事業継続の考え方から認証取得に関するノウハウ、日々のニュースの中の事業継続の話題などを網羅的に収集、提供します。
運営:ニュートン・コンサルティング(株)当ガイドライン(草案)に対し、全35件の意見が集まりましたが、そのほとんどが読者の誤解を生む可能性のある表現の修正にとどまっており、大きな改定につながるような変更点はありませんでした。
この発表と併せて、全国の都道府県ならびに市区町村を対象とした「業務継続計画の策定状況」の調査実施結果も公表されています。これによれば、平成20年7月1日現在で、業務継続計画を策定している都道府県は6.4%(3団体)、市区町村は2.3%(41団体)という非常に低い結果となっています。
当ガイドラインの正式公開を契機に、ICT部門の業務継続計画の策定を検討する団体が増えるとの調査結果も出ていますが、そもそも策定対象がICT部門に限られている上、策定予定件数自体も過半数に到達するにはほど遠い状態です。首都である東京都においてでさえ、先日(8月7日)、ようやく都政のBCP(ただし骨子のみ)が発表されたというのが現状です。
いつ地震が起こってもおかしくない(30年以内に大地震の発生確率が70%)と言われている日本において、この状態は極めて憂慮すべき事態と言わざるを得ません。BCPは、無意味な計画文書ではなく、地震国日本の国益を守る有効な手段の1つだと考えます。より一層の啓蒙活動が重要です。
※ICT=Information and Communication Technologyの略
今回の回答企業は資本金10億円以上の大企業:1,461社、中堅企業:3,403社 です。
以下、転載です:
*******************************- 事業継続計画(以下、BCP)を策定している企業は9.0%にとどまるほか、大規模災害に対する財務的な手当ては、物的損害に限っても大企業で6割以上、中堅企業で7割以上の企業で不十分となっています。
- 業種別では、大企業では総じて石油、電力・ガス、建設業のBCP策定割合が高くなっています。中堅企業では、運輸、電力・ガス業で割合が高くなっています。
地域別では、BCPを含む何らかの防災計画がある企業の割合は、大企業では首都圏で高くなっていますが、過去に大地震の経験が少ない地域では特にBCPや防災計画がない企業の割合が高いところもみられます。 - 前回、前々回調査との比較では、BCPの策定率はほぼ横這いとなっていますが、製造業でやや増加傾向がみられます。何らかの防災計画を策定した企業の割合が、今回は、製造業では9%減少していますが、一方で事業継続計画に着手している企業が製造業で7%増加しており、防災計画から事業継続への取組みの進展が若干みられています。財務手当については、操業・復旧資金までの備えを行う企業、検討中の企業はほぼ横這いとなっています。
これによると、災害時の防災拠点となる全国の公共施設の耐震化率が昨年度末時点で62.5%であることが分かりました。これは、2006年度末に比べて微増になります。
その内訳を見た場合、地域によって大きく異なる耐震化率結果が出ています。耐震化率トップ5は、神奈川県(83.2%)、三重県(82.1%)、愛知県(81.0%)、宮城県(78.7%)となっています。一方、耐震化率ワースト5は、長崎県(45.7%)、山口県(47.1%)、茨城県(49.0%)、広島県(49.9%)、栃木県(50.2%)でした。
傾向として、地震が高い確率で起こるであろうと想定されている地域(特に東海地震の影響を受けると想定されたエリアなど)で、軒並み高い耐震化率になっていることが分かります。しかしながら、これらの耐震性は「防災拠点」になることを予想した施設の耐震性であるため、83%というトップの数字であったとしても決して安心できる結果ではないことを我々は再認識しておく必要があります。
ちなみに、ここで”耐震性がある”とは、1981年に規定された新耐震設計基準をクリアした建物ないし、それに準ずる補強をしたもののことを指します。新耐震設計基準では、震度6強以上の地震で倒れない住宅を前提としています。
【参考リンク】
総務省消防庁HP
都が本BCPを作成・公表した狙いは、東京都の実質的な災害対応力を高めることにあり、その計画の中で「都民の生命、生活及び財産保護」や「都市機能の維持」の実現をめざしています。もう1つの狙いは、区市町村や民間企業の円滑なBCP策定を促すことにあります。都が率先してBCPを作成することにより、ライフラインの復旧状況やスピードを想定しやくすなり、区市町村や民間企業がより明確なイメージを持って自組織のBCPの作成を行いやすくなります。
特徴として、本BCPでは被災シナリオに「東京湾北部地震M7.3 *1」を想定しています。また、地震の発生時期を冬とし、発生時刻を大きく2つ(朝5時と夕方18時)のパターンに分けています。このような条件を設定したのは、上記条件であれば、(万が一条件と異なるパターンに遭遇したとしても)比較的広範囲の事態に対応できるためだと思われます。また、(重要業務を洗い出し復旧目標値を決定するために行う)事業インパクト分析では、総業務数2,892を下記のようなABCDランクに分けた以下のような重要度分類を行っています。
- 発災後すぐに業務に着手すべきもの
- 発災後3日以内に業務に着手すべきもの
- 発災後1週間以内に着手すべきもの
- それ以外
タイトルにありますようにまだ「素案」レベルですが、であるからこそ、少なくとも都内で活動する組織(営利・非営利を問わず)は、自組織のために一度は目を通しておいたほうがいいと思います。
「都がどの程度の復旧レベル・復旧スピードを目標として計画を立てているのか?」
「計画に対して、どこまで実質的な整備が進んでいるのか?」
「自分達の利益保護の観点から、都の計画に抜け落ちている点が無いか?」
などの事項を確認し、必要であれば声を上げていくことが大切ではないでしょうか。
*1. 平成18年5月に東京都防災会議が発表した「首都直下型地震による東京の被害想定」による
【関連リンク】
東京都HP
事業継続計画(BCP)に関わるガイドラインが多い中で、ITサービス継続という観点から書かれたものはまだそれほど出ていないという意味でも、最新の規格やガイドライン(2006年以後に公表されているPAS77:2006やISO PAS 22399:2007、BS25999-1:2006及び2:2007など)を参考に作られたものであるという意味でも、価値あるものだと思います。
同ガイドラインの中で、その利用者として「組織の経営層」及び「IT部門」を想定していると明記しているとおり、特に以下に示す点について、概念的な説明ならびに技術的な説明の両面について解説しています。
「事業継続(計画)とITサービス継続(計画)はどう違うのか?」
「ITサービス継続を考える場合はどういった進め方になるのか?」
「ITサービス継続では、どういうところをおさえておくべきなのか?」
「どういった最新の技術的対策があるのか?」
例えば、本文中、事業継続(計画)とITサービス継続(計画)との違いについては以下のような図を使って解説しています。
以上のような点から、経営層であれば、CIO的な立場の人(全社的な事業継続計画とITサービス継続計画をつなぐ役目を持っているような人)に役立つガイドラインだと思います。あわせて、DRPやITSCP(情報システムに関わる災害復旧計画書)の策定を考えている人(おそらくは情報システム部門関係者)の中で、策定にあたり何らかの体系的なヒントを得たいという方にお勧めできるガイドラインだと考えます。
ただし、ITサービス継続を構築するにあたっての詳しい分析手法例などが、同ガイドラインの中に数多く盛り込まれているわけではないためあくまでも参考程度にとどめ、詳しくは他のガイドラインや規格(例:BS25999-1:2006など)を用いて、更に理解を深めるのが手かもしれません。
【関連リンク】
経済産業省HP
