情報システム分野における効果的なBCP構築

2012.6.28

情報システム分野の事業継続計画（BCP）を策定したい、と考える企業は多い。これまでにもバックアップの実施やUPS（無停電電源装置）の設置、堅牢なサーバーラックへの格納など、情報システムへの取り組みは行われてきている。しかし、企業内の情報システムはそれ単独で存在するものではなく、ユーザーである事業部門との関係性を考慮する必要がある。
本稿では、企業内の情報システム分野のBCPはどのように構築するのが効率的なのかを概説する。また、東日本大震災以降、多くの企業がBCPを策定している中で、情報システム分野のBCPはどのような位置付けか、どのように策定、見直しを行えば良いか、取り組み方法について紹介する。

企業におけるBCPの策定のプロセスの一つに、ビジネスインパクト分析（BIA）と呼ばれるものがある。これは、自社が被災した際に優先的に復旧すべき業務を、売上比率、社会的責任、サプライヤーやステークホルダーからの要求、などの指標を用いて決定し、また、該当業務の継続・復旧に必要な経営資源（人・設備・金・情報・インフラなど）を特定する取り組みである。
ひとたび災害が発生すれば、従業員は怪我をし、設備は破損し、電力をはじめとした公的インフラは途切れ、情報の取り出しは困難になる。そのように経営資源が不足する状況の中にあっても、企業にとって重要な業務をいかに早期に復旧するかが災害時の組織存続の鍵となる。平時にBIAを行っておくことで、被災時に優先的に復旧させる業務と、その業務に必要な経営資源をあらかじめ決定することができ、実効性と効果性の高いBCPの構築に繋げることができる。

翻って情報システムは、企業活動の中でどのような位置付けなのか。企業内には数多くの業務やプロジェクトが存在し、そのほとんどが情報システムに依存して業務が進められている。それは言わば企業活動のインフラであり、経営資源の一つとして捕らえることが妥当だと言える。
であるから、結論から言えば
「情報システム分野のBCPは事業部門の事業継続要件を充足するように構築するべき」
となる。
企業内に存在する情報システムでは、多くのサービスが提供されている。その中には業務と強く結びついている、専用サービスと言うようなものも少なからず存在する。
このような中で、情報システム分野のBCP策定において考えなければならない要素は少なくとも3つある。

• 優先して復旧させるシステム（サービス）は何か
• いつまでに復旧する必要があるか
• どの時点の情報まで保証が必要か（データがどこまで巻き戻って良いか）

これら要件は、バックアップの間隔や、バックアップデータの保管場所、代替サイトの要否、優先復旧順位などの決定に関わってくる重要な要素であり、また設備投資などのコストにも影響を与える。情報システムのBCPについては情報システム部門主導で策定されている企業が散見されるが、情報システム部門単独では、これら要件に対する適切な回答が見いだせず、設備投資の妥当性も判断出来ない。これら要件については、事業部門における優先復旧業務が必要とするか否かを一義的に検討し、その要件を満たすよう、情報システムのBCPを構築することが効果的である。

今や情報システムは企業の事業活動のインフラ、根幹と言える存在となっている。情報システム分野のBCPは、その効果的な実行、費用対効果の向上のために、事業部門と情報システム部門が連携しながら構築、見直しを行っていくことを強くお勧めする。

以上