想定外の広域災害を機にBCP/DRの見直しが始まる
2011年3 月11 日に発生した東日本大震災は、我が国に未曽有の被害をもたらした。被災地では多くの人命が奪われ、また現在でも多くの人々が生活の場を失われたままだ。さらに今回の震災は、直接的な震災被害をほとんど受けなかった地域であっても、原子力発電所の事故とそれに伴う放射能汚染や電力供給不足、あるいは東北地方の企業や工場の被災によるサプライチェーンの断絶などにより、人々の日々の生活や経済活動に広範な影響を与えた。
また今回の震災は企業のビジネスにおいても、被害復旧のための短期的な施策はもちろんのこと、中長期的なスパンで様々な取り組みを要請することになるだろう。とりわけ、事業継続計画(BCP)とディザスタリカバリ(DR)に関しては、多くの企業で見直しが必須になると思われる。
日本はもともと震災のリスクに常時さらされているだけに、企業の多くがすでに何らかの形でBCP やDR に取り組んでいたものと思われる。しかし、今回の震災がこれまでのものと大きく異なっていたのは、前述した通りその影響範囲が極めて広範囲に及んだ点だ。特に、地震そのものの規模が大きかったことと、その後に続く東京電力管轄エリアにおける電力供給不足という問題は、地理的にも時系列的にも極めて広い範囲に爪痕を残した。これらは、明らかに従来のBCPやDR からは抜け落ちていたリスク要因である(図1)。まずは、こうしたリスクを新たに勘案した上であらためてBCPやDRの見直しを行うべきであり、実際にそうした取り組みを既に始めている企業も少なくない。
その際、殊にIT の観点で言えば、震災リスクの低い海外の国や地域にデータセンターや自社システムを移行すれば安心だと思われがちである。しかしこうした発想は、少し短絡的に過ぎるのではないだろうか。例えば、近年IT インフラの整備が急速に進む中国にデータセンターを移せば、確かに震災リスクは小さくなるし、コスト削減効果も生まれるだろう。しかし、中国には政治リスクをはじめとする、震災以外の様々なカントリーリスクがあることを忘れてはならない。その他の国や地域に関しても、たとえ地震が少ない場所であっても、政情やテロなど、日本では思いもつかない様々なカントリーリスクが存在する。
今回の震災を語る上では、よく「想定外」という言葉が使われた。地震の大きさにしても、マグネチュード9.0 という震度は、日本におけるこれまでの災害対策の基準値とされてきたマグネチュード7.0と比べれば、確かに想定外だと言えよう。しかし、日本以外の国でも政治不安やテロなど、日本では考えられないような想定外の事態が起きるリスクが常に存在する。例えば、今回の震災で直接の被害を受けた国内のデータセンターはほとんどなかったが、もし海外で政情が悪化した場合、データセンターの利用が停止されるだけでなく、最悪の場合はデータを押収されてしまうリスクすらある。
従って、これからBCP やDRを見直すに当たっては、震災や政情、さらにはテロやその他の自然災害など、他国のカントリーリスクまでをも加味した上で、互いにまったく性質の異なるリスク同士を比較検討する必要が出てくるだろう。(次ページへ続く)
