2011年9月7日公開

データから見るICT
重要性が高まるBCPの策定と運用

　次のグラフは、自社のBCP策定レベルがどのレベルかについてアンケートした結果です。

　社団法人日本情報システム・ユーザー協会の企業リスクマネジメント研究会では、災害対策への取り組み状況に応じて、BCP策定レベルを以下の5段階に分けています。

1.バックアップの確保：データの正確なコピーを作成する
2.緊急時対応計画：人為的な災難後の手順を整える
3.災害復旧対策：データ処理設備の復旧を計画する
4.事業継続計画（BCP）：ビジネスオペレーションの復旧を計画する
5.事業継続管理（BCM）：有効な対策を行うためのマネジメントプロセスを構築する

　全体におけるBCPとBCM（Business Continuity Management：事業継続管理）（注1）のレベルと回答した企業の合計は、震災前が24％だったことに対し、震災後は52％と大幅に増加する結果となりました。特にBCMは震災前後で比較すると、16ポイントと大幅に増加しています。（表2(1)参照）

　BCMはBCPの策定から導入、運用、見直しといった包括的なマネジメントプロセスです。単にBCPを策定するだけではなく、各部門や従業員に周知徹底し、さらに実際にテストや予行演習を行って有効性を検証したり、必要に応じてBCPの内容を修正したりといった活動も含まれます。BCMにまで至っていると回答した企業が大幅に増加したという結果は、BCPの策定に加え、継続的な見直しや改善、あるいはテストが重要であることを多くの企業が認識している結果だと言えるでしょう。

　なお、同協会は「企業IT動向調査2010（09年度調査）」において、システム障害や自然災害、電力・通信などの社会インフラの停止などの災害に対し、BCPに基づく訓練や演習を実施したかどうかを尋ねています。

　結果を見ると、いずれの災害においても「実施していない」と回答した企業が多数を占め、たとえば「自然災害（地震・津波など）」では「実施した（利用部門も含めて）」が20％、「実施した（IT部門内で）」は12％に過ぎず、68％の企業が「実施していない」としています。（表3(1)参照）

　BCPを策定しても実際に訓練や演習を行わなければ、その有用性を判断することはできないでしょう。場合によっては、実際に被災した際にBCPがまったく役に立たなかったということも考えられます。有効なBCPを実現するために、定期的に訓練や演習は実施すべきではないでしょうか。