緊急時の事業継続に欠かせないBCPを実現するためのポイント

緊急時の事業継続に欠かせないBCPを実現するためのポイント

日本は自然災害の多い国です。それだけでなく、テロやサイバー攻撃によるデータ破壊など、企業を取り巻く環境に数々のリスクが潜んでいます。そのなかで重要なことは、緊急時であっても事業をストップさせることなく継続させていくことです。ここでポイントとなるのがBCP(Business Continuity Plan:事業継続計画)です。今回は、緊急時の事業継続に欠かせないBCPの概要と、実際に実施する際のポイントについて説明します。

緊急時の事業継続を実現するBCPとは?

阪神・淡路大震災、東日本大震災、熊本地震など、数年おきに起こる地震や、毎年夏から秋にかけて日本を襲う台風、大雨など、日本はどこに住んでいても自然災害の被害に遭うリスクがあります。また、インフルエンザ、ノロウイルス、結核といった感染症、企業を標的としたサイバー攻撃など、企業の事業継続を脅かすリスクは多岐にわたっています。

万が一、企業の事業継続を脅かす緊急事態が起きた場合、特に大企業に比べて経営基盤がぜい弱な中小企業は、何も手を打つことができず、そのまま廃業に追い込まれてしまうリスクが少なくありません。こうしたリスクを回避し、事業を継続していくには、事前に対策を講じておく必要があります。その対策がBCP(事業継続計画)です。

BCPの基本的な策定・運用目的は、緊急事態が発生した際にも事業の継続を図ることで、「顧客からの信用」「従業員の雇用」「地域経済の活力」の三つを守ることです。この三つを守るには、取引先や協力会社とともに助け合う意識を強く持たなければなりません。互いに助け合い、大切にしていくことが、結果として自社の事業継続につながっていきます。

BCPを実践しないことで起こるリスクは?

国が設置した地震調査研究推進本部が発表した調査結果によると、地震が起こる切迫度が阪神・淡路大震災の直前と同じ、もしくはそれを上回る活断層が日本には31個あると2020年1月17日に報じられました。また、気象庁のデータによると、2010~2019年の全国(アメダス)の1時間降水量50mm以上の平均年間発生回数は、1976~1985年と比べて、約1.4倍にも増加しているそうです。

さらに、厚生労働省が定期的に発表しているインフルエンザ発生状況を見ると、2017~2018シーズンの患者数は約1,458万人。これは2015~2016シーズンの約991万人を大きく上回っています。

このように、企業の事業継続を脅かすさまざまなリスクが年々増加しています。そのため、いつ事業継続が困難な状態になるかは誰にもわかりません。現時点で何も対策を行っていない企業は、1日でも早く取り組まないと、大きな損害を受けてしまう恐れがあると言えるでしょう。では、実際にBCPを行っていない状況で緊急事態が起きると、どのようなリスクが生じるのでしょうか?

1. 緊急時の事業停止

いまや、業種にかかわらず、業務を行ううえで欠かすことのできないパソコン、サーバー、OA機器などが自然災害やサイバー攻撃により使えなくなります。また、感染症により多くの社員が出社できない状況に陥った場合も業務がストップしてしまい、事業を停止せざるを得なくなります。

2. 早期復旧が困難

自然災害やサイバー攻撃により、パソコンやOA機器が壊れてしまった場合は、修理もしくは買い替えの必要が生じます。それ以上に大きな問題となるのが「データが消失してしまった場合」です。消失してしまった重要なデータすべてを復旧させるのは不可能に近く、仮に復旧できたとしても、多くの時間とコストを要します。このため、事業の早期復旧は難しくなるでしょう。

3. 個人情報や給与情報など機密情報の喪失、漏えい

内部情報を喪失するだけであれば、まだ社内の問題ですみます。しかし、サイバー攻撃により機密情報を搾取されてしまったとなると、金銭的な損害に加えて、企業としての信用を失ってしまうことになります。最悪の場合、事業継続が困難になり、そのまま廃業に追い込まれるケースもあり得ます。

4. 人材の流出、新たな雇用ができない

緊急事態が発生し、早期の復旧が難しくなれば、当然、従業員への給与の支払いもできなくなります。その結果、優秀な人材が流出してしまうかもしれません。復旧の目途が立たない限り、新たな従業員を雇用することもできません。

5. 感染症や伝染病など身体にかかわるリスク

感染症や伝染病、特にインフルエンザは自然災害やサイバー攻撃とは異なり、毎年、多くの被害を生み出しています。インフルエンザによって死に至る可能性は低いものの、最低でも5日は出社できなくなるため、場合によっては業務が大幅に遅れてしまう危険性があります。また、インフルエンザで出社できない従業員の仕事を、他の従業員が残業などで穴埋めすることになれば、その従業員に健康被害が出る二次リスクも高まります。

BCPを実践するための三つのポイント

前節では、BCPを実践しないことで起こりえるさまざまなリスクを見てきました。しかし、ひとくちにBCPといってもやるべきことが多いため、何から手をつければよいかわからず、「何も進んでいない……」というケースが多いのではないでしょうか? そこで、BCPを実践し、事業継続を実現するために特に必要となる三つのポイントを説明します。

1. 自社の中核事業を選定する

BCPを行ううえで最も重要なポイントは、自社の中核となる事業の選定です。どういった緊急事態が起きたかにもよりますが、ほとんどの場合、緊急時に自社のすべての事業を変えることなく継続させるのは不可能です。よって、財務面、顧客関係面、社会的要求面など、さまざまな側面から鑑みたうえで、緊急事態が起きた際にも継続すべき自社の中核事業を選定します。

中核となる事業を決めたら、次はその中核事業を継続するために必要な人、モノ、金、情報といった資源がどれくらい必要であるかを確認します。そのうえで、緊急事態が起きたときに「どのような被害が想定されるのか?」、そして「被害により失った資源の回復、代替となる資源の確保はどうするのか?」を検討しておくようにします。

2. 緊急時に社員がどう動くべきかをルール化する

自然災害が起きた場合、感染症で多くの従業員が出社できなくなった場合など、いざというときに各自がどういった行動を取るべきかを決めておかないと、せっかく策定したBCPも絵に描いた餅になってしまいます。そうならないためには、緊急時の従業員の行動を明確に決めておくことが重要です。

「オフィス在籍時に震災が起きた場合の避難と対応」「多くの従業員が休んだ場合の仕事の割り振り」「外出時や自宅にいるときに緊急事態が発生した場合の連絡手段の確保」など、できるだけ具体的に決めておくことで被害を最小限に食い止めることが可能となります。

3. 平時からデータの分散、緊急時の準備をしておく

中核となる事業を継続するのに欠かせないデータ、書類などは、一カ所にまとめるのではなく、できるだけ分散させて保管するようにします。特にデジタルデータの保管方法には注意をはらう必要があります。データを自社内のサーバーに保管している場合、緊急事態が起きたときにすべてのデータを消失してしまうリスクが増大します。クラウドストレージを活用するなど、安全にデータを保管しておける場所を社外にも確保しておく必要があります。

まとめ:BCPとしてのデータ分散は、できるだけ早めに実施する

中核事業の選定、従業員の行動マニュアル、データの分散。BCPを実践するうえで、特にこの三つの作業が遅れてしまうと、緊急時に重要なデータの喪失、漏えいといったリスクが生じてしまうかもしれません。リスクを回避し、緊急時の事業継続を実現するには、ストレージシステムを活用した、距離に関係なくレプリケーションできる、ゼロデータロスを実現するソリューションが非常に効果的な手法となります。