日本のオフィス作りブログ
【今さら聞けない!?】中小企業に求められる事業継続計画とセキュリティ対策
本日は、「経済産業省」から出されているBCP(事業継続計画)や「情報セキュリティインシデント」に関する内容に関して、まとめた記事をご案内いたします。
BCP「事業継続計画」(Business Continuity Plan)と聞くと、そもそもどこから手を付けてよいのか、わからないというのが本音であり、「そもそも一体何なのか?」と、難しく考えてしまう企業の経営者様・担当者様も多いのではないでしょうか。
いま、日本ではどのようなセキュリティ対策が必要なのでしょうか
その詳細は、経済産業省から打ち出されたガイドラインに書かれていますが、その内容について、専門業者であっても把握していないケースは見受けられ、曖昧にされている部分も多いのが実情です。
そこで今回は、「【今さら聞けない!?】中小企業に求められる事業継続計画とセキュリティ対策」と題して、なるべくわかりやすく、ポイントを要約してお伝えいたします。
是非とも保存版として、ご確認頂けましたら幸いです。
なぜ、事業継続計画は必要なのか?
まずはこちらの経済産業省から資料に掲載されている引用をご覧ください。
―――――――――――
日本では、地震、火災・爆発、大規模なシステム障害などが相次いでおり、その結果、基幹となる事業の停止に追いこまれるケースが見られる。
この場合、財物への直接の被害や、基幹事業が停止している間の利益を損なうばかりでなく、取引先や顧客を失う大きな原因となり、ひいては事業からの撤退を余儀なくされることになりかねない。
また、近年発生している基幹事業の停止は、自社の損失にとどまることなく、取引先や顧客の事業停止へと影響が連鎖している。思わぬところから企業存続の危機に立たされるケースも見られる。(引用:経済産業省)
―――――――――――
簡単にまとめると、ここでは、天災などの様々な要因により、基幹となる事業が停止すると、御社の利益の損失だけでなく、取引先の損失、顧客の損失に繋がるということが書かれています。
そのようなことが起きた際に、可能な限り迅速に復帰し、被害を最小限度に抑えて欲しいとの思いから推奨されている動きとなっています。
また、後述しますが、これらの事業停止のリスクは、天災だけでなく、ITトラブルによる業務中断の方が割合が高いと、経済産業省の発表では出ています。
事業継続計画作成は、マニュアル化だけで解決できる問題ではない
次に、BCPにおいてどのようなことが求められているのか、引き続き経済産業省からのBCPに関する資料を引用します。
―――――――――
危機が発生したときに、企業に対して問われるのは、その企業が危機に直面した時であったとしても事業を遂行(継続)するという社会的使命を果たせるかどうか、である。これは、マニュアル化という次元で解決できる問題ではなく、危機に直面したときの「企業経営のあり方」そのものなのである。企業は、自身の被害の局限化という観点に留まらず、コンプライアンスの確保や社会的責任という観点から対策を講じなければならない。(引用:経済産業省)
――――――――――
ここに書かれているのは、BCPを行う目的とは、自社の被害を抑えるだけではなく、社会にサービスを提供する上で、業務を止めないことが、社会的責任を果たすことに繋がるということが書かれています。
自然災害よりも、ウィルスや不正アクセスの方が、業務中断を引き起こすリスクが高い
(引用:経済産業省)
こちらの図を見て頂くと分かるように、地震と台風による業務中断の割合は、1.4%の割合だったのに対し、ウィルスや不正アクセスによる業務中断は、18%です。その他にも、外的要因などを含む、ソフトウェアの障害は34%になります。
では、私たちはこれらのリスクにどのように対応していったら良いのでしょうか?
経済産業省では、「セキュリティインシデント」に対応することが重要であるとのべています。
では、セキュリティインシデントとは何なのか?
結論から言うと、2つの対応策について経済産業省では説明していますが、どちらをみても、アンチウィルスソフトの導入だけでは、要件を満たすことが限りなく難しいことが明快に見えてきます。
次回は、中小企業に求められる「セキュリティインシデント」について、詳しくご説明いたします。
