・受注処理:停止1時間で顧客クレーム発生、1日で受注機会損失。MTPD=4時間
・出荷業務:停止半日で配送遅延、1日で取引先ペナルティ。MTPD=8時間
・経理処理:停止3日でも直接的な影響は限定的。MTPD=1週間
・人事給与:月末締め日以外は停止3日でも影響軽微。MTPD=1週間(ただし締め日前は1日)
リスクアセスメント
BIAで重要業務を特定したら、それらの業務を脅かすリスクを評価します。
| リスク | 発生可能性 | 影響度 | 総合評価 | 対策例 |
|---|---|---|---|---|
| 大規模地震 | 中 | 甚大 | 高 | 耐震対策、遠隔地バックアップ、テレワーク体制 |
| ランサムウェア | 高 | 大 | 高 | オフラインバックアップ、EDR導入、従業員教育 |
| サーバー故障 | 中 | 中 | 中 | 冗長構成、保守契約、予備機確保 |
| パンデミック | 低 | 大 | 中 | テレワーク環境、VPN、クラウド化 |
| 停電(長時間) | 低 | 大 | 中 | UPS、自家発電、クラウド移行 |
代替手段の検討
ITシステムが使えない場合の代替手段を事前に準備しておくことが重要です。
- 基幹システム停止時:手書き伝票+Excelでの暫定処理手順を用意。復旧後の一括入力方法も定めておく
- メール使用不可時:個人携帯電話でのSMS/電話連絡、LINEグループ、外部メールサービス(Gmail等)での代替
- 社内ネットワーク断時:モバイルWi-Fiルーター、テザリング、近隣のコワーキングスペース利用
- オフィス使用不可時:テレワーク、サテライトオフィス、取引先のスペース借用
通信手段の確保
災害時は通常の通信手段が使えなくなる可能性があるため、複数の連絡手段を確保します。
- 第1手段:社用携帯電話(通話・SMS)
- 第2手段:SNS・メッセージアプリ(LINE、Teams、Slack)
- 第3手段:個人携帯電話(事前に連絡先リストを共有)
- 第4手段:災害用伝言ダイヤル(171)、災害用伝言板(web171)
安否確認
従業員の安否確認は、BCPの最初のアクションです。
- 安否確認サービス:セコム安否確認、ANPIC、トヨクモ安否確認サービスなどを導入
- 確認事項:本人の安否、家族の安否、出社の可否、連絡可能な手段
- 回答期限:発災後2時間以内を目標に設定
- 未回答者へのフォロー:上長または同僚が個別に連絡する体制を構築
⚠️ 注意
安否確認システムは「導入して終わり」ではありません。年2回以上の訓練を実施し、全従業員がシステムの使い方を熟知している状態を維持しましょう。また、安否確認システム自体がクラウドベースであることを確認し、自社のサーバーに依存しない構成にしてください。
ひとり情シスの視点:BCPの策定はIT部門だけの仕事ではありませんが、IT担当者がBIAやリスクアセスメントの知見を持っていると、全社的なBCP策定をリードする立場になれます。経営層にBCPの必要性を説く際は、「自社でランサムウェア被害が発生し、1週間業務が停止した場合の損害額」を概算で提示すると、理解を得やすくなります。
✅ 完了済み