コロナ禍で試される経営力。今だからこそ注目すべき“BCP策定”とその活用ポイント

コロナ禍で試される経営力。今だからこそ注目すべき“BCP策定”とその活用ポイント
Contents

経営者も再認識 BCP策定の重要性

2020年に入ってから海外で始まり日本でも感染が拡大し、未だ収束の見込みが立っていない新型コロナウイルス感染症。感染拡大防止のため、人の移動や出社が制限され、事業活動に影響が出た企業も少なくはないであろう。

企業にとって、リスクとは常に隣り合わせに存在するもので、地震や台風といった自然災害だけでなく、感染症の拡大やサイバーテロなどの緊急事態も想定される。
経営者はこれらのリスクについて、あらかじめ対応策を準備・策定し、事業活動や業績への影響を軽減し、企業価値を維持することが求められる。

そこで、経営層の間でもこのコロナ禍で再認識されているのが、BCP策定の重要性である。BCP(Business Continuity Plan:事業継続計画)は、リスクが発生した際の損害を最小限にし、早期復旧を可能にすることを目的としたものだ。帝国データバンクが2020年5月に実施した調査では、BCPを既に「策定している」と回答した企業は16.6%と低水準ではあったものの、BCPについて「策定意向あり」(「策定している」「現在、策定中」「策定を検討している」の合計)と回答した企業は 52.9%に上り、調査開始以降で最も高い値を示すなど、BCP策定に対する意識が高まっている(図1)。

(図1:「事業継続計画(BCP)の策定状況」と「事業の継続が困難になると想定しているリスク」(帝国データバンク調べ))

リスクはどこからでもやってくる、企業とBCPとの関わり方のポイント

BCP策定において、対象となるリスクは大きく分けて自然災害・外的要因・内的要因の3つに分かれる。
まず自然災害においては、台風、集中豪雨、大雪などの季節的な災害や、発生が予想されている首都直下地震、南海トラフ巨大地震への対応、さらにインフルエンザや新型コロナウイルスなどの感染症への対応が含まれる。外的要因は、防災以外の外部からのリスクに備えるもので、大規模停電、テロ、サイバー攻撃、営業妨害、恐喝のほか、取引先の倒産などによる債権の未回収も含まれる。内的要因によるリスクは、食品会社における食中毒や異物混入、メーカーのリコール、従業員による個人情報の持ち出しをはじめとするコンプライアンス違反などがあげられ、これらは全て経営に大きなダメージを与える要因となり得る。

では、このようなリスクに備えるためのBCPをどのように策定していけば良いのだろうか。
BCPを策定するための手順は、次の通りだ。

① リスクを洗い出し、BCPの対象とするリスクを絞り込む。
② 発生の「可能性×影響度」を計算方法として、各リスクを定量的に評価する。
③ 優先する中核事業(優先継続業務)を選定する。
④ 中核事業が受ける被害内容や影響度を分析し、時系列・組織別に整理して具体的な復旧に向けた動き方を策定する。

以上の4つのステップを踏んで、リスクによる被害や影響が想定内もしくは最小限のものとなるよう対応の方針や計画を立てることが重要だ。

また、BCP策定後は、運用担当者を置き、社内への周知を徹底するとともに、PDCAを継続していくことが重要である。
よくある失敗例では、「BCPの文書量が膨大になりメンテナンスをせずに放置したままになっているケース」や、「人事異動で引き継ぎを徹底していないケース」、「売れ筋商品の変化や工場の再編、組織改編、サプライチェーンや取引先の変更など定期的な見直しができていないケース」、そして「経営者による見直しがなく中核事業や業務の入れ替えなど抜本的な改定ができないケース」などがある。こうなると、いざという時にBCPが機能せず、復旧対応の際の優先順位、代替戦略や目標復旧時間などの認識がないまま、その場しのぎの対応に走ってしまうため企業全体として多大な被害や損失を受ける結果となる。

事業継続に欠かせないITインフラとその重要性の高まり

コロナ禍では事業継続のための対策として、人員の確保が重要視されている。感染拡大を防ぎながら、中核事業を継続していくために、交代勤務や在宅勤務が積極的に導入されている。一方で、企業としては、デジタルトランスフォーメーションへの取り組みが急務となり、情報システムを支えるITインフラの重要性が高まる中、BCPの策定においてもIT環境における対策がひとつの重要なテーマとなっている。

通信インフラやネットワークに甚大な被害が発生した場合には、事業の継続が困難となり、業務やサービス停止に追い込まれる可能性もある。そのため企業には、緊急事態発生時においても安定的な通信環境を確保できるよう、ネットワークの冗長化やデータセンターの分散化などにより事業の早期復旧を実現する対策が求められる。

BCPの一環として、自然災害やサイバーテロなどによりシステムが壊滅的な状況になった場合を想定し、主にシステムの復旧・修復を対象とした対策をDR(Disaster Recovery:災害復旧)と呼ぶ。現在、ほとんどの企業が何かしらのシステムを利用して事業を展開している。そのため、システム復旧の遅れはそのままビジネス機会の損失へと直結し、最悪の場合、企業の存続を左右する事態へと発展する。そうしたリスクを最小限に抑えるためにも、災害対策システム(DRサイト)を構築し、不測の事態に備える対応が必要不可欠といえる。

また、DRサイト構築の重要な指標として、RPO(Recovery Point Objective:目標復旧地点)とRTO(Recovery Time Objective:目標復旧時間)がある。RPOは過去のどの時点までのデータを復旧させるかという目標値であり、RTOは被災時点からどれだけの時間で業務を復旧させるかという目標値である。
RPOとRTO は厳密にするほどインフラに投じる費用が増大してしまうため、操業停止が許される時間的限界やデータ消失の許容期間などからビジネスに与える影響を分析し、それらにデータ容量を加えて、ダウンタイムコストとの兼ね合いを考慮して策定することになる。
自前でDRサイトを構築すると莫大なコストがかかってしまうが、近年はクラウドサービスが普及したことで、低コストで高機能なサイトを構築することが可能になっている。また、外部のデータセンターを活用することで設備投資が抑えられるため、中小企業でも構築に取り組みやすい環境となっている。

日本では近年、多発する自然災害を受けて、こうしたBCPの策定やDRサイトの確保の重要性が認知されてきている。大企業を中心に緊急事態に対するリスク意識が高まり、緊急時におけるサービスの継続・安定運営の実現を目指す取り組みが増加傾向にある。
しかしながら、今回新型コロナウイルスの感染拡大という緊急事態に直面し、BCPを策定していたにもかかわらず対応に課題や困難を感じたり、パンデミック特有のリスクに対応しきれなかったという企業も多いようである。

BCPとIT-BCPを連携し、中核事業でRTO以内の再開を目指す

前述のように、コロナ禍では、BCPをすでに策定済みの企業も、まだ策定していない企業も想定外の事態に直面し対応がうまく進まないということも多いであろう。ここからは、ITサービスを活用する大多数の企業に有効であり中核事業継続のため選択肢としてもつべき、IT環境におけるBCP対策「IT-BCP」について説明したい。

国際ガイドライン「ISO27031」は、IT分野に特化して策定するIT-BCP(ITサービス継続計画)の体系化を目的としたもので、「IT-BCP」ガイドラインとして示されている。このIT-BCPの一番の目的は、RTO(目標復旧時間)以内に、中核事業を再開することだ。災害などで、通信インフラやネットワークに被害を受けIT機能停止が発生したときの影響は、自社の企業活動にとどまらず、取引先を含めた広範なサプライチェーンへの脅威となる。この「ISO27031」では、IT-BCPの多くの事例が示されているため、IT以外のBCP担当者にも大いに役立つガイドラインといえる。

事業全体に向けたBCPとIT-BCPを導入している企業では、BCPとIT-BCPの連携や連動が非常に重要である。例えば、ITシステムだけが復旧しても、活動できる人員がいなければ事業を再開できないことや、人的な確保を進めてもITシステムがダウンしたままでは仕事にならないというようなことが起こりがちである。

このような事態を招かないためには、IT-BCPが事業全体のBCPと相互に最適なレベルで連携・連動するように策定することが重要である。例えば、「IT部門は、中核事業に関わるシステムをRTO以内で復旧させ、利用側はITシステムの復旧に合わせて業務を再開できるよう準備を進める」というような緻密で的確な連携プレーが実現できて初めてRTOの達成につながるのである。そのためには、業務に関わる全部署の担当者や従業員のひとりひとりが普段から高いレベルの危機意識を持ち、いつリスク発生に直面しても冷静にプランを遂行できるような体制を整えておくことも重要である。

(図2:BCPとIT-BCP相互連携のイメージ)

迅速なテレワークシステムの導入を可能とするクラウド活用

ここまで、業務継続のためには、リスク発生後のITシステムの復旧や対応が大きな課題であることについて述べてきた。特に、今回のコロナ禍で課題として浮き彫りになったのが、テレワーク環境の整備である。感染症拡大に収束の目処がたたず、影響が長期化する可能性も考えられる中、人の移動や出社が制限され、企業活動にも大きな影響が生じている。そして、出社制限の要請に対応する形で在宅勤務を導入する企業が増加した一方で、十分な準備期間がなく、在宅勤務の実施に必要なツールやシステムの導入が進まなかったという企業も少なくない。在宅勤務を導入したにもかかわらず、ネットワークへの接続人数が想定を超えてしまったために遅延が発生したり、対応端末の調達が間に合わず、在宅勤務への移行に手間取ったりするケースも見られた。

そうした中、日頃から定期的にテレワーク勤務の訓練を実施してきた企業や、いち早くクラウド化を実現し、オフィス外からでも社内ネットワークにアクセスできる手段を整備していた企業、またWeb会議システムの導入などで、社内外のコミュニケーションを円滑にする仕組みを確立していた企業では、今回のコロナ禍においてもスムーズに在宅勤務へ移行できたという話も聞く。

一からシステムを導入するとなると、システム構築完了までに数カ月程度かかることもある。ましてや、サーバやネットワーク機器を全てオンプレミスで用意するとなると、想定外の緊急事態が発生した場合には間に合わない。
そこで、今回のように急ピッチでシステム導入を進めなければならない場合には、クラウドサービスの活用が大きな効果を発揮する。従来はオンプレミス上に用意していたサーバやネットワーク機器などのリソースをクラウド上で準備することで、導入までの期間を数日~数週間程度にまで大幅に短縮でき、さらにオンプレミスよりもはるかに低コストでテレワークシステムを構築することが可能である。

(図3:BCP対策にクラウドを導入するメリット)

クラウド環境のセキュリティを懸念する声もあるが、多くの企業からデータが集まるクラウド環境は、セキュリティ対策の専門家や強固なファシリティにより守られた空間であり、常に最新の対策を幾重にも行い運営されている。また、社外秘情報を取り扱うデータベースサーバは堅牢なデータセンター内に配置し、比較的オープンな情報を取り扱うWebサーバをクラウドに配置するといったハイブリッド型のシステムも有効になるだろう。一定のセキュリティを担保しながら、オンプレミスのシステムよりも比較的早く、かつコストを抑えながらシステムを構築することが可能となる。

今回は、新型コロナウイルス感染拡大により、にわかに脚光を浴びたBCPについて紹介した。コロナ禍における事業継続に加え、毎年のように襲ってくる大型台風や巨大地震など、ますます増大するリスクに備え、BCPを準備し、見直すことが非常に重要である。

◎製品名、会社名等は、各社の商標または登録商標です。

関連サービスのご紹介

著者画像

著者 OPTAGE for Business コラム編集部

ビジネスを成功に導くICTのお役立ち情報や、話題のビジネストレンドをご紹介しています。

SNSシェア