経営者の方情報セキュリティ事業継続計画(BCP)とは

本文を印刷する

情報セキュリティ事業継続計画(BCP)とは

企業における情報技術(IT)の本格的な活用が進み、事業基盤としての情報システムの重要性や企業が保有する情報資産の価値は増大していますが、その一方で、それらに関連するトラブルが増え、企業の継続的な事業・サービス提供を脅かすリスクも増大しています。さらには、2004年以降、世界的に大規模な自然災害が相次いでいます。日本は世界有数の地震国であり、それに加え、火山の噴火、相次ぐ大型台風、大雨、大雪による被害等、災害の爪あとが消える間もなく次々と大規模災害に見舞われています。このような社会情勢の中、経営を守るという観点、そして社会的責任を果たすという観点の両方から、事業継続計画(BCP: Business Continuity Planning)策定と事業継続管理(BCM: Business Continuity Management)への要請が高まっています。

この動きを受けて、2005年3月に、経済産業省より「事業継続策定ガイドライン」が、2005年8月に内閣府中央防災会議より「事業継続ガイドライン第一版」が発表され、2006年2月には、中小企業庁より「中小企業BCP 策定運用指針」が入門診断や、BCP策定のための様々なテンプレート、実際の策定例とともに発表されています。これらのガイドラインに共通するのは、事業継続計画への取組みをまずできるところからスタートさせることが重要であると呼びかけ、そのための枠組みや具体例を提示している点です。

我が国では、防災対策を中心とする危機管理には長い歴史があります。一方、情報セキュリティ分野の事業継続の取組みは、防災ほどの歴史はありませんが、ITの始まりとともに芽生え、企業や社会へのITの浸透とともに、進化しています。情報セキュリティの観点から、事業継続計画を考える、またはIT緊急時対応計画を検討する場合には、既存のBCP関連計画の有無を確認した上で、各部署と連携を取りながら、全社的に整合性のあるBCPを策定する必要があります。

図2 緊急時対応に関する諸計画の相互関係図
図2 緊急時対応に関する諸計画の相互関係図

IT緊急時対応計画は、組織やビジネスプロセスの継続を含む広範囲な緊急事態対策の対象に含まれるため、策定および更新において、各計画間の連携をとる必要がある。