「有事対応が平時化」する時代に企業がIT-BCPへの取り組みを変革すべき理由特集:コロナ/大災害時代のデータ保護大全(1)

2019年来のコロナ禍において、企業の「事業継続計画」(BCP)への意識が高まっている。本稿では、日本企業におけるBCPへの意識の変化や、特にITリソースに注目したIT-BCPとデータ保護の在り方について、ニュートン・コンサルティングの内海良氏への取材から考える。

» 2022年02月18日 05時00分 公開
[柴田克己@IT]

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

この10年で起こったBCPを取り巻く「3つの変化」

 企業が危機的な状況に置かれた時に、重要な業務を継続して事業への影響を軽減することを目標に策定される「事業継続計画」(BCP)。2011年に発生した東日本大震災以降、日本企業でも一気にその重要性が認知されたが、あれから10年間の社会状況の変化に合わせて、BCPを取り巻く環境も少しずつ変わっている。変化のポイントは複数あるが、そのうちの1つは「想定するリスク範囲の拡大」だ。

 「東日本大震災の直後から、企業は主に“大地震”を想定したBCPを策定してきたが、その後、全国的に頻発する豪雪や豪雨、大型台風といった“風水害”のリスクも重要視されるようになった。そして、新型コロナウイルス(COVID-19)の登場以降は“感染症”への対策も不可欠になっている。現在では、個別の事象に対するBCPではなく、あらゆるリスクを想定した“オールハザードBCP”を策定したいと考える企業が増えている」

ニュートン・コンサルティングの内海良氏

 そう話すのは、企業のリスクマネジメントに関するコンサルティングで数多くの実績を持つ、ニュートン・コンサルティングで執行役員兼CISO(最高情報セキュリティ責任者)/プリンシパルコンサルタントを務める内海良氏だ。

 現在も断続的に感染拡大が続くコロナ禍では、政府や自治体、経済団体などが企業に対して「BCPの点検と実行」を繰り返し要請しており、企業側の意識も高まっている。コロナ禍という「有事下」で、既にBCPを実行に移している企業では、2年以上にわたって「有事」が継続する中で、もはや平時と有事の対応に明確な区別がなくなりつつある。これがもう1つの変化のポイントだ。

 「BCPは、リスクが顕在化する有事下で真価が問われる取り組みだが、長引くコロナ禍において“有事対応の平時化”とも呼べる状況が起こっている。従来のBCPで想定されていた大規模な震災や風水害といったリスクは、顕在化の頻度という点では、それほど高いものではないが、コロナ禍のように長期的かつ断続的に顕在化するリスクにより、BCPは企業活動へ実際に影響を及ぼしている。以前、定期的に有事対応の演習を支援していた企業でも、現在は有事対応中なので演習は不要というケースが増えている」(内海氏)

 世界規模で感染症リスクが顕在化し「有事対応の平時化」が起こったことで、企業を評価する要素としての「BCP」の位置付けにも変化が生まれている。

 「投資家が企業へ投資するに当たり、財務状況だけでなく、地球環境や社会への貢献度、組織のガバナンスなどを評価基準に組み入れる“ESG(環境・社会・ガバナンス)投資”は、近年の大きなトレンドになっているが、その一部として、企業のリスク管理の状況が投資の判断材料として重要性を増している。つまり、BCPの内容や実施状況などが、企業の財務に対しても無視できない影響力を持つ時代になりつつある」(内海氏)

「データ保護」にはBCPだけでなく多様な視点での取り組みが必要に

 BCPでは、想定されるさまざまなリスクに対して、それが顕在化した場合にビジネスに生じる悪影響を軽減するための方法を策定する。企業は、自社で行っている業務を洗い出し、それぞれについて、ビジネスへの影響度を加味した上で重要度を決め、その業務をどのレベルで維持するのか、維持に必要なリソースとプロセスはどのようなものかを定義する。

 ほとんどの企業で、ITがビジネスにとって不可欠なものである以上、ITリソースもBCPの策定において考慮しなければならない重要な「経営資源」の一つだ。有事下において、システムやデータを含むITリソースへの可用性をいかに確保するかは「IT-BCP」と呼ばれる。

 「IT-BCP」とは、企業全体の視点で事業継続を図るBCPにおいて、特にITリソースにフォーカスした領域での計画のことを指す。さらに、IT-BCPはビジネスプロセスを動かすための「システム」領域と、システムで生み出され、保存される「データ」の領域に大別することができる。つまり、全社的な「BCP」の一部に「IT-BCP」が存在し、さらにその一部に「データ保護」が位置付けられることになる。

IT-BCPはBCPの一部だ。その中の一部にデータ保護が存在する(提供:ニュートン・コンサルティング)

 注意すべきポイントは、「データ保護」に対しては、IT-BCPの側面だけでなく、「情報セキュリティ」や「情報プライバシー」といった観点での取り扱いが、社会的に求められるようになってきている点だ。

 「情報セキュリティの3要素として“可用性”“完全性”“機密性”があるが、現在、IT-BCPの文脈で“データ保護”と言う場合には、圧倒的に“可用性”の確保にウェイトが置かれている。大規模災害などでシステム障害が発生した際に、ビジネスに必要なデータの可用性をいかに確保するかが、IT-BCPにおけるデータ保護の大命題であり、その代表的なソリューションが“バックアップ/リカバリー”になる。ただし、近年ではテレワークの普及や、サイバー攻撃の巧妙化といった形で、企業が管理するIT環境そのものが、以前とは大きく変化している。今後は“データ保護”について考える場合に、IT-BCPの視点と並行して、セキュリティやプライバシーといった視点も同時に考慮することがトレンドになっていくだろう」(内海氏)

IT-BCPを阻害するビジネスとITとの「コミュニケーションギャップ」

 IT-BCPの策定に当たり、多くの企業が直面する課題として内海氏が挙げるのが「コミュニケーションギャップ」だ。BCP策定を中心的な立場で進める経営者や担当部署と、システム面での実装に関わるIT部門との間で、「ビジネス要求」と「IT」についての理解に隔たりがあることが、適切なIT-BCP策定の妨げになるという。

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。