見出し画像

事業継続計画の立て方 その2

遠隔地バックアップサービス

以前「事業継続計画の立て方 その1」についてお話ししました。今日はその第2回ということでお話をしていこうと思います。
以前にも「BCPは単なる防災計画ではない」というお話をしました。ただ、防災計画はBCPに含まれるものではあります。
BCPが目指すところは災害(弊社の考えを申し上げますが、HDDがひとつ飛んだというレベルから、大地震まで含まれます)が起こった時にどのように復旧するかの計画を立てて、それによりできる限り早く復旧することです。具体的にBCPの目的を挙げるとするならば、以下の4点が必要となるでしょう。

命と会社の損害を最小限にする

自然災害、システム障害、情報漏えいなどの事故、感染病流行など緊急時における危機的な状況で従業員の命を守ること、また企業の損害を最小限に抑える。

企業の信頼性を高める

緊急時に復旧が早い企業の方が、企業間で取引するときにも安心できる。実際に2016年の熊本地震では、BCP対策をしている企業の復旧が早く、高い評価を得ている例が多い。

資材を安定供給する

地震をはじめとする災害で工場や流通網がダメージを受けることで、自社だけでなく取引先などの関連会社も倒産を引き起こす可能性があるため、安定供給は必須である。

CSR達成による投資家へのアピール

BCPは、食品関連企業であれば食料物資の提供や、ホテルであれば帰宅困難者の受け入れなど、災害時の社会貢献を行う側面も含まれている。非常事態における社会貢献はCSR(corporate social responsibility:企業の社会的責任)活動として広く評価され、顧客だけでなく、投資家にもよい印象を与える。以前にも出した例を引くと、企業バージョンの江頭さんです。

BCP策定の具体的な手順

  1. いわばBCMの憲法である「BCMの基本方針」を策定する

  2. なるべく詳しく事業影響度分析を行う

  3. リスク分析を行い、それに相応の戦略・対策を考案する

  4. 最終的に計画書に落とし込む

まず、BCP策定の第一歩はBCPの基本方針です。
具体的な事項は各社様のご事情により異なってくるとは思うのですが、そもそもBCPとは「Business Continuity Management」の略であることからわかるとおり、従業員を安全に避難させることのみではなく、業務に対してダウンタイムが発生しない、発生したとしても最小限に抑えることが目的となります。
ひとつひとつ見ていきましょう。

BCMを策定していく

BCMの憲法である「BCMの基本方針」を策定するには

  1. なるべく詳しく事業影響度分析を行う

  2. リスク分析を行い、それに相応の戦略・対策を考案する

  3. 最終的に計画書に落とし込む

です。
まず、BCP策定の第一歩はBCPの基本方針です。
具体的な事項は各社様のご事情により異なってくるとは思うのですが、そもそもBCPとは「Business Continuity Management」の略であることからわかるとおり、従業員を安全に避難させることのみではなく、業務に対してダウンタイムが発生しない、発生したとしても最小限に抑えることが目的となります。
ひとつひとつ見ていきましょう。

  • 非常時に企業が達成すべき目標や、事業継続の目的を設定する

繰り返すようですが弊社ではHDDがひとつ飛んだというレベルまで災害の一種と考えています。
バックアップの3-2-1ルールというのを以前からお話ししておりますが、これは「まずオリジナル、バックアップは媒体を変えて2つ作り、そのうち1つは遠隔地に置いておく」というものです。ここに弊社が存在する意義があると自負しております。もし本当に何もかもなくなってしまうような大災害が起こったときには、弊社に保存しておりますバックアップをお使いになっていただき、機械は新規でご用意いただければ、あるいは機械の用意はこちらで承ることも可能ですが、少なくとも大災害においてはRTOを早めに復旧させることが可能かと思います。
以前からちょこちょこと申し上げております目標復旧時間とはRTO(Recovery Time Objective)とも言い事業をいつまでに復旧させるかの目安を指す用語です。
始めにBIA(Business Impact Analysis)を作成します。これは日本語に訳すと「ビジネス影響度分析」ということになります。
事業が受ける影響は災害の規模や立地などによって左右されるため、他の会社のBIAを流用することは避けなければいけません(参考にするぐらいのことなら十分あり得ると思いますが)。内陸に立地するのか沿岸部に立地するのか、そういうことによってもBIPは変わってまいります。
一般的には災害の規模や立地になどよってBCPの内容は変わってくるので結構難しい作業ではあるのですが、小さくはHDDがひとつ飛んだという最小レベルの災害から、PCが飛んだ、サーバーが飛んだというもの、火災、大地震、テロといったものまで想定しなくてはなりません
ですので、横軸に災害別にダメージの大きさを、縦軸に影響が出るかも知れないIT資産を取り、表形式で並べたらいいのではないかと思います。ごく簡単に言えば横軸はHDDの寿命、サーバーの故障、大震災ととり、縦軸にはHDD、サーバー、オフィスまるごとというような形で書き出しておき、その交点には復旧させるために必要な日数が来るようにすればいいかと思います。
例えば、HDDがひとつ飛んだという事例ですと、横軸は一番小さい災害であるHDDの寿命を取り、縦軸はHDDを取ることができると思います。そしてその交点には新しいHDDを用意して換装し、バックアップからデータを復旧するために必要な時間を書き込む、というような感じですね。
当たり前ですが、ディザスタリカバリを行うために通常から情報セキュリティの強化やセキュリティの向上を意識し、バックアップも正確なものであることに気をつける必要はあるかと思います。弊社におまかせいただければ、バックアップの管理も致します。ストレージそのものをお預かりして厳重に保管致しますのでご検討下さい。
実際に災害(ディザスター)に相当するものは本当にたくさんあります。HDDの寿命、PCの異常、サーバーの異常、ルーターの異常、停電、火災、台風、大地震、テロ、その他諸々…。
特にテロの事例について、日本人の危機意識が低いことには驚かされることがあります。「日本じゃテロなんて起こらないだろう」というものなのですが、いやいや、あったじゃないですか。オウム真理教が強力な毒ガス「サリン」を生成し東京の地下鉄網にバラ撒いたという事件が。あれからまだ30年も経っていないんですよ?
それはともあれ、表の横軸には従ってできる限りたくさんの災害を想定するべきだと思います。
そして縦軸には情報を扱うための資産が並びますね。HDD1つの寿命ぐらいなら、価格.comで探してリプレースすればいいだけかも知れませんが、同じくHDDの損傷でも例えば地震などでは手配に時間がかかってくることになります。その分、時間がかかってくることになりますね。
なお、弊社では読めなくなった場合に記録媒体からデータを復旧するという業務も行っております。ハードディスク等が飛んでしまって、バックアップが存在しないというような場合にはご依頼いただければデータの復旧ができる可能性もあるかと思いますので、ぜひご依頼いただければと思います。
さて、そうやって災害とその影響をリストアップした上で、次は「何から」守るべきなのかを考えねばなりません。
ザックリと表現すれば、こんな感じになると思います。

  1. 被災状況の確認

  2. 従業員の安否確認

  3. 二次被害の防止

  4. 社員の招集

まず何よりもどのぐらい被災したのか、そして従業員に問題がないかということを確認していただきたいと思います。以前も述べましたが、企業はやっぱり人です。社屋等々にどれぐらいのダメージがあって、そして残存する資産でどのぐらいの仕事が回せるのか、そこをまず確認する必要があるかと思います。
これらを迅速に進めるために普段から「コア業務」と「一時停止しても大丈夫な業務」を分けておくとよいでしょう。2段階ではなく3段階4段階といくつも業務をお持ちの会社様も少なくないと思いますので、どのぐらい被害を受けても大丈夫か、言い換えれば復旧までに少々時間がかかっても問題ないというような業務は何か、そこを普段から意識しておくべきです。
大災害が起こったときには、何をすればよいのかと慌てることは当たり前だと思いますし、そこはやはり平時にマニュアルを用意しておくべきだと思います。あんまり細かく分類するとマニュアルを読むだけで時間が取られてしまいますので。
これもごく簡単な例を出しますと

  • 1日 従業員の安否確認

  • 2日 取引先へ納品の代替生産体制で問題ないかどうか確かめる

  • 3日 代替製品でOKの確約を取り付ける

  • 4日 電力復旧

  • 5日 自社工場での生産体制復旧

というような感じです。とにかくわかりやすいことが最優先ですので、分岐のないフローチャートにしておくとよいのではないかと思います。
というようなわけで今日も結構な文字数になってしまいましたので、今回はここで終わりたいと思います。
というわけで、次回はBCPの目的についてお話ししたいと思います。
よろしくお願いいたします。

この記事が気に入ったらサポートをしてみませんか?