ＩＴ－ＢＣＰ

今回はＩＴ版のＢＣＰ（事業継続計画）について、お話します。

昨今は、地震や台風といった大きな自然災害だけでなく、気候変動の影響でゲリラ豪雨や局所的な強風（竜巻のようなもの）といったことでも、事業が止まることが起きます。新型コロナやインフルエンザの大流行といったパンデミックに対する対応も必要になってきています。

上記のような緊急事態が発生したときに、企業が損害を最小限に抑え、事業を継続的に進めることや被害を復旧させるためには、事前にきちんとした計画が必要になります。このような計画を事業継続計画といいます。

少し話が変わりますが、ＩＴツール、ＩＴサービスは業務に欠かせないないものになりました。これが急に利用できなくなるのは、業務に大きな支障をきたすのはいうまでもありません。

上記のような災害だけでなく、最近急増している標的型攻撃といったサイバー攻撃や停電、瞬電、ネットの不通といった通常でも起きうる障害に対しても、対策を立てる必要があります。このようなＩＴならではの障害も考慮した事業継続の対策をたてる計画をＩＴ－ＢＣＰと呼びます。

もちろん、ＩＴ－ＢＣＰは通常のＢＣＰの一部でもあります。まずは、全体のＢＣＰを考え、次にＩＴ－ＢＣＰを考えるといった流れが理想です。とはいえ、ＩＴ－ＢＣＰは通常のＢＣＰに比べると専門性が高いので、策定の難易度が高いようです。そこで、今回はＩＴ－ＢＣＰならではのポイントを考慮しながらお話します。

全体の流れは、現状および課題確認、対策検討、計画策定、運用維持、見直しといった感じです。

まずは現状及び課題確認として、ＩＴ利活用状況、リスクの評価、継続のための課題を洗い出します。

最初のＩＴ利活用状況ですが、業務に利用しているＩＴサービスを単に羅列するのではなく、クラウドなのかオンプレミス（自社内）なのかといった動作条件や購入か月もしくは年契約なのか、サポート企業はどこでどのようなサポートを受けることができるのかといったことも文章化しておく必要があります。

例えば、エクセルでもMicrosoft365で契約している場合に更新をきちんとやっておかないと契約が切れた段階で閲覧や印刷しかできなくなります。その期間がさらに長くなるとクラウド上のデータも削除されてしまうので要注意です。

一般的なクラウドサービスも契約終了でアクセス不可になることはよくあるので、契約形態や更新時期などもＩＴ－ＢＣＰには重要な要素だということを覚えておいてください。

また、どの業務のどの作業に利用していて、代替手段（手書きや口頭連絡等）があるのかないのかといったＩＴツールへの依存度も確認しておく必要があります。

手書きや口頭連絡で済むような比較的項目数の少ないものであればいいですが、マスタから多くの項目を参照して作成するような帳票類だと代替はかなり難しいと思います。

このような分析を事業影響度分析（Business Impact Analysis）略してＢＩＡと呼びます。

災害等でその業務や作業が止まった場合、どのような影響を及ぼすのかをまとめます。また、計画策定のために、中断できる許容時間や復旧までの目標時間、その際の復旧程度、さらにデータの内容も決めていく必要があります。

特にデータの内容はバックアップのレベルによって左右され、頻度が１日単位だと前日分まで、１週間単位だと先週分までは復元できますが、その後は手打ちしてデータをすべて再現するのか、一部のデータをあきらめるのかといったことも検討します。

現状把握だけでもかなり大変だと思いますが、転ばぬ先の杖ですので、しっかり行うことをお勧めします。