Webコミュニケーション事業部の安田です。

突然ですがBCP対策をされていますか？私が多くBCP対策の相談をいただいたのは、東日本大震災のあとです。震災から11年が過ぎ、当時よりもITを活用した事業をしている企業が多いと思います。今回はシステム部分のBCP対策のお話をしたいと思います。

BCP(事業継続計画)とは？

BCP(事業継続計画)とは、災害やテロなどの緊急事態が発生したときに、企業が損害を最小限に抑え、事業の継続や復旧を図るための計画です。
システムに関しては、サイバー攻撃やウイルス感染、インフラ障害などで事業が停止してしまう場合も考慮するべきだと思います。

BCPの策定するには？

中小企業でもBCPの策定が必要と言われますが、何をどうすればよいのかわからない方も多いと思います。中小企業庁HP「中小企業BCP策定運用指針」に策定や運用の方法が詳しく示されています。作成にかけられる時間や労力に応じて入門コースから上級コースが準備されていますので、各コースのサンプルや具体例に沿って、自社のBCP策定ができます。また同業他社や同規模の会社が公表しているBCP計画書を参考にするのもいいでしょう。

システムのBCP対策は？

ITシステムに特化したBCP　IT-BCP

デジタル化が進む近年は、ITシステムに特化したIT-BCPの作成も必要になってきています。IT-BCPはBCPと整合性が取れていなければなりません。BCPの中にITシステムについて詳しく策定したIT-BCPがあるイメージです。内閣官房情報セキュリティセンターでは「中央省庁における情報システム運用継続計画ガイドライン」で官公庁を基準としたガイドラインを定めています。これらは一般企業においても基本的な考え方は変わりません。その中でシステムのBCPのほかに、システムや機械の代替機、リモートワークの活用、社内CSIRT（インシデントの原因究明や二次被害防止を目指して行動する組織）の設置などの対策が挙げられています。

最後に

企業規模により必要な対策やかけられるコストや労力も異なってきます。各社に適したBCPを策定することが必要です。
BCPは策定する以上に、常にPlanDoCheckActionを繰り返し改善していくことが重要です。初めから完璧なものはできません。特にIT-BCPは技術の発達により、対策しなければいけないことや対策方法が日々変化していきます。実際にインシデントが起きなくても、定期的に見直していきましょう。