基本指針が要に!「使えるBCP」の作り方

この記事をtweetする このエントリーをはてなブックマークに追加

掲載日: 2011/10/20

基本指針が要に!「使えるBCP」の作り方

【中西】  今回の震災を受けて、BCPの観点から見直した、もしくは今後見直す予定のインフラはありますか?

【駒井氏】  我々は勤怠管理に関するクラウド事業を展開しており、サービス提供用のサーバに関するディザスタリカバリ(DR)は以前から実施済みでした。ただ、社内環境は手つかずの部分もあり、改めて見直しを行いました。例えば、名古屋本社だけでしか管理されていなかったプログラムのソースコードや仕様ドキュメントなどの重要な情報資産を、サービス提供のための堅牢なサーバにある空きスペースを利用し、センタのある埼玉にも保管するようになりました。また、開発担当者しか知らないアクセスコードなどを紙に書き出して封筒で封印し保管するなど、万一の時には入手できるような“アナログ”的な対策も行いました。

【新村氏】  我々もSIerとしてソフトウェアのソースの管理は重要です。当社では、首都圏に展開する複数のブランチオフィスを使ってメッシュ型でバックアップを実施しており、どのオフィスでも復旧できる体制を整えています。ただ、課題も明確にあります。震災の際には緊急対策本部が社内で立ち上がりましたが、承認フローなど指揮命令系統で整備できていない部分が見つかり、見直しを行っているところです。

【橋元氏】  もともと開発拠点がフィリピンのセブにもあるため、ソースコードなど開発の部分は日本とセブ双方で管理していて、何かあればすぐにビルドできる状況にあります。ただ、サーバやネットワークなどインフラ面での対策は不足していた面があり、オフィスに設置したサーバが転倒してしまったのです。そこで、サーバ環境をオンプレミスからクラウドへ移行し、試してみました。ただ、結果としては使い勝手が従来のようにいかず、現在では堅牢なサーバに切り替えて自社内で管理を行っています。

【山崎氏】  我々の場合、会社全体で実施している対策と、部署での対策に分けられます。部署単位で言えば、セキュリティの観点からサービスを管理しているデータセンタへのアクセスは専用線及び端末指定という形を取っています。つまり、外からはアクセスできず、オフィスに出社しないと何もできない環境です。ただし、これは改善すべき課題というよりも許容できるリスクとして判断しています。また、会社としては製造業で流通網を持ってビジネスを展開していますが、我々の部署はサービスを提供しており、請求の仕組みも会社が利用している標準的な請求システムは使っていません。この請求の仕組みは事務所内のサーバにて運用しており、これも出社しないと動かせない状況です。これも許容できるリスクとしてとらえています。

【中村氏】  インフラを提供する事業者として、ネットワークを含めたインフラに関しては十分な対策が確保できており、現実的に大きな問題には至りませんでした。ただ、問題となったのが、従業員の安否確認が思うように進まなかったということです。携帯電話だけで安否確認できる仕組みが整備されていましたが、ほとんどの人が使い慣れていなかったのが実態です。しかも、携帯電話が思うようにつながらないばかりか、メールもなかなか送れない状況が続き、結局翌日まで安否確認に時間を費やすことになったのです。

【中西】  安否確認のお話が出ましたが、現実的に機能しましたか?

【駒井氏】  会社として整備できていないのが現実です。そこで、例えば震災後の帰宅途中に連絡がつかなくなった場合にも、おおよその位置が分かるよう自宅までの徒歩ルートを地図で示してもらい、それを提出してもらいました。また連絡手段として個人の携帯電話番号や家族の携帯電話番号、実家の電話番号など、強制ではないものの、書き出してもらいました。もともと夏休みの期間中などでも連絡が取れる連絡先を共有していた経緯があるため、さほど抵抗はなかったようです。

【新村氏】  個人の情報を収集するという意味では、トップダウンで提出を義務付けました。また、社員のみならず、当社の管理下にいらっしゃる協力会社の方も含めて個人情報を吸い上げ、社内に設置した緊急対策本部で管理をしました。個人情報の扱いはデリケートな部分ですが、震災の混乱した状況の中での限定的な緊急措置として、会社として安否を確認する必要があるだろうと判断したのです。そこで、毎朝リーダーに現場レベルで安否情報を吸い上げてもらい、本部に報告してもらっていました。これはお客様先へ出勤状態にある社員もすべてです。

【橋元氏】  会社のポリシーとして“人財”である従業員をとても大切しています。ただ、一方で自己責任ということも徹底しており、すべて会社が揃えるということはしていません。何か特別な安否確認専用のインフラを準備しているわけでもありませんが、メールや携帯電話による連絡網は整備して一斉同報での確認は行っています。企業によっては、FacebookなどSNSサービスで従業員全員がアカウントを取得し、連絡手段を確保するといった試みも行われているようですが、個人の嗜好もありますので、当社としては強制的に行うつもりはありません。現状は企業規模が小さいということもありますが、例え規模が大きくなっても、自己責任というポリシーが継続できていれば、対処は十分できると思います。

【山崎氏】  安否確認のシステムは全社で導入しています。ただ、当日役立ったかと言うと、連絡手段となるメールや電話が通じなかったことで、十分に機能しなかったというのが実態です。それでも、決まった仕組みは使いこなせるまで徹底的にやる、というのが当社の社風です。だからこそ、安否確認システム自体は誰でも100%使いこなせる状況にあります。また、震災の際には個人の携帯電話番号などは部署ごとに提出してもらいましたが、以前からマネージャクラス以上は会社支給の携帯電話以外の連絡手段も通知してもらっています。半年ごとに見直しを行っていますが、全社員にそれを徹底するというところまでには至っていません。

【中村氏】  個人情報の扱いは難しいというのが本音のところです。例えば、当社は派遣の方も事業所で一緒に働いていますが、強制して吸い上げるわけにはいかない状況です。きちんと行うのであれば、人材派遣会社経由で皆さんに連絡を取るというのが筋のはずです。ただ、今回地震が発生した時間はビジネスタイムだったため、本来は会社に置いて帰るルールになっている会社支給の携帯電話やPHSを持って帰ってもらい、それを連絡手段として利用しました。

【中西】  ちなみに、安否確認に関連して思わぬ効果を発揮したものなどはありますか?

【駒井氏】  我々が提供している勤怠管理のSaaS「バイバイタイムカード」のユーザに宿泊事業を展開されているお客様がいます。そのお客様は自社で安否確認システムを導入していましたが、震災の時は3つのホテルが被災され、電話もメールも不通となったことで、安否確認システムが全く機能しなかったようです。ところが、タイムカードの仕組みである当社のサービスを使っていたことで、震災発生時にホテル内に残っていた従業員が誰なのか、すべてサーバ側の履歴から判明したのです。東京からでもすぐに状況が把握でき、安否確認における最初の一時情報として重宝したという話を聞きました。こういったトラッキングの仕組みは安否確認に役立つようです。

【新村氏】  我々は首都圏が活動の中心で、震災当日はドコモやau、ソフトバンクともに、ほとんどアクセスできない状態でした。しかし、PHSだけはオンラインで常にコンタクトできる状態を確保することができたのです。意外なところでPHSが効果を発揮したと言えます。


このページの先頭へ

【中西】  BCPの策定を行っている企業も少なくありませんが、皆さんの会社ではいかがでしょうか?

【中村氏】  実際に策定はされていますが、全員がきちんと認識しているわけではありません。ただし、在宅勤務可能なツールなどは揃っている状況です。実は、今回東北支店が被災した際、急遽東京に電話の転送を行い、お客様からの問い合わせ対応を行った経緯があります。これはBCPの中にルールがあるわけではありませんが、社内としてすぐに実行しようという決断が下されました。ただ、もし東京が被災した場合は、そのキャパシティを受け入れる場所がどこにあるのかは分かりません。そのあたりのことはマニュアルには書かれていないのです。実際に安否確認などツール関連の訓練は行うことができますが、BCPに反映できていない部分は臨機応変に判断するしかありません。

【山崎氏】 当社にはBCPに関連したマニュアルがあります。4年前ぐらいから部門ごとに詳細なヒアリングが行われ、手順などを整理しています。例えばこの工場が止まると調達先をどこに切り替えるのか、この製品が作れないと事業に与えるインパクトはどれくらいになるのかなど、上位部分はできあがっています。震災後は更に掘り下げて、シミュレーションに沿った訓練も実施しました。実際に行ったのは、大阪本社が完全に機能しない状態で、滋賀にある工場も機械が使えない状態を想定し、品川だけでどう対処するのかをシナリオを作成して行いました。これは全社的なものですが、自分の部署にもマニュアルがあり、誰でも対処できるような形で準備されています。

【橋元氏】  我々はXMLデータベースを提供しており、これは、マニュアル管理に適した商材です。ただし、当社自身はマニュアルで管理していくという方向にはありません。もちろん、何かあれば役員レベルでの情報共有や緊急時の指揮命令系統などの情報は共有しています。もしマニュアルを作成した場合、定期的な改変も必要となりますし、訓練も常日頃から求められるはず。自己責任をポリシーにしている当社だけに、そこまでやることは考えていません。

【新村氏】  当社も現実的には存在していません。いくつかのマネジメントシステムも導入していますが、会社として事業を継続するためのプランができているわけではありません。これは今回の震災で明らかになった部分であり、これからの課題です。もちろん、何を守るべきなのかということは明確になっており、複数拠点をリンクさせて事業継続できるようにはしています。ただ、それに対するマニュアルや規定の作成や訓練などは行っていません。おそらく東京で震災が発生すれば、手探りで進めていくことになろうかと思います。

【駒井氏】  会社での観点とクラウド事業という観点で相違点がありますが、クラウド事業の継続については以前からマニュアル化も進め、DRの切り替えシミュレーションも実施しています。ただ、今回の震災後すぐに、埼玉と名古屋のセンタで切り替えシミュレーションを行いましたが、以前決めたシステムとの違いやポリシーの変更もあるなど、いろいろ気付かされました。会社の観点ではどうかというと、実は災害が起きた時にどうするのかという決めごとは何もなかったのです。先ほど自己責任というお話がありましたが、我々も基本指針が1番大事だと考えています。当社の場合は(1)自己の安全(2)家族の安否確認と緊急支援(3)業務の継続という3つの基本指針が決定されており、この指針に基づいて動くようにしています。BCPを検討する際にも、基本指針がまずは大事なのではないでしょうか。


このページの先頭へ

【中西】  では、何か新たに検討したことはありますか?

【中村氏】  担当部署では派遣の方も含めて袋に入った防災グッズが支給されています。この中には水や乾パンなどの非常食が入っていますが、震災後新たに追加されたものがあります。それが、手回しでラジオやLEDライト、携帯電話の充電ができる「携帯充電ラジオライト」です。

【山崎氏】 もともとISMSの27001を取得していますが、この運用サイクルの中に切り替え訓練などの内容を含めました。つまり、自社の中でBCPを定期的に確認できるようにISMSのサイクルに絡めたのです。強制的に年に1度は審査が来るため、その審査前にBCPを見直すことになります。ある意味強制力を持ってBCPの確認を行うように変更しました。

【橋元氏】  人間系のソフト面と実際の設備に関連したハード面双方で対策を実施しました。特に、ハード面では、旧耐震基準時代の古いオフィスから新しいオフィスへの移転を行いました。自社内にサーバを設置することはもちろん、働いている従業員を守るという意味でも、オフィスの移転は大きく変更したポイントです。しかも、新しいオフィスでは防災グッズの一部が貸出可能となっており、それも利用することができるようになっています。

【新村氏】  当社はもともと水だけ用意していたのですが、有効期限が過ぎてしまっており使えなかったということがありました。そのため、乾パンや水を買い直して期限管理を徹底していこうということになりましたが、それ以外は特に検討したことはありません。実は6000名の従業員を抱えているお客様がいるのですが、準備している防災バッグにはヘルメットや地図、乾パン、水、手袋、笛、懐中電灯などが入っています。これを運用するには多額のコスト(年間4000万円ほど)がかかっており、当社ではそこまでコストが掛けられません。

【駒井氏】  震災後に対策を始めていったのですが、面白いものもあります。自社ビル内は、貯水槽から加圧式ポンプで水を供給する仕組みがありますが、電気が止まるとポンプが動かなくなり水の供給がストップしてしまうことが分かりました。そこで、貯水槽に直接蛇口をつけ、停電時でも水が確保できるようにしたのです。こうすることで、災害時にも、常に水の入れ替わっている貯水槽から、500リットルもの新鮮な水を利用できることになりました。ほかにも、当社は年末の忘年会を必ず社内で実施することにしていますが、その際に出して士気が低下しない程度のものを今後は備蓄していこうと考えています。毎年そこで備蓄した食料などを消費すれば、有効期限が切れることはないはずで、期限管理が自然と徹底されることでしょう。


このページの先頭へ

【中西】  最後に、今後BCP策定に取り組んでいく方へのアドバイスをいただけますか。

【駒井氏】  やはり、クラウドのテクノロジーは積極的に使っていただきたいですね。DR1つを考えた場合でも、自社ですべての環境を整えるのは至難の業ですが、クラウドを使えば比較的容易に実現できるはずです。我々がクラウド事業者だからというわけではありませんが、実際に震災に遭われたお客様からも勤怠管理部分は全く心配する必要がなかったのでよかったというお声もいただいています。もちろん何でもクラウドでというわけではありませんが、上手に使っていただければと思います。

【新村氏】 事業を継続することは社員のその後の生活を支える意味でも非常に重要です。だからこそ、BCPを考える上では、お客様に対して継続的にサービスを提供できる環境を作っていく必要があります。実は、我々のお客様でもある外資系の企業で外国籍の方が多く、原発事故の直後に全員が引き揚げてしまったことがあります。その際には、お客様のために人員を当社が補充しましたが、お客様のビジネスを継続させる役割も担っているということを真摯に受け止めて、そういった観点でBCPを策定する必要があると感じています。

【橋元氏】  BCPであってもディザスタリカバリであっても、企業では何かしらの対策は行っているはずです。もちろん企業文化や規模、業種などによって程度は異なりますが、きちんと優先順位をつけて投資を行う必要があると痛感しています。また、何度か登場していますが、自分の判断で動くという自己責任はしっかりと持つべきです。100年に1度大きな地震が関東にやってくるということは前から言及されており、企業でどれだけ対策を考えても現実的には対処しきれない可能性もあります。だからこそ、自分で考えて動くというマインドは大事なのです。

【山崎氏】  BCPの策定や更新という観点からすると、実際の震災を経験したことで新たな気付きが数多くありました。例えば、BCPでは従業員の安全が第一と言われますが、今回のようにこれだけ大きな余震が続いている状況で、倉庫の中で従業員に作業をさせることの安全性についての判断は、これまでBCPにはなかった部分で、場合によっては、非常に危険な状態で出荷作業をさせていることになる可能性があります。これからは実際にどうするのかという判断基準を策定・更新していく必要があると感じています。あとはBCPのサイクルをいかに回していくかという継続の仕組みも考える必要があります。駒井さんがおっしゃったように忘年会で備蓄した食料を食べるといった、決めごとをしていかないと絵に描いた餅で終わってしまいます。

【中村氏】  今回の震災を振り返ると、結局部署単位や小集団で臨機応変に判断して動いていくしかないのかなというのが実感です。安否確認の仕組みなどベースとなるツールはありますので、日頃からしっかりと訓練することが大事だと痛感しています。普段からマニュアルを持ち歩くわけにもいきませんし、頭の中に正確に入っているわけでもないはずです。今持っているツールを活かしきるような訓練をしていきたいと考えています。


ビジネス相互連携を行って海外展開及び国内ビジネス基盤の強化を図る目的で、日本のソフトウェアベンダが集結。設立以来最大のテーマである「海外展開」をはじめ、ユーザが安心して使えるITを目指す「製品連携」、ITの利用の大きな流れとなっている「SaaS連携」の3つの柱で活動を行っている。2011年8月現在は、正会員が19社、準会員企業が38社となっている。


このページの先頭へ





Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


30004462


IT・IT製品TOP > バックアップ > バックアップツール > バックアップツールのIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ

安否確認の実態は如何に!?震災後に見直したインフラ 基本指針が要に!BCPの策定状況について 蛇口を新たに新設!?震災後に新たに検討したこと BCPに関するアドバイス