三菱総研 調査結果 災害時に有効な事業継続計画を持つ企業は約2割
こんにちは、丸山満彦です。三菱総合研究所とエヌ・ティ・ティ・建築総合研究所が、大手企業を対象として「事業継続計画(BCP: Business Continuity Plan)とITシステムの防災に関するアンケート調査」を実施したようですね。事業継続計画を持っている企業は約2割ということのようです。
■三菱総合研究所 2005.08.01
・災害時に有効な事業継続計画を持つ企業は約2割
事業継続計画ですが、策定する際のポイントとして、計画の目的を明確にする必要がありますね。その際に範囲は重要ですね。
一番大きな範囲でいうと、
① 企業体全体の存続に影響を及ぼすような危機が発生した時の全社的あるいは中核的機能の中止
からの復旧となります。例えば、東京地域が企業体の活動の大部分を占めている組織で、首都直下型地震が発生した場合の事業復旧計画というのが①にあたります。また、中国の工場で大部分を製品を生産している企業の場合、中国の工場がなんらかの理由で製品を出荷できなくなった場合(労働者の大量離職、中国当局による操業停止命令など)の対応も①にあたりますね。
カリスマ社長の死とか、特定の技術者の退職も、①かもしれませんね(ベンチャー企業の有価証券報告書のリスク情報の開示では時々みかけます)。
次に、
② 企業体の一部の重要な機能が停止する場合も考えられます。直ちに企業が消滅してしまう危機ではないが、ある程度の期間内にその機能が復旧しなければ、企業体の存続に影響が及ぶ場合ですね。
例えば、外資系企業で、アジアパシフィックの本社機能を東京においている場合で、首都直下型地震が発生した場合の事業復旧計画とうのは、②にあたる場合があるでしょう。3ヶ月ほどその機能がはたされていなくてもなんとか企業の存続が可能な場合です。
依存度合いが高い商品が急速に陳腐化して売れなくなる場合も②かもしれませんね。
①②を比較するとわかると思うのですが、例えば、同じ首都直下型地震が発生しても、おのずと事業継続計画策定の考え方は変わってくることになります。
②の場合ですと、海外の拠点に余裕を持たせておき、従業員を安全な海外に避難させ、当面は海外拠点で代替機能を果たすという方針がもっとも合理的かもしれません。
また、このような事業継続計画を策定する場合、企業体の外部からの影響と外部への影響も合わせて考えておく必要があります。
事業継続計画というくらいですから、電力がとまった場合、水が止まった場合のみならず、取引先が倒産して材料が届かない場合、そして、お客さんが商品を買ってくれなくなった場合(お客さん自体がいなくなっているかも知れませんから・・・)も想定して、事業継続計画を立案しなければなりませんね。
首都直下型地震に話を絞ると、一番重要なことは「人が生き残ること」だと思うんですね。自分の企業だけでなく、仕入先、取引先の従業員が生き残ること、それらの企業が生き残ること・・・それが、一番重要なポイントなのかもしれませんね。
次に、事業継続計画といいながら、実は「災害時の情報システム復旧計画」に過ぎない場合もあります。この違いは明確にしておかなくてはなりませんね。情報システムは事業のための手段ですから、事業継続計画のもとに情報システム復旧計画があるべきですね。
それと、事業継続計画というのは、防災対策だけではないですね。企業活動に重大な影響を及ぼす機能を識別し、その機能を発揮するプロセスの中の脆弱な点(例えばシングルポイン)トを見つけていくことが重要ですね。
======
なお、調査報告書の概要によると・・・
======
「事業継続計画を策定している」と回答した企業を業種別にみると、金融業では62.2%と6割を超えるものの、製造業では19.2%、商業では13.2%といずれも2割に満たない状況です。
======
と、金融業は昔から取り組んでいますので策定率が高いですね。社会インフラを担う企業は社会的な責任として、取り組むべきなのでしょうね。
======
業務再開目標時間については、放送、通信、金融の一部で1~6時間と非常に短期に設定している企業がある一方で、製造業や商業には1ヶ月以上と比較的長期に設定している企業もあります。
======
これは、違っていて当然です。社会的要請、資金力等が企業等により異なりますので、同じであればおかしいです。
======
「業務再開目標時間を定めていない理由」として「社会インフラの復旧状況に依存するため」が62.1%で1位にあげられています。インフラ企業及び公共機関の事業継続計画策定内容に関する情報公開が進めば、状況の改善に結びつく可能性があります。
======
社会インフラの復旧状況に依存するのですが、社会インフラが業務再開目標時間を定めてもその通りになるとは限らないので、注意が必要ですね。地震の場合は、電力・電話、道路、水、鉄道、ガスの順番で社会インフラが復旧すると思われますが、同じ災害でも地域格差があるし、社会的な優先順位もあるでしょう。それぞれの社会インフラが復旧してからの業務再開目標時間の設定はできるしょうね。
======
・ 45.3%の企業が「同一拠点内で、全部あるいは一部のシステムを二重化している」ものの、「異なる拠点にまたがって、システムを二重化している」企業は2割以下(18.5%)であり、コストがかかる対策が困難なことを示しています。
・ サーバーラックの耐震補強や非常用電源の確保などの対策は6割(64.6%)を超え、情報システムの基本的な災害対策は進んでいます。
・ 反面、情報システムの機能維持に不可欠なサーバールームの空調の非常用電源を確保しているのは全体で4割以下(34.6%)と、実施率が低くなっています。
======
阪神・淡路大震災やその後の新潟地震の時にあきらかになったように、震度6を境に建物への被害状況は圧倒的にかわってきます。サーバは地震で倒れなかったし、建物も大丈夫・・・電源もなんとか確保できた・・・でも、周辺地域が火災で、電算機センターに近づけません。という状況も考えられますし、周りのみんなが路頭に迷っているなかで、目の前の人を置き去りにしてコンピュータを守りにいくというのも人間の行動としてはどうかと思いますよね。そういうことも考えて対策を考えないとだめなんでしょうね。
それと、事業のほとんどをITに依存している企業は、システムの2重化又は分散化というのは考えるべきでしょうね。クリティカルなシングルポイントが脆弱であるというのは、企業として脆弱であることです。心臓や脳を守る甲冑・鎧をつけずに戦争にいくようなものですね。
======
自社管理のサーバーについて「システム復旧を、訓練で実際に行ったことがある」企業は25.2%に過ぎず、実効性に疑問が残ります。
======
大手金融機関を除いて、あまりやられていないと思いますね。訓練を繰り返していないと、実効性はないと思っていいと思います。(と、人の会社のことを言ってられないのですが・・・)
ということで、普段からシステム障害が多い企業のほうが、災害時に強かったりするんです。
====
まぁ、地震、テロといった防災だけでなく、事業継続に幅広く深く影響を及ぼすリスク要因を洗い出して、対策を考え、訓練することが重要ですね。
もっともあきらめて「倒産する」というのも一つの選択肢かもしれませんが・・・。ただし、上場企業の場合は、そのことをリスク情報として開示してもらわないといけませんね。
このブログの中の意見は私見であり、所属・関係する組織の意見ではないことをご了承ください。
Comments