世界各地で発生する大規模災害、紛争・テロの脅威など、ますます混迷を極める世界情勢、さらにはコンピュータやネットワークに不正に侵入するサイバー攻撃やサイバーテロなど、さまざまなリスクに備え、事業継続につなげる取り組みがより強く要求される時代を迎えています。

新たな脅威にも対応でき、万一の際にも事業を継続し、早期復旧を可能とする「BCP(※1)/BCM(※2)」の確立を、いま一度考える時期にきているといえます。

今回の特集では、大規模災害に焦点をあて、日立グループが続けているBCP強化の取り組みに加え、その経験・ノウハウを生かしたソリューションをご紹介します。

※1 Business Continuity Plan
※2 Business Continuity Management

緊急時における事業継続の必要性

企業が事業の中断を余儀なくされたり、政府・自治体の機能が停止するといったリスクは、地震や洪水などの自然災害だけにとどまりません。基幹系システムのダウンや重要データの喪失、新型インフルエンザをはじめとする感染症の大流行(パンデミック)、さらには国際紛争やテロなど、想定すべきリスクは数多くあります。

万一の際に打つ手を持たず、事業の復旧が大幅に遅れてしまうと、お客さまに多大な損失を生じさせてしまうだけでなく、社会的信用も大きく失墜し、存続自体が危機にひんする恐れすらあります。そのような事態に陥らないよう、常日頃からリスクを想定して事業継続が可能な体制を維持するBCMを推進し、その具体的な行動計画であるBCPを策定することが求められています。

グローバルに幅広い事業を展開し、近年、特に社会イノベーション事業への傾注を進める日立グループでは、社会インフラに深く関わる事業者として、事業の中断で社会に甚大な影響を及ぼすことがないように、早くからBCP/BCMに注力してきました。その中核組織としてグループ全体の危機管理を担う専任組織である本社リスクマネジメント部は、1990年のイラクによるクウェート侵攻に際して日立グループ社員を含む多数の日本人がイラク政府に拘束(後に解放)された事件を契機に設置された組織を前身としています。同部では国内外で大きな災害や事件があった際の緊急連絡を24時間365日いつでも受け取り、日立グループにどのような影響を及ぼすかを即座に判断して行動に移す体制を維持しています。

ガイドラインでグループ統一の方向性を示す

専任組織を立ち上げたあと、日立は1995年の阪神淡路大震災、2004年の新潟県中越地震の後に「大規模地震対策ガイドライン」とその改訂版を発行。さらに2006年12月には、日本企業としていち早く「BCP策定ガイドライン(導入編)」を策定しました。ガイドラインは日立グループの基本的な対応方針を示すとともに、BCPの策定手順やテンプレート集を社内の各事業部門やグループ会社に提供しています。これにより、日立グループ全体が統一した方針の下で社会的責任を果たしつつ、多岐多様な事業部門がそれぞれの必要に応じて自主的にBCP策定に取り組めるようにしています。

2011年3月11日に発生した東日本大震災(以下、3.11と表記)。日立グループも茨城県内をはじめとする複数の事業所で被災しましたが、ガイドラインの成果として、BCPに基づく初期対応や意思決定を迅速に行うことができました。しかしその一方で、二次/三次の調達取引先の把握、生産情報のクラウド化/多重化、代替輸送手段/燃料の確保など、いくつかの課題も浮かび上がってきました。

そこで同年10月に、3.11の教訓も踏まえた「日立グループBCP策定のためのガイドライン(部門編)」を策定するとともに、従来から実施してきた国内主要拠点における大規模災害シミュレーション訓練、海外赴任者/出張者への教育、支援、指導をさらに強化・拡充し、大規模災害や新型インフルエンザ、政変・騒乱・テロなどへの対応力強化に努めてきました。

また、2013年1月のアルジェリア人質事件の直後、紛争やテロなどのリスクが高い地域に従業員を派遣する場合は、事前に社内外の専門家による現地調査を実施し、派遣する従業員の安全に万全を期すことを改めて社長方針として徹底しました。

リスクマネジメント部が日立グループ内に提供するイントラネットの情報サイトでは、常に最新の分析に基づく注意喚起情報やリスク関連情報を提供しており、国内外の従業員に向けた啓発とBCPの推進に寄与しています。

画像: 日立グループBCP策定のためのガイドライン(部門編)

日立グループBCP策定のためのガイドライン(部門編)

BCPは継続的な見直しが必要

社会インフラにも関わる情報・通信システム事業を手がける日立の情報・通信システム社も、リスクマネジメント部のガイドラインに沿った独自のBCPを策定。継続的なブラッシュアップ(PDCAサイクル)を図るBCMにより、お客さまや社会インフラへの影響を最小限にとどめる運用強化に取り組んでいます。

その具体例をいくつかご紹介します。

■生産拠点の見直し(製造事業部門)

ある製品の製造部門では、生産・物流コスト削減の一環として、ある部品の生産を主力工場に集約していました。主力工場が被災した際のBCPを検討する中で、この部品がネックとなり、海外も含めた他工場も徐々に生産が停止する可能性があると推定されました。このため万一の場合には、この部品の製造・出荷業務を優先的に復旧するBCPを策定していました。

3.11では主力工場は被災しませんでしたが、取引先から今後の安定供給を改めて強く要請されたため、提携先の工場でこの部品の代替生産を可能としたほか、代替に伴う配送ルートの短期立ち上げ方法も検討するなどBCP強化を実現しました。

このように、製造業のBCPでは大規模災害が発生した場合に建屋や生産設備、仕掛品などの経営資源が受ける被害と復旧までのシナリオを想定することが重要です。具体的には、影響がどこまで及ぶか、どのくらいの復旧期間を要するかを把握し、その軽減・短縮目標を立てます。そして復旧時間の短縮にネックとなる経営資源についての対策をリストアップし、代替手段を準備します。また、海外工場でも生産を継続するのに必要な経営資源と業務を認識し、同様に対策を講じることが必要です。

画像: リスクマネジメント情報サイト(イントラネット)

リスクマネジメント情報サイト(イントラネット)

■災害時のITインフラ復旧対策

日立グループのITインフラは、企業プラットフォーム(ネットワーク、メール、データセンター、PCなど)、経営プラットフォーム(財務、調達、人事など)、事業プラットフォーム(SCM ※3など)の3つに大別され、停止時の影響と依存関係を考慮して、重要度のランク付けと、切り替え目標時間を設定しています。

特に機能停止に陥るとお客さま事業や企業活動への影響が懸念されるものは「重要システム」と定義され、災害時の復旧目標時間(RTO ※4)は1時間以内の「A」、12時間以内の「B」、24時間以内の「C」レベルに分けられています。

これらは本番機(プライマリサーバ)の被災に備え、切り替え可能な予備機(セカンダリサーバ)を確保して、堅ろうで距離が十分に離れた複数のデータセンターに分散配置。復旧目標時点(RPO ※5)に応じたバックアップデータの遠隔地保管を行っています。また常日頃からの十分な復旧訓練を行い、ITインフラの安定稼働と事業継続を支えています。

※3 Supply Chain Management
※4 Recovery Time Objective
※5 Recovery Point Objective

経験とノウハウをソリューションとして提供

日立グループでは3.11の発生直後から、政府・自治体、取引先企業などと連携し、無償および特別価格での災害復興支援サービスやIT機器の提供、クラウドを活用したITインフラの支援など、積極的な復興再生支援活動に取り組んできました。今後のBCPでも、より充実した支援活動ができるように、検討を進めていきます。

日立は、長年にわたるBCP/BCMの経験とノウハウを生かし、グループ内の活用で実績を積み重ねた広範なBCMソリューションも提供しています。次ページでは、いまあるBCPをさらに強化したい、これから本格的なBCPを検討したいというお客さまにも活用いただけるサービスをいくつかご紹介します。万一に備えるお客さまの事業継続に、ぜひお役立てください。

画像: 日立グループITプラットフォームの中核となる国内ネットワークとデータセンター

日立グループITプラットフォームの中核となる国内ネットワークとデータセンター


情報提供サイト
http://www.hitachi.co.jp/products/it/portal/company/bcp.html


コメントを読む・書く

This article is a sponsored article by
''.