情報システム部門のＢＣＰ

    BCP（事業継続計画）とは、会社が天変地異や津波・高潮等による災害を被ることのほか、パンデミック（pandemic．感染症の世界的流行）に陥った場合も前提に対策を構築し、運用体制を整えることです。

  つまり、天変地異や津波・高潮等に被災、あるいはパンデミックで社員が出社できないといった事態になった時、事業が停滞し、自社のみならず取引先等の経営にも悪影響が及ぶような重要拠点では、どんな状況下にあっても業務が停止しないようにし、自社の状態・都合に起因する悪影響を取引先に波及させないようにすることです。

  突然の地震や火災、停電などが起きた場合や、感染症の流行で出社停止期間が１～２週間続いた場合、対策が講じられていない会社は事業を継続させることができるでしょうか？
  今、災害やパンデミックなどで事業を継続できなくなるであろう企業が増えているようです。多くの企業はビジネスを情報システムに頼っていて、災害によって情報システムが被害を受けてダウンしたり、パンデミックによって情報システム部員が出社できなかったりし、情報システム運用業務を遂行できなくなるからです。

  このような災害やパンデミックによる情報システムの停止＝ビジネスの停止は、事業リスクと考えなければなりません。企業には災害時やパンデミックによる出社停止時にあっても、事業を継続させるための計画「BCP（Business Continuity Plan）」と、その運用と見直しを含めたマネジメントシステム「BCM（Business Continu-
ity Management）」の構築が求められています。

  情報システムの運用において、ディザスタリカバリ（disaster recovery,災害からの回復）としての対策がとられている会社は多いと思いますが、BCP対策となると区々だし、「会社としてのBCPが構築されていないので、情報システムとしてのBCPはまだまだ」とされている会社も多いことと思います。
  しかし、情報システムは会計を始めとしてあらゆる業務処理に密接に組み込まれており、会社として事業継続策を検討するにあたって、別物と位置付けることは不可能だと思います。
  このことは、IT全体統制の一つである「システム管理基準」に事業継続策を織り込んでいることからもお分かり戴けると思います。

  逆に、情報システム単独で考え、実施することは可能です。
  規模の大小を問わず、自社にサーバ室（データセンター）を置いて運用しているなら、自社サーバ室を重要拠点と考えて、会社としてのBCPが策定されていなくても、情報システム単独での業務継続計画を策定することは可能だし、全社のBCPが策定された暁にはその一部を構成するところとなります。


  計画の一つ目は、自社のサーバ室が被災し、機器類が破損、故障するであろうことを前提に考えます。
  先ず、復旧するまでの期間における「利用させる情報システムの縮退」を設定し、取引先や従業員に自社の都合を押し付けなくて済む、必要最小限のApplication systemとそのシステムを搭載したサーバを選定します。
  次に、当該サーバのレプリケーションサーバを構成し、セカンダリ・サーバとします。
  そして、サーバ室（プライマリ・サイト）とともに被災しないであろう地域（遠隔地＆天変地異の発生頻度が低い地域）を選定し、セカンダリ・サーバを設置するセカンダリ・サイトを設けます。プライマリ・サーバとセカンダリ・サーバはリアルタイムで同期させ、いざというときには即座に切替えが可能なネットワークを構築します。
  費用は掛りますが、この対策をとらないで、万一の事態が発生した場合の会社の信頼失墜による損失を考えるなら、十分、投資に値する対策だと思います。

  計画の二つ目として、パンデミックにおける対策もBCPを考える上では欠かせません。

  政府（経済産業省中小企業庁）は、2009年3月、『新型インフルエンザとBCP（事業継続計画）』において、「日本国内で新型インフルエンザが流行した場合、その発症者数は約3200万人になり、最大で約4割の従業員が欠勤する」という予測を発表しています。
  従業員の欠勤による生産性の低下や納期遅れなどで、企業の経営に大きな影響を与える可能性が高くなります。

  このような場合、「○○日間出社に及ばず。」といった指示が全社的に出されることを想定すれば、やはり在宅勤務を可能にすることが前提になると思います。情報システムの運用管理を担当する部員のみならず、事業を継続する上で必要最小限の従業員が自宅に居ながら会社のネットワークにアクセスし、必要な業務が遂行できる仕組みの整備と、誰を対象にするかの選定が必要になります。
  情報システム部にあっては、リモートアクセスの他、部員に感染者が出た場合の、非感染者による業務分担の再割振りも事前に計画し、実行可能な状態にしておかなければなりません。

  わが社では、インターネット接続環境にあれば、SSL-VPNによるリモートアクセス・サービスを既に提供しています。
  残された課題は、
①BCP対策としてリモートアクセス・サービスを利用させる事業部門の社員の選定と、その社員が利用するクライアントPCの設定。
②セカンダリ・サーバ＆セカンダリ・サイトの設置
になります。


  情報システムの対策が整えば、全社的には重要拠点の臨時的非難先となるバックアップ・オフィスの確保と災害への組織体制の整備を行えばBCPは完了です。後は策定したプランのPDCA、即ちマネジメント（BCM）の実施という段階になると思います。

  不況の最中、できるだけ投資は絞りたいところですが、会社への信用、信頼を失墜させないためのBCP対策には、最小限必要な投資を惜しまない考え方が望まれます。


《関連記事》

・クラウドは情報システム部門がある会社に必要か？

・サーバ仮想化統合は優先課題か？／ITリソースの有効活用