Business Continuity Plan(BCP:事業継続計画)

BCPとは

BCPとは、事業継続計画(Business Continuity Plan)のことです。企業がテロや災害等の予想外の被害を被った場合に備え、業務が継続可能な方策を用意し、計画に落とします。

BCP導入実態の調査結果(JUAS:企業IT動向調査報告書2021)

BCP策定率(BCPを策定している企業の割合)は、17.6%(2021年5月時点)となり、前年(2020年5月)から1.0ポイント増加しています。一方でBCPを策定していない割合は42.5%で3.1ポイント増加しています。
BCP想定リスクとしては、「自然災害」(72.4%)、「感染症」(60.4%)、「設備の故障」(35.8%)、「情報セキュリティ上のリスク」(32.9%)などが上位に位置しています。

BCPは何故必要なのか

BCPが必要とされる理由として、事業活動の変化や情報システムへの依存増大、予測困難なリスクの頻発、地震等自然災害リスク、BCPの取り組みに関する情報開示、従業者との関係等が挙げられます。様々なリスクが顕在化する事態に備え、事前の対策準備、訓練を行い重要な業務を早期に回復させ、事業が長期にわたり滞る事で取引先やお客様に重大な影響を及ぼすことを回避する取り組みが、事業者の責務と考えられているからです。

BCPの策定手順

策定手順は以下の4ステップになります。

  1. ステップ1:ビジネスインパクト分析
  2. ・事業継続、復旧の優先順位付け

    ・ボトルネックの特定

    ・目標復旧時間の設定
     

  3. ステップ2:リスク分析
  4. ステップ3:発動基準の明確化
  5. ステップ4:BCP策定

BCPの導入と教育・訓練

BCPを有効に機能させるためには、組織にBCPを周知徹底し、確実に実行できるようにしておく必要があります。BCPの教育・訓練とテストは、BCPについての知識と理解を深めるために重要なものであり、計画的に実施する必要があります。

  1. 教育・訓練
    BCPの説明会を行い、不測の事態が発生した時の報告・連絡体制、システム障害時に確認すべき事項等を確認します。場合によっては、より具体的な緊急連絡網やシステム障害時の代替・復旧手順を確認します。

  2. テスト
    テストは机上と実際上で行うことで、BCPの有効性検証と対応力の強化に有効です。

  3. 結果の記録、評価
    教育・訓練、テストの結果を記録・保存し、BCPの周知徹底の浸透度評価とBCP の見直しの必要性を検討します。

  4. 経営陣への結果報告

 

教育・訓練によって周知されたBCPは、企業として維持・管理する必要があります。

  1. BCPの管理方法と配付
    BCP対象者へBCPの配付や説明会を行います。

  2. 見直し
    BCPは、情報システム変更や新たな脅威に備え、定期的に適切な見直しが必要です。

  3. BCPの監査
  4. 変更・承認手順

BCPにおけるITの位置づけと対策の重要性

近年、災害のみならず情報セキュリティ上のリスク(情報漏洩やコンプライアンス違反の発生等)を大きなリスクと捉え、BCPを講じる企業も増加しています。あらかじめ対策を講じた状態であるBCPは、ITの復旧を迅速かつ正確に行える一因となります。

ITのBCP対策におけるクラウド活用のメリット

オンプレミスのシステムでは待機系システムへの切替が大変なばかりか、待機系から本番系への切り戻しができないという悩みも多く聞きます。クラウドのシステム構築ではクラウドサービス提供事業者による災害やリスクへの対策が取られており、サーバー環境においてはその対策を踏まえ、BCPの効果的な対策を立案できます。また、クラウドは地理的制約(どこでも)と時間的制約(いつでも)を基本的に受けないため、特定地域の災害などの影響をクラウドにより回避できることも大きなメリットです。但し、物理回線やネットワーク、運用に必要なPC、プリンター等は物理的な制約を受けるため、クラウドにすれば安心、というような過信は禁物です。

まとめ

近年は情報セキュリティ上のリスクを大きなリスクと捉え、BCPを講じる企業も増加しています。また、疾病(新型コロナウイルス、新型インフルエンザ、デング熱等)によるBCPを対策中の企業が対策中の項目で最も多くなっていることがJUASからの2020年度の調査結果として報告されています。このようなことを踏まえ、BCPは今後一層必要とされることが想定されています。