東日本大震災から一年、改めてBCPを考える

今日はJSDGの東京ミニ研修会が開催され、参加してきました。今回のテーマはBCPです。東日本大震災から早一年が経ちまして、当時を振り返ると直接的な被害だけではなく、交通や物流の問題、在庫や仕入の問題、電力供給の問題等ビジネス環境に様々な影響をもたらしました。そこで急に注目を浴びたキーワードがBCP(事業継続計画)です。

今回は発表が2つありました。1つ目はBCMS(事業継続マネジメントシステム)についての発表でした。特に複数の拠点を持つ企業の場合、個々の拠点でBCPを策定していたりすると、それはそれで良いのですが、会社全体としては足並みが揃わないということがあり得ます。そこで、BCMSを規格化する動きが出てきているという要旨でした。ちなみにBCPとBCMの関係ですが、BCPは計画、BCMは運用でして、運用のための仕組みがBCMSということになります。ですのでBCPはBCMSにおいて用いられるものということです。災害対策、防災訓練は重要ですが、それ以上にマネジメントが重要なのですね。

尚、ここでいう規格というのは国際標準規格(ISO)のことで、ISO22301という規格がおそらく今年中には正式に発行されるのではないかということです。また、上位に当たるリスクマネジメントの国際規格としてISO31000というものも紹介されました。

2つ目は、東日本大震災発生時に実際にシステムダウンを体験された方の発表でした。震災を機に社内システムをクラウド化する動きも加速しました。しかし、クラウドサービスというのは原則としてどこにサーバが在るかは知らされていません。(中には国内にサーバが在りますと謳っているものもありますが。)特に海外にサーバが在る場合には、サーバが在る国の法律の制約を受けるという説明がありましたが、正直なところ私は余り意識していませんでした。問題になる頻度としては低いけれども影響を想定しておく必要はありそうです。最終的にクラウドサービスを選定し、社内サーバをクラウドに移行するに当たり、震災後検討に3箇月、準備と移行に1箇月かかったそうです。

その後休憩をはさんで意見交換・情報交換が行われました。普段聞くことができない事例をたくさん聞くことができ、大変有意義な研修会となりました。ここには全てを記載しきれませんが、一部ご紹介します。

  • やらなきゃいけないことは分かっている。では、本当にどこまでコストをかけられるのか。最後は経営判断でしかないが、その判断材料は充分に集める必要がある。
  • どこまでリカバリーを想定するかを判断し、その範囲を超える場合の覚悟を決めておかなければいけない。
  • BIA(ビジネスインパクト分析)は通常は起こりえないけど、起こったら大変なこと困ることは何かを考えることから始める。
  • 災害に限らず、原因はどうであれ何らかの理由で事業の一部が行えなくなった時に代わりにどうやるかを考えることが重要。原因型のBCPではなく機能停止型のBCPでないといけない。
  • 東京では地震の時のBCPよりもインフルエンザの時のBCP(社員の大半が出勤できない時の対応)の方が役に立ったそうだ。