PR

 2018年夏、日本は大きな災害に立て続けに襲われた。西日本豪雨、台風21号、北海道胆振東部地震だ。各地で甚大な被害が発生したことで、企業のBCP(事業継続計画)の在り方が改めて問われることになった。

 特に9月6日の北海道地震では北海道の全域で停電(ブラックアウト)が発生したことから、システムの停止に追い込まれる企業が相次いだ。金融機関では、札幌証券取引所がシステムの停止により終日取引できなくなった。セブン銀行は地震当日朝に約1100台のATMが止まった。ゆうちょ銀行は震災直後、道内全域でATMが停止している。

 当然、システムの停止は避けられなかったのかとの声が上がる。だが、考えどころだ。はたして災害時にシステムを稼働し続ける必要が本当にあるのか。今回被災した企業だけでなく、全ての企業のシステムで改めて検討すべき観点である。

 精緻なBCPを策定しようと、システムの運用も含め業務が継続できるかどうかは、災害による被害の規模で決まる。つまり程度の問題であり、「絶対に止めない」は不可能だ。業務の重要度と費用負担を考慮して対策を打つしかない。個々の企業にとってどんなに重要なシステムであっても、災害時の命綱である携帯電話網のシステムと同等の対策を打つ必要がないとの判断は当然成り立つ。

 いずれにせよ、どんなシステムでも災害による停止はあり得る。ならば課題は、どうすれば業務への影響を最小限にしてシステムを停止するか、あるいは混乱を最小限にして業務そのものを止めるかのはずである。

 北海道地震では業務の停止を顧客に告知するためのWebサイトの更新もままならなくなった企業もあったと聞く。事業継続の観点だけでなく、事業「停止」の観点からも問題がなかったかを検証する必要があるだろう。

人が出社しなければ復旧できず

 BCPにおける「人」の問題も改めて考えてみなければならない。精緻なBCPを作り、発電設備を持つデータセンターにシステムを預けたところで、人がいなければシステムを動かすことはできない。

 災害時は物理的には出社が可能であっても、出社できないケースもある。震災ならば、本人や家族が無事であっても、近隣の人たちの救出活動や避難所での支援活動が優先されるはずだ。そうしたことを差し置いて、システムを復旧させるために会社に駆けつけられる人は、いったいどれぐらいいるだろうか。そもそも先に書いた通り、よほど重要な社会インフラでもない限り、ただちに駆けつけてシステムを復旧させる必要があるのかを考え直してみる必要がある。

 システムの運用担当者の絶対数が減少している企業は少なくない。中堅中小企業の中にはIT担当者が一人しかいない、いわゆる「ひとり情シス」の状態に陥っている企業もある。大企業はIT部門にそれなりの規模の人員を抱えているとはいえ、個々のシステム単位で見ると担当者が数人、あるいは一人といったケースが少なくない。

 BCPを策定した時点よりもIT担当者を減らした企業もあり、人の面から実際にBCPが機能するのか疑問だ。

 地球温暖化が原因とされる異常気象が続き、首都直下地震や南海トラフ地震の発生が懸念されていることから、企業は現行のBCPで想定した以上の災害に直面する事態も覚悟しなければならない。クラウドなど災害に強いサービスの活用を今まで以上に推進するだけでなく、システムや業務を止めるための対策も不可欠である。事業「停止」計画も盛り込んだBCPの策定が求められている。

木村 岳史(きむら・たけし)
木村 岳史(きむら・たけし) 編集委員。1989年日経BP社入社。日経ネットビジネス副編集長を経て2010年に日経コンピュータ編集長。13年1月より現職。本誌と日経 xTECH にIT業界やIT部門の問題点を斬る辛口論評を執筆中。