事業継続計画

米国でのハリケーン、カトリーナによる被害が連日、大きく報道されています。米国史上最大に自然災害による被害にということ。犠牲者や被災者の窮状のみならず、経済活動にも多大な影響を与え、その影響も全世界に波及しそうですね、原油高と米国経済へのマイナス要因で。
犠牲者のご冥福をお祈りするとともに、一刻も早い復旧を期待するのみです。

この大きな厄災を情報セキュリティ、ITガバナンスという観点から考えてみます。色々と考えるべき事柄は多いのですが、最近の時流にのるとすれば、事業継続計画(BCP)でしょう。カトリーナの被害で、石油会社等の民間企業の事業活動が停止状態ですが、行政各機関も事実上の活動停止状態に追い込まれているようです。
BCPの役は、ビジネス継続計画でしょうが、あえて事業継続計画というべきかと思います。とうのは、BCPが必要なのは民間企業だけとは限らないからです。医療や水道など、ライフラインに関するものから災害への対応、復旧などの行政活動も当然、事業(行政)活動を継続、もしくは早急に復旧してもらわなければいえｋません(と、私は考えます)。

事業継続計画は、
①　予想される災害の規模と被害予想
②　事業活動に対する影響
③　事業継続計画の対象となる業務の絞込み
④　計画立案
⑤　教育/訓練
などと粗く分類できるかと。

事業継続計画は、大風呂敷を広げるのでなく、実現可能性も考慮すべきでしょう。ですから、③の対象範囲の絞込みは大事なステップでしょうね。優先順位の高い対象業務にリソースを集中させる、そういった選択と集中も必要でしょう。それて、教育訓練。

10年前の阪神淡路大震災の時に、外資系の食品メーカーの社屋が被害にあい、IT関連の設備が大きく損壊しました。しかし、その企業はデータのバックアップを頻繁に行い、情報システムの復旧計画をもち、リハーサルも行っており、代替センターでのシステムの仮復旧に成功しています。

調査では、事業復旧計画を持つ企業は2割程度です。すべての企業に必要だとはおもいませんが、もっと検討されていいですね。それと、民間企業だけでなく、地方/中央の行政機関にも考えて頂きたいです。

事業継続計画を巡る政府内の動き

事業継続ガイドライン

企業における情報セキュリティガバナンスのあり方に関する研究会　報告書