ビジネスコンティニュティ(BC / business continuity / 事業継続)とは?
災害や不祥事などの緊急事態が発生した際、特定の重要な事業(業務)を中断しないこと、または万一活動が中断した場合でも早期に最低限の機能から順次再開し、事業の中断によるロスを最小化すること。
企業は日々の事業活動を行ううえで、自然災害をはじめ、火事や停電などの事故、犯罪、テロ、疫病などの外的リスク、欠陥商品や従業員による違法行為、システム障害などの内部リスクを抱えている。これらリスクの顕在化によって、ビジネスが中断された場合、その中断が長引けば長引くほどビジネスチャンスの喪失による減収、企業評価・信用の失墜の度合いが大きくなり、最悪の場合は企業の存在基盤を破壊されることになる。
リスクマネジメント(危機管理)の重要な要素であり、トップマネジメントによる経営課題の1つである。特に公共性の高いビジネスを展開している企業にとっては、社会的責任であるともいえる。
BCP ⇒ ビジネスコンティニュイティのために策定される計画。詳細はページ下部記載。
企業がBCPをする策定するメリット
1つは、事業継続を実現することによって、企業の競争優位性を確保できること。
もう1つは、事業継続の計画を立案しリスクを分析することを通じて経営戦略の見直しができること。
そして、計画を公表することによって、さまざまな利害関係者への説明責任を果たせることも、大きなメリットの1つと言える。
IT-BCPの"現実解"(1)企業の実情に見合った計画の策定を | マイナビニュース
一番の課題は「優先順位」
9.11以前はBCPの「C」は「コンティンジェンシー(Contingency :不測の事態に備えること)」であり、何か起こったときの数週間を考えればいいという意識だった。それが9.11後は、「コンティニュイティ(Continuity:継続)」になった。
銀行では、とにかく決済が最優先。
リスク管理--IT時代ならではの脅威に立ち向かう-第3部 BCPに企業の存続が懸かる:ITpro
BCPやDRをどこまでするべきか
保険的な面の強いソリューションであり、決して投資対効果が迅速に見られるモノでない。
ITpro SPECIAL-ソリューションの価値証明vol.10
ITシステムに対するリスク・脅威
- 地震や風水害などの自然災害
- 火災
- 停電
- 通信ネットワークの切断
- テロ攻撃
- 操作ミス
- 妨害行為
- 機器故障
- ソフトウェアエラー
- コンピュータ・ウイルス/ワームの感染
- 悪意あるコードの埋め込み
- 担当社員の退社
- ベンダの倒産など
「ビジネスインパクト分析(BIA / business impact analysis / 事業影響度分析 / ビジネス影響分析) 」⇒
特定の業務プロセスが(通常は、予期せぬ出来事によって)停止・中断した場合に、事業全体が受ける業務上・財務上の影響の度合いを定量的/定性的に分析・評価すること。BCP/BCMを作成・実施する場合の最初のステップで、事業継続に必要な最小限の機能を特定する。
起こり得るリスク・脅威を網羅的に洗い出し、それらリスクに対して、各業務プロセス/経営資源(ITシステム含む)の脆弱性や相互依存関係を分析して、事業継続に及ぼす影響の大きな要素を特定する。
このとき、リスクシナリオとしては最悪の事態を想定する。重要な要素を特定できたら、その最大許容停止時間や被害損失額などを算定する。以後、ビジネスインパクト分析の結果に基づいて、BCPを策定していく。
「MTD( maximum tolerable downtime / 最大許容停止時間 / 最大許容中断時間)」⇒
ビジネス継続管理で用いられる指標で、災害・事故などで事業の中断を余儀なくされたとき、その業務が停止状態を許される最大の時間のこと。MTO(maximum tolerable outage)ともいう。
しばしば、目標復旧時間(RTO)と同じとみなされるが、RTOと仕事復旧時間(WRT)を合わせたものと定義されることもある。
「RTO( recovery time objective / 復旧時間目標 / 目標復旧時間 / リカバリタイム目標)」⇒
事業継続マネジメントやディザスタ・リカバリなどで用いられる指標で、災害や障害による業務/情報システムの停止から、定められたレベルにサービスが復旧するまでに必要となる経過時間のこと。
各業務で経過時間ごとのビジネスインパクト分析を行うと、操業停止が許される時間的限界が見えてくる。
「ディザスタ・リカバリ(DR / disaster recovery / 災害復旧) 」
災害などによる致命的なシステム障害から情報システムを復旧させること。ないしはそうした障害復旧に備えるための予防的措置や機能、運用体制などのこと。
天災だけではなく、不法侵入やテロ、サイバーアタックなどの人災を含み、さらに修復不能なエラーや機器故障などを指す場合もある。これらの致命的な障害からの復旧、および事前対策のこと。
幅広い方法・ソリューションが含まれる
「BCP(business continuity plan / 事業継続計画 / ビジネスコンティニュイティ・プラン)」 ⇒
ビジネスコンティニュイティのために策定される計画のこと。
リスクの把握・想定、継続すべき業務の絞り込み、資源制限下における復旧計画などからなる。具体的には、
「バックアップシステムの整備」「バックアップオフィスの確保」
「迅速な安否確認」「指揮・命令系統の確認」「要員確保」などから、
「業務中断に伴う顧客流出への対策」というような2次的被害などから企業を守ることまでが含まれる。
「BCM(business continuity management / 事業継続マネジメント / 事業継続管理 / ビジネスコンティニュイティ・マネジメント)」⇒
計画策定から、導入・運用・見直しという継続的改善を含む、包括的・統合的なマネジメントのこと。
「コンティンジェンシープラン(contingency plan / コンテンジェンシープラン / 緊急時対応計画 / 不測事態対応計画 / 危機管理計画 / 非常事態発生時対応計画)」⇒
事件・事故・災害などの不測の事態が発生することを想定し、その被害や損失を最小限にとどめるために、あらかじめ定めた対応策や行動手順のこと。
組織が事業やプロジェクトを継続していくうえで障害となるリスク(不確定要因)には、さまざまなものがあり、そうしたリスクが万一、顕在化した場合に備えて事前に計画しておく対策や手続きのこと。
システム障害対策であれば、バックアップシステムの準備、障害復旧マニュアルの整備などが挙げられる。また不正アクセス、ウイルス感染、情報漏えいなどでは2次被害の防止、原因追究、顧客対応などの観点からきちんとしたコンティンジェンシープランの策定が求められるようになっている。
⇩ ここまでの内容は下記サイトを参考にさせていただきました。
情報システム用語辞典:ビジネスコンティニュイティ(びじねすこんてぃにゅいてぃ)-ITmediaエンタープライズ
『コンテンジェンシープラン』 と 『ビジネスコンティニュティ.プラン』の違い
コンティンジェンシープランが緊急事態が発生した直後の対応や手続きに焦点が置かれているのに対して、BCPは平時の事前対策を含めて、事業の継続・復旧に力点が置かれている。