東日本大震災や熊本地震など、近年日本国内において大規模災害が相次いでいます。こういった災害は、個人だけでなく企業の事業継続にも影響を与えかねません。

オフィスが被害を受けることで個人情報にアクセスできるパソコンや書類が屋外にさらされてしまったり、運営担当者が被災してしまったりとWeb担当者にとっても、他人事ではないでしょう。
そのようなリスクに備え、事前にBCP(緊急時企業存続計画/事業継続計画)を用意しておくことで、いざという時に迅速な対応をとることができます。

今回はBCPの策定ステップとWeb担当者が特に意識すべき項目について解説します。
いつどこで発生するかわからない災害に対応するためには、事前の準備が何より大切です。いざという時に混乱しないためにも、BCPの策定を含め対策を行っておきましょう。

BCPとは

「BCP」とはBusiness Continuity Planの頭文字をとったもので、日本語では「事業継続計画」または「緊急時企業存続計画」と言います。

近年では、東日本大震災や熊本地震などの大規模災害やテロリズムによる被害などが相次ぎ、企業のリスク管理はますます難しくなっています。

そのような被害の中でも早期の事業復帰を目指すためには、事前に対策を行い、災害時でも対応できるよう方針や担当者を決める必要があるでしょう。

最悪の場合、生産拠点を閉鎖せざるをえなくなったり、人員が確保できずに事業をたたんだりと、企業の事業存続自体が危ぶまれることもあります。
Webマーケティングに関する業務でも、サーバールームに浸水してサーバーダウンしてしまったり、担当者が被災者となったことで業務が停止してしまったりといった被害を受けることがあるでしょう。

そういった事態を防ぐためにも、事前にBCPを策定し、災害に備えることが大切です。

防災計画との違いは?

「災害に備えた計画」と聞くと、防災計画を思い浮かべる人もいるかもしれません。
では、BCPは防災計画とどこか違うのでしょうか。

防災計画は、人命の安全確保や物的被害の軽減を目的とした拠点ごとの対策案をまとめたものです。一方、BCPは重要事業の存続や事業の早期復旧を目的とした会社全体での計画です。

そのため防災計画を土台にしながらも、優先して投資を行い復旧を進める事業所や事業を決定しておくなどメリハリをつけたものがBCPと言えるでしょう。

参考:
事業継続|内閣府
企業防災とは何ですか?|内閣府

BCPの策定ステップ

では、実際にBCPを作成するにはどうすればいいのでしょうか。
中小企業庁が提供している『中小企業BCP策定運用指針第2版』より、ポイントを絞って解説します。

参考:
中小企業BCP策定運用指針|中小企業庁

1.基本方針の作成

企業理念や企業の基本方針に合わせたBCPの基本方針を作成します。
例えば「従業員の命を守る」「地域の復旧を最優先させる」「技術の流出だけは防ぐ」など企画自体の土台となるものを設定します。

2.重要商品・事業の検討

企業の中でもっとも優先すべき商品・事業を決定します。
例えば「既存顧客向けの◯◯(商品名)」「会員サイトの運営」「ネットショップ事業」など、具体的なものをあげるようにしましょう。

3.被害状況の想定

一口に「不測の事態」といっても大雨による河川の氾濫や地震、火災など起こりうる内容は多岐に渡ります。
その際に、自社にとってどのような影響があるのか、ライフライン、交通手段などインフラ面と人・モノ・カネ・情報というリソース面の2つの視点で考えましょう。

例えばネットショップ事業を行っている企業が地震の被害を受けた場合、下記のような想定ができます。

【インフラ】
・ライフライン…倉庫内停電が発生。同時に電動ポンプで汲み上げている水道が停止する。
・情報通信…会員サイトへの問い合わせが殺到し、サーバーダウンが起きる。
・道路…メインの仕入れルートである空港倉庫間の国道は通行規制が発生する。

【リソース】
・人…倉庫及びオフィス内で被害が発生。特に重機操縦中の社員は転倒する可能性がある。
・モノ…倉庫内の商品は倒壊。一部商品は破損する。火災発生時にはスプリンクラーが起動し、火災とともに水により在庫商品がダメージを受ける。
・カネ…事業復旧までの売上がないまま人件費がかかる。
・情報…オフィス機器が破損。サーバーが破損することで、会員データ・取引履歴・注文情報が失われる。

4.事前対策の実施

被害状況の想定をもとに、対策を行っていきます。
例えば「サーバーが破損することで会員データ・取引履歴・注文情報が失われる」という想定をもとに(1)複数のレンタルサーバーを利用してリスクの分散を行う(2)クラウド上で情報管理を行い、サーバーにはデータは入れないなどの対策が考えられるでしょう。

その際には、すでに対策を行っている部分についても把握しておくことが必要です。
状況の確認を行い、対策が必要な部分を洗い出した上で実際の施策を考えましょう。

5.緊急時体制の整備

対策を行うだけでなく、実際に緊急事態が発生した場合にどういった体制をひくのかも事前に決めておきましょう。
その際には責任者・担当者ともに複数人を設定しておくことが求められます。

特に責任者を1名にしておくと当事者が亡くなった場合に指揮をとる人がいなくなるだけでなく、業務が1箇所に集中してしまい、1人で対応できない事態に陥ってしまうでしょう。

実際、東日本大震災時の福島第一原発事故において、責任者である吉田所長に業務が集中しすぎたことで、当初は所長が気づいていた事態を見逃すこととなったという指摘もあります。こういった1箇所への権限の集中は時として、事態の悪化を招くこともあるでしょう。

参考:
NHKスペシャル連動企画運命の1号機 3万会話が明かす真実

Web担当者が特に意識すべき項目

では、Web担当者が特に意識すべき項目にはどういったものがあるのでしょうか。
3つの項目について見ていきましょう。

1.ホームページ・SNSの運用

ホームページやSNSなど、緊急時に運用面でどういった被害が想定されるか考えておきましょう。例えば、担当者不在の際に情報共有や情報発信は継続するのかなど事前に決めておく必要があるでしょう。

また、災害時には被害状況や商品発送に関する情報など、特別な情報発信が必要となる場合もあります。そのような場合に備えて、事前に担当者や発信する情報・書式を決めておくようにしましょう。

2.個人情報の漏洩

オフィスが物理的な被害を受け、通常のセキュリティがひけなくなった場合、パソコンや書類が盗まれる可能性があります。
それだけでなく非常時の対応に回っている間に、悪意あるサイバー攻撃が与えられるケースもあるでしょう。

そういった可能性に対してはクラウド上で管理することで自社で保有する情報を少なくしたり、情報漏洩に関する保険をかけたりといった対策を講じる必要があります。

参考:
情報を漏洩しないための具体的対策

3.サーバーの安定運行

自社でサーバーを保有している場合、災害により物理的に破壊される可能性があります。
また、災害時には通常とは異なる運行が必要とされることで、保守管理のミスが起こる可能性があるでしょう。

実際に東日本大震災時、計画停電の実施により停電前のシャットダウン設定にミスがあったことで立ち上げに時間がかかり、サービスの提供が遅れた事例がありました。

こういった災害時でも対応できるよう事前にルールを決めておくだけでなく、複数拠点のサーバーやレンタルサーバーを利用するなどの対策が考えられるでしょう。

参考:
Web担当者のためのBCP対策 5つの基本項目 | 第1回
[FRI コンサルティング最前線 Vol.05|富士通総研]
(http://www.fujitsu.com/jp/group/fri/resources/case-studies/fri-consul-vol5.html)

まとめ

災害時について、各部署や業務ごとに対策を行っている企業は多いでしょう。
そのような個々の対応では、部署や人ごとの役割を決めたり、優先度を決定したりといった総合的な対策は立てられません。
会社全体でのBCPを策定し、災害時でも事業を継続できるよう対策を立てておきましょう。

特にWeb担当者にとってはホームページの運営だけでなく、オフィスからの個人情報漏洩やサーバーの故障など物理的な被害にも注意が必要です。
自社内ルールや設備を整備するだけでなく、外部のサーバーを活用してリスクヘッジを図ったり、運用に必要となるデータはクラウド上にアップしたりなどの対策をとるようにしましょう。