BCP対策って何?IT資産を守るために行うべきBCP対策とは
世の中、長期的に成功しようと考えたときには 「いかにリスクを回避できるのか」 ということが重要になっています。 コロナの影響でビジネススタイルが大きく変化してきていますが、その中でも、きちんとリスク対策を出来た企業だけが生き残ることが出来るのでしょう。 そんなビジネスにおいて、昨今 「BCP対策」 という言葉を耳にする機会も増えてきました。 今回は、そんなBCP対策について見ていきましょう。
BCP対策とは
BCP対策とは BCP対策とは、 「Business Continuity Plan」 の略で、事業継続計画という意味になります。 事業の継続を妨げる様々な脅威に対して、自社の中核となる事業をいかに継続するのか・・・ということになります。 例えば、地震や火災などの際に、 ・被害を最小限に抑える ・即座に事業を再開する といった対策を計画しておく事で、事業の継続を容易にするための対策になります。
防災対策との違い
では、このBCP対策とは防災対策とは違うのでしょうか。 防災対策との大きな違いは2点です。 1つ目は、 「人」に重きを置くのか、「事業」に重きを置くのか の違いです。 防災対策は基本的に、災害に対して 「いかに従業員を守れるか」 が重要なポイントになります。 一方で、BCP対策は事業の継続がメインになっているため、目的の違いによって対策が大きく異なってくるのです。 2つ目は、 BCP対策の方が幅広い内容に対しての対策になるという点です。 詳しくは後述しますが、BCP対策は単に災害時だけの対策を考えるものでは有りません。 様々な要因に対してのリスク回避を行うという点で大きな違いがあるのです。
BCP対策の重要性
昨今、BCP対策について注目されている理由はいくつかありますが、大きな理由としては、地震や台風などの災害が日本には多いという点が挙げられます。 その上で、デフレや不況・人材不足などの様々な要素が有り、企業の存続というのがそもそも非常に難しい状況にあります。 そんな状況の中で、「いかに儲けるか」よりも「いかに存続するか」ということに注目が集まっているのでしょう。
BCP対策の種類
では、BCP対策にはどのような種類があるのでしょうか。
自然災害
前述したように、防災対策と混同されがちですが、自然災害に対する対策は、BCP対策の中でも非常に大きなポイントになります。 例えば、地震の影響で自社のサーバーが壊れ、データを引き出せなくなった。 このような状況では、万が一ネットでのビジネスがメインだった場合には、事業の継続が難しくなります。 よく言われる事としては、データセンターを東京・大阪・名古屋に分散させ、定期的にデータのバックアップを取る・・・などです。 東京本社だけしか存在しない企業は、万が一東京で地震が起こった際に、事業そのものが傾く可能性がありますが、大阪にも東京と同等の事業所があれば、少なくとも東京での損失を大阪でカバーすることも不可能ではないでしょう。 この様に、自然災害に対しての対策が必要になります。
外的要因
次に、外的要因です。 外的要因とは、自社の責任ではないものの、自社の事業継続に大きな影響を与えるような出来事です。 例えば、主要取引先の倒産やサイバー攻撃のターゲットになるなどが考えられます。 主要な取引先が一社しかない場合は、その企業が経営難になった場合や、取引先の社長交代、会社の方針の変更などによって、取引が中止されてしまうと、自社も倒産の危機に直面します。 また、サイバー攻撃による個人情報の流出などによって、経営危機に立たされた企業も多いです。 これらの対策を事前に行うことも重要でしょう。
内的要因
内的要因とは、バイトテロや横領・自社の人間の不手際による情報漏えいなどが考えられます。 外的な要因よりも、内的要因の方が、自社の企業イメージにも大きな損失を受ける可能性があります。 同時に、社内でしっかりと教育するなどによって極力リスクを回避できる内容も多いため、しっかりと準備をしておくのが良いでしょう。
BCP対策は具体的にどの様に進めるべき?
BCP対策は具体的にどの様に進めるべき? では、BCP対策は具体的にどの様に進めるのが良いのでしょうか。
自社の中核事業の洗い出し
まずは、自社にとってどの事業が現在中核となっているのかを確認する必要があります。 例えば、10種類の事業展開をしている企業において、その売上の7割をメインの事業が担っている・・・というケースは少なく有りません。 特に、 ・業界的にも大きなシェアを獲得している事業 ・業界全体が上向きの事業 ・利益率が高い/人員が少ない事業 など、様々な点から、自社の中核となる事業を洗い出しましょう。 BCP対策においては、この中核となる事業を優先的に復旧・再開させることを考えるべきでしょう。
各事業の損益分岐点や利益率の把握
次に、各事業においての現在の損益分岐点や利益率の把握をしていきましょう。 考える順番としては 1.まずは中核事業の復旧 2.次に優先度の高いものから順に黒字化 という流れが良いです。 そうなると、利益率が高く、損益分岐点が低い物を優先的に復旧させることで、効率的に事業が回復する可能性が高いでしょう。
リスクの想定
次に、どのようなリスクが考えられるのかを検討します。 前述したように、 ・自然災害 ・外的要因 ・内的要因 に分けて、それぞれに対してどのようなリスクがあるのかを検討していきます。 リスクには、昔は存在しなかった技術によって新しく生まれるものもあります。 例えば、Iotなどがわかりやすいと思います。 最近は、電子機器でもネット上に繋がっているものも多くなってきましたが、便利な反面情報漏洩や遠隔操作の危険性が生まれたと言っても過言ではありません。 この様に、新しい技術や時代の変化によって新しく生まれるリスクというものも存在しますので、幅広くリスクを考える必要があります。
代替案や対策の検討
リスクがわかったら、次にそれが起こってしまった時の対応策を考えます。 このときに重要なのは、二次災害などの複数のリスクが同時に起こった時も想定しておくという事です。 全国に拠点を持っている企業などでは、東京で地震・沖縄で台風が同時に起きる・・・という危険性も0ではありません。 この様に、1つ1つの対応策を用意していても、複数が同時に起こった場合に対処できなければ、BCP対策としては不十分でしょう。
責任部門と責任者の選定
対応策が決まったら、それを実際に実行する上での責任者や責任部門を決めます。 例えば、 ・サーバー関連やシステム全体は情報システムの責任で指示を出したり、対応を行う ・顧客対応は営業部門が責任を持って行う などです。 リスクや対応策を洗い出していても、予期せぬ出来事というのは起こるものです。 その時に、 「誰に指示を仰げば良いのかわからない」 という状況では、事業の復旧が遅くなる危険性が高くなります。 そのため、責任部門や責任者を事前に決めておくのが重要になるのです。
運用ルールの策定
次に、BCP対策の運用ルールを決めます。 責任者を決めて対策法を周知したとしても、実際に緊急事態になった時に、焦りの中では正しい選択ができない可能性もあります。 その時に、きちんとマニュアルを用意していれば、正しい選択ができる可能性が高いです。 そして、そのマニュアルを保管する場所を決めておくなど、ルールをきちんと決めておくことで、誰もが正しい判断が出来る様になるのです。
従業員への周知と教育
次に、従業員への周知と教育を行なっていきます。 避難訓練と同様に、定期的にその手順を訓練するのが良いでしょう。 特に内的要因には、社員への教育によって回避できる内容も多いため、売り上げには直結しないものの、きちんと行う必要があるでしょう。
定期的な見直し
前述したように、技術の変化によってリスクが変わる事と、企業の成長や市場の変化によって中核になる事業が変わってきます。 そのため、定期的にBCP対策を改訂する必要があります。
ITにおけるBCP対策
ITにおけるBCP対策 BCP対策の中でも、ITにおける対策をいくつか紹介します。
データのバックアップ
今や企業におけるデータの立ち位置というのは非常に重要になっています。 極端な話、顧客リストがあるか否かで、ビジネスの復旧は天と地ほどの差が生まれます。 そんな中で、データのバックアップを取るというのが重要になります。 データのバックアップは、複数のサーバーに置いたり、AWSや GCPといったプラットフォームで保管するなど、データ容量や保存期間によって最適な保管方法が変わりますが、 ・セキュリティがしっかりとしている ・バックアップを復元できる速度 ・保管にかかる費用 といった面から最適なシステムを選択しましょう。
データやサーバーの保管場所
システムやデータの保管場所を1箇所に集中してしまうと、もしもその拠点が地震などの被害に遭えば、取り返しのつかない事態になる可能性があります。 しかし、仮に国内外に複数のデータセンターを持っており、数時間単位・数日単位でデータを共有することができれば、そういったリスクは回避することができるでしょう。 データセンター自体をサービスとして提供している企業もありますので、自社内で完結するだけではなく、委託する事も視野に入れると良いでしょう。
セキュリティ
セキュリティ対策もBCP対策において非常に重要です。 特に外的要因に対して有効で、セキュリティソフトのアップデートはもちろんのこと、セキュリティ関連の資格保有者を増やす事や、従業員のITリテラシーを高めることもBCP対策として有効と言えるでしょう。
内部統制・管理権限
内的要因として、社内の人間が間違って社外秘の情報を漏洩してしまったり、違う取引先に対してメールを送ってしまうなどが考えられます。 こういったリスクを回避するためには、きちんと管理権限を決め、誰がどのファイルを閲覧する権限があるのかを明記するのが良いでしょう。 また、データの改竄などの内的要因を避けるためにも、ワークフローなどの導入によって内部統制の強化を行うことも有効でしょう。
ITにおけるリスクヘッジを考えるならAMELAに
ITにおけるリスクヘッジを考えるならAMELAに 今回は、BCP対策について見てきましたが、企業においてITの重要性は年々増しています。 しかし、企業のIT担当者が全員知識があるかと言われれば、そんなことはありません。 IT人材の不足によって、それほどシステムに詳しくない人が担当せざるを得ない・・・という企業も少なからずあります。 そう言った企業ほど、是非AMELAにご相談頂ければと思っています。 AMELAは、IT技術者の派遣からITコンサルティングまで幅広い事業展開を行なっています。 「今のうちの企業では、何がリスクになり得るのか」 といった相談から、実際に導入するシステムの検討まで、親身になって相談に乗ります。