忘れてはならない、災害対策をインシデント対策

 

事業活動できなくなる致命的なケースもある災害時の対策の重要性

 

 

災害には、自然災害の地震風水害、雷害などのほかに、火災、大規模なシステム障害、

 

テロなどの人為的な災害のサイバー攻撃も含まれます。

 

一度災害が発生すれば、業務に大きな支障が生じるだけではなく、その内容によっては事業活

 

動そのものを行うことができなくなる致命的なこともあります。

 

そこで、大規模災害では情報システムも被害を受け、復旧が困難になったケースも多くあるた

 

め、災害対策は、企業などの状況を踏まえて検討する必要があります。

 

日本国内では災害対策として、東日本大震災、阪神淡路大震災を取り上げて、どのような対策

 

を講じる必要があるのかが論じられることが多くあります。

 

また、タイの洪水や米国の海外では、ハリケーン、竜巻といった日本の自然災害とは異なるも

 

あるので、グローバル企業の場合には、海外に子会社なとゞをもつ背景から多様な視点から災

 

害を捉えることが必要です。

 

近年、問題になっているのが、大規模なシステム障害やサイバー攻撃による災害です。

 

例えば、2016年1月～2月に発生したサイバー攻撃によって中央省庁のホームページが閲覧で

 

きない状況になってしまったり、航空機の出発が遅延したりしたケースもシステム障害によっ

 

て発生しています。

 

 

 

大規模な災害が発生したときに必要な事業継続計画と事業継続管理

 

 

大規模な災害が発生した時には、通常の体制では対応が困難なため、全社的な対応が必要にな

 

ります。

 

そのため、通常の業務マニュアルではなく、事業継続計画(BusinessContinuityPlan:BCP)

 

を策定する必要があります。

 

経済産業省の「事業継続計画策定ガイドライン」によれば、事業継続計画を「潜在的損失によ

 

るインパクトの認識を行い実行可能な継続戦略の策定と実施、事故発生時の事業継続を確実に

 

する継続計画。事故発生時に備えて開発、編成、維持されている手順及び情報を文書化した事

 

業継続の成果物」と定義しています。

 

また、事業継続計画は災害などの発生時、事業に悪影響や事業に与える影響を最小化し、事業

 

の中断を防ぐための考え方を定めたものなので、これに基づいた管理を実施しなければなりま

 

せん。

 

この管理は、事業継続管理(BusinessContinuityManagement:BCM)と呼ばれています。

 

つまり、BCPとBCMをあわせて考える必要があるのです。

 

事業継続計画を策定するために、経済産業省の「事業継続計画策定ガイドライン」を参考にで

 

きます。

 

同ガイドラインでは、災害などが発生し、それに基づいてBCP(事業継続計画）の緊急事態が発

 

生した場合に、最初に行うべきことの発動(BCP発動フェーズ)、業務再開時の業務の再開（業

 

務再開フェーズ)、臨時体制の中で業務拡大がどこまで可能であるか経営として意思決定を行う

 

応急対策(業務回復フェーズ)、現状の正確な把握・分析と慎重な判断が求められる本格的対策

 

（全面復旧フェーズ）という流れに沿って、実施すべき事項を示しています。

 

このように時系列で災害対策を考えることが重要です。

 

BCP（事業継続計画）を策定しただけでは、実際に業務継続を脅かす事態が発生したときに想

 

定したとおりに対応できるかわかりません。

 

 

訓練を繰り返し行うことで、BCMを企業活動に定着化させよう

 

 

そのため、BCM(事業継続管理）では、訓練が不可欠です。

 

企業によっては、頻繁に訓練を実施しているところがありますが、発生の確率は低くても、

 

損失や社会的な影響の大きい災害が発生したときに適切かつ迅速に対応するためには、

 

定着化を図ることです、常日ごろから訓練を実施しすることが不可欠です。

 

また、全社的な訓練を頻繁に行なうことが不可能な場合には、例えば防災の日に合わせてBCM

 

の訓練を実施するといったように維持していくことが必要です。

 

なお、上記の訓練を毎年同じシナリオでを繰り返し実施すると、訓練が形骸化し、真剣味が薄

 

れてしまいます。

 

そこで、シナリオを変更して、様々な対応ができるようにしておくとよいです。

 

例えば、地震、火災、水害などが発生した時の事業所の移転も1つの方法です、さらに、訓練

 

での「気づき」の結果は、必ずBCP(事業継続計画）の見直しにつなげる必要があります。

 

そして、連絡がうまくいかない場合には連絡方法の見直し、意思決定が上手くいかない時には

 

責任者に報告する情報内容を見直したりするなどです。

 

情報セキュリティに関係する事業継続計画のIT-BCP(ITに関する事業継続計画）を中心に話を

 

してきましたが、そもそも事業継続計画では、いわゆるヒト・モノ・情報・カネなどの社内経

 

営資源はもちろん、仕入・外注・インフラなどの社外経営資源がなければビジネスは成立しな

 

いため、総合的にリスクを考えることが必要です。

 

そして、可用性が阻害されるのは大規模なシステム障害やサイバー攻撃です。

 

例えば、必要に応じて手作業をおこなって、伝票を作成したり、計算を行なったりするなど、

 

臨機応変な対応をとることです。

 

また、ITに関係する災害に該当する、大規模なシステム障害やサイバー攻撃の場合には、

 

それらは販売業務、調達業務、生産業務、物流業務などの業務遂行に大きな影響を及ぼしま

 

す。

 

そのため、ITの復旧対策だけではなく、販売業務、調達業務など各種業務の緊急対応や本格的

 

な復旧などを考えることが必要です。

 

つまり、事業継続計画および事業継続管理の対象となるリスクには、特定のリスクだけを考え

 

て対応策を講じるのではなく、守るべき事業にとって望ましくない事象は全て対象となります

 

ので、テロによる人為的な事故、重要な取引先の倒産、自社を原因とする不祥事など、「あり

 

とあらゆるリスク」、すなわち、関連するリスクに備える必要があります。

 

 

 

まとめ

 

 

防災対策は、被害のきっかけである災害に対して事前の準備を行う「原因事象」型の

 

対策を行います。

 

一方、BCPの場合は、前述のとおり多種多様な潜在的リスクに対応しなければならないため、

 

原因に対して準備を行うことは困難です。

 

そのためBCPの場合は、原因を特定するのではなく、「あらゆるリスク」が発生した結果生じ

 

る被害について、「結果事象」型の事前対策を行うことになるのです。