BCPとは...

所属している部門にかかわらず、BCP対策という言葉を耳にしたことのある方は多くいらっしゃると思います。ですが、ここで改めて、BCPとは何かの説明から今回の記事を始めたいと思います。

BCPとはBusiness Continuity Planの略称で、事業中断の原因やリスクを事前に分析し対策を立てることで、未然に事業中断の危機を防いだり、事業中断の事態に陥ったとしてもそこからの復旧を早めることでビジネスへの影響を最小限に抑えることを目的とした計画で、復旧のための手順や方針をあらかじめ検討しまとめたものを指します。

さて、上記で説明したBCPですが、非常に一般的なリスク管理のひとつで対策を行っていない企業はないように聞こえます。ただ、実態としては、日本企業の中でも1000人以上の従業員を抱える大企業ですら、すでにBCPを策定している企業は全体の52.6%に留まることがわかっています。{参照: 帝国データバンク 事業継続計画（BCP）に対する企業の意識調査（2019 年） }

なぜBCPの策定を多くの企業が行っていないのか？

自然災害大国の日本において、残念ながら事業の継続が難しい状況は過去に何度も訪れています。特に2011年の東日本大震災は、多くの企業のビジネスに大きな影響を与えました。それにも関わらず、およそ半数もの企業がBCPの策定を行っていない理由はどこにあるのでしょうか。

同調査によると、時間や人材などリーソースの制約により策定できていない企業や、そもそもBCPが何かという理解が不足しており、何から行えばよいかわからないなどの回答がありました。これからも見て取れるように事業継続に対する影響があるにもかかわらずその際の行動計画に関して、優先度はあまり高くないことがみわかります。

リスクはあちこちに…

大企業でも策定を行っていない中、皮肉にも事業継続に深刻な影響を与えかねないリスクは減るどころか増え続けており、様々な観点からの対策が要求されています。自然災害はもちろんのこと、火災や事故、さらにサイバーセキュリティリスクや基幹システムの不具合により生産を行うことが出来ない状態に陥ることも考えられます。さらに、サプライチェーンリスクの観点から見れば、自社のサプライヤが被災するなど納品を行うことが出来なくなるということも考えられます。すなわち情報システムに関連するリスクと物理的なリスクとの両面に対してきちんとしたリスク診断を行う必要があるのです。

業界標準としてのBCP

特に自動車業界では、北米や欧州の業界規格として有名なMMOG/LEのガイドラインでは、最も重要度の高い項目であることを示すF3項目の一つとして2.5.1のリスクアセスメントとその管理のセクションで復旧計画とリスクに対する対応を求めています。このF3項目は一つでも要求水準を満たせていない項目がある場合に必ず最低のC評価が下され、取引を行うことが出来なくなる場合もある重要な項目となっており、世界中でBCPの策定が求められていることを示す顕著な例だといえます。この重要な課題を優先度の低い課題として放置していてよいのでしょうか…

バックアッププランとしてのCloudという選択肢

業界全体でクラウド化が進んできている中、現在でもERPや生産管理を行うシステムを国内のデータセンタやオンプレミスのサーバーで管理している企業も少なくありません。ただ、自然災害の猛威にさらされやすい日本国内にサーバーを集中させるリスクを検討すると、クラウド化し、隔離された位置にプライマリのサーバーと震災対策用(DR)サーバーを設けることに合理性を見出すことはそう難しくありません。QAD Cloudは世界中のデータセンターの中から2つ別々の地域にあるデータセンターをお客様の状況に最も合ったものを選定し、プライマリとDRの両方を必ず提供しています。また、業界最高レベルのサイバーセキュリティの認証も受けており、セキュアな環境でお客様のデータを管理しています。

みなさまはERPのバックアップやDR、セキュリティリスクへ万全の対策が取れていますか？