事業継続計画とは?

事業継続計画は、非常事態において、運用状態を継続するのに役立ちます。

ビジネスの運営は、流れに逆らって泳ぐようなものです。動きを止めた途端に押し流されてしまいます。 DC のレポートによれば、インフラストラクチャの障害による平均コストは 1 時間あたり約 10 万ドル、企業全体で予定外のアプリケーション停止時間による総平均コストは 1 年あたり 12 億 5 千万ドルから 25 億ドルに達するとのことです。

ビジネスが動きを止めると、お金を失います。 収益を失うことに加え、中断理由の特定と修正に関連する出費も同様に組織全体の利益に影響を与えます。 さらに、ブランドや評判の低下を招く可能性もあるため、ビジネスの中断がもたらす危険性はより明瞭になっています。 事実、2019 年にビジネスリーダーに対して行われた調査では、83% が、危機の最中に運用を確実に継続することが最優先事項だと答えています。

残念ながら、予想外の事態は発生する可能性があり、実際に発生するものです。 そうなった時のために事業継続計画を用意しておく組織が成功を収めます。

SOAR:セキュリティのオーケストレーション、自動化、応答 (Security Orchestration, Automation, and Response)

事業継続計画の構造

事業継続計画 (BCP) とは、プロトコルの確立手順とサイバー攻撃や自然災害などによるビジネス中断から企業を保護・復元するシステムの作成手順をまとめたものです。 つまり、予想外の事態でビジネスに影響が出た際に、事業継続計画があれば、すべてを通常の状態に戻すのに役立つということです。

そのためには、事業継続計画に以下の内容を含める必要があります。

  • 包括性
    事業継続計画が効果を発揮するには、あらゆる不測の事態に対応できる必要があります。 これは実現が困難かもしれません。予想外の脅威というものは、予測できないからこそそう呼ばれるからです。 大まかなやり方としては、サービス機能の停止、自然災害、サイバー攻撃、人為的エラー、局所的および世界的パンデミックなどへの対応策を計画することになるでしょう。 このようなリスクに対し、潜在的な影響と発生の可能性に応じて優先順位を設定して、計画が適切な領域に対応するようにします。 さらに、メインの計画が失敗した場合に備え、バックアップ計画の作成も検討します。 関係する要因と起こりうる事態を理解し、それに合わせて計画を立てます。 事業継続計画には、危機通信、危機管理、災害復旧、従業員への連絡を含めます。
  • 実用性
    事業継続計画は、それがあるというだけではさほどの意味はありません。必要な場合に、実際に実行可能な計画である必要があります。 計画の作成においては現実的にならなければなりません。また、組織や従業員の能力と、顧客に連絡する必要性と通信チャネルも考慮に入れるようにします。
  • 効率性
    緊急事態においては、複雑さは敵であると言えます。 強いストレスにさらされ、インフラストラクチャが停止している状況では、スタッフがタスクを実行するのが通常よりも困難になります。 計画はできる限り明瞭かつ的確にし、担当者が利用可能なリソースで迅速に行動できるようにします。
  • 適応性
    事業継続計画は包括的にする必要がありますが、 応用の余地を残す必要もあります。 災害は予想外に進展する傾向があり、起こりうるあらゆる状況に対応する計画を立てることはかなり困難です。 スタッフには、非常事態において臨機応変な対応ができるようトレーニングを行います。また、計画は継続的に見直しを行い、瞬時にアプローチを切り替えられるようにします。

 

簡単に言えば、事業継続計画は、現実の状況に効果的に対応し、明確かつ適応性のあるロードマップを組織に提供する必要があります。 このため、BCP にはいくつかの重要なコンポーネントを含める必要があります。

戦略
計画としての側面では、非常事態の発生中にスタッフが標準のタスクを完了できる仕組みに取り組む必要があります。 戦略としては、事業運営の継続を確実にすることを目指す必要があります。

組織
事業継続計画では、非常事態における個別の従業員の責任を割り当てる必要があります。 また、組織図や連絡網に関する問題にも対応する必要があります。

プロセス
この計画では、クリティカルなビジネスおよび IT のプロセスを特定することで、事業の運営を継続させるために最も優先順位の高いプロセスを明確にします。

テクノロジー
事業継続計画では、プロセスに加え、重要なシステム、ネットワーク、テクノロジーにも対応し、データやアプリケーションのバックアップを行い、運用状況や生産性が中断されることがないようにしなればなりません。

ベンダーリスク
事業継続計画では、非常事態が第三者のサプライヤーやベンダーに与える影響と、逆に第三者の非常事態により受ける影響も考慮する必要があります。 さらに、ベンダーの事業継続計画を理解することで、独自の計画を作成する際に、不確定要素の一部を明確化することができます。

事業継続計画が、事業中断を緩和するための段階を踏んだアプローチを提供するもである必要があるように、BCP の作成においても一定の段階を踏むことが有効です。 計画の作成を始める場合、以下のような内容を考慮します。

ビジネスインパクト分析

効果的な BCP 作成に向けた最初のステップは、ビジネスインパクト分析 (BIA) を実行することでしょう。 この分析を行うことで、収入の喪失や遅延、支出の増加、規制違反による罰金、契約上のペナルティや契約上のボーナスの喪失、顧客の不満、新規事業計画の遅延など、災害や非常事態がビジネスに与える潜在的な影響を特定し、評価するのに役立ちます。 この分析により、時間に制約のある機能についてのインサイトが得られます。

災害復旧計画

災害復旧は、事業継続計画の一部であり、ハードウェア、通信、IT 資産などの重要なサポートシステムの復旧に必要な手順が中心となっています。 事業継続計画が、緊急事態においても通常のビジネスプロセスを確実に継続させることを目的としているのに対し、復旧計画は、損傷したシステムや失われたデータを復元し、災害以前の機能を早期に回復させることを目的としています。

計画の実施と復旧の管理

テストの実施は BCM プログラムの重要な側面であり、文書化や技術実装の機能を実証する役割があります。 これは、シミュレーションと実際の中断における計画の有効性と使いやすさを改善するために必要です。

危機管理

危機管理を行うことにより、危機発生時において事業を継続する能力が得られます。 効果的な危機管理により、財政、評判、法務、規制における影響を最小化できます。

私たちが 2020 年に学んだことは、事業中断は避けられないものであり、レジリエンスの質が、生き残りや競争における地位に大きな違いをもたらすということです。 残念ながら、世界的なパンデミックにより多くのビジネスが混乱に陥り、かつてない非常事態に直面した多数の企業は対処することができませんでした。 米国では約 10 万もの企業が、一時的なビジネス停止から恒久的な閉鎖に追い込まれました (出典: Fortune)。

事業継続計画は、プレッシャーの下で作業の優先順位付けと方向性を提供します。 予想外の事態や中断に直面した場合も、事業継続計画により、運用を継続し失敗や不測の事態を低減するためのロードマップが提供されます。 これが重要なのは、以下のような理由によります。

サービス中断や機能停止は増加している

ここ数年でサービス中断の事態が平均より増えていると感じているなら、それは正解です。 近年の調査によれば、重大なサービス中断を引き起こす機能停止は、深刻度やコストが上昇し、期間も長くなっています。

サービス中断や機能停止が増加している状況において、効果的な事業継続計画を策定できる企業は、できない企業に対し、明らかに優位に立つことができます。

BCP はビジネス中断の防止や最小化に役立つ

事業継続計画は、非常事態の発生を防ぐものではありません。地震、第三者のデータ漏洩、ネットワークハードウェアの不具合などは、いずれも BCP で回避できる範囲を超えています。 事業継続計画は、そのような非常事態の結果として起こるビジネス中断を防止および最小化するものです。

効果的な事業継続計画とは、組織がビジネス中断における深刻度を低減し期間を短縮するのに必要な手順がまとめられたものでしょう。 潜在的な脅威の徹底した分析、オフサイトおよびオンサイトの緊急連絡先一覧、それぞれの非常事態における戦略と責任の詳細を含めておくことで、組織は発生する可能性のある損害を軽減するために必要な方向性を設定することができます。

BCP は法令遵守を促進する

事業継続性は、あらゆる業界のビジネスにとって有用です。 ただし、重要な立場を担う組織では、事業継続計画が法によって義務付けられています。 例えば、政府、金融、医療などに関わる機関の事業では、サービス中断が発生した場合、運用やデータの状態について厳しい責任を問われます。 その他の業界の事業でも、事業継続性が損なわれた結果として発生した損害に対しては責任が問われるでしょう。

事業継続計画は、組織にいくつものメリットをもたらします。 最も注目すべきメリットの詳細を以下に示します。

事業運営を維持する

信頼性の高い事業継続計画があれば、サービス中断の可能性がある非常事態においても、運用を継続することができます。

ブランドの評価を保護する

サービスを大きく低下させることなく、非常事態に効果的に対応することで、ビジネスの品質の高さをアピールし、プロセスにおける顧客満足度を改善することができます。

顧客の信頼を築く

顧客は、デジタルサービス、食料、金銭や支払いへのアクセス、医療、通信など、多くのことを御社のビジネスに依存しているため、御社の継続性が顧客の継続性を保つことになります。 また、ビジネスの相手として選ぶ組織には、信頼性の高いデータセキュリティが必要であるという意識もこれまで以上に高まっています。 サービス中断が発生した場合、ビジネスがただちに機能回復することを顧客は期待します。 効果的な事業継続性があれば、どのような事態が発生しても顧客にサービスを提供する組織の姿勢を示すことができます。

従業員の信頼を築く

従業員は、非常事態において取るべき手順を理解することで、自社のリーダーシップを信頼し、決定事項を信用するようになります。 さらに、効果的な事業継続性に向けて従業員を訓練することで、より小規模で緊急度の低い中断やトラブルの解決スキルが向上し、あまり重圧のかからない状況で経験を積むことができます。

競争力をつける

明らかなメリットがあるにもかかわらず、事業継続性の実装をあまり行わないか、まったく行わない組織が多く存在します。 そのような組織でサービス中断が発生し、正しく機能しない状態が続くと、顧客は障害に耐性のある企業にこぞって鞍替えしてしまいます。 実際、25 年間にわたる 1,800 社の企業を対象とした調査では、長期の業績の約 30% が、非常事態に直面した際のレジリエンスに起因していたとのことです (出典: BCG Henderson Institute)。

財務的リスクを低減する

BCP に関連するビジネス上のメリットは多数存在しますが、財務的メリットも見過ごせません。 システム障害、停電、データ漏洩など、ビジネス中断による財務的損失は、組織に大きなマイナス影響を与えますが、事業継続性管理は、このリスクの防止または軽減に役立ちます。

リスクとコンプライアンスについて詳細を見る