震災の教訓をBCPにどう生かすか?『月刊 近代中小企業』寄稿記事

 Eathquaque

執筆者:日本クラウドコンピューティング株式会社 代表取締役社長  清水 圭一

『月刊 近代中小企業』寄稿記事記事より

 

 2011年3月11日、東日本大震災の発生によって、多くの尊い人命や財産が失われました。被災した中小企業経営者にとっても、経営資源である「人」「物」「金」の大部分失うケースも多く見受けられ、事業が停止しただけではなく、存亡の危機に瀕している企業も多くあります。特に、中小企業といえども、ITシステムによって行われている業務が増えていることもあり、ITはBCPの中でも重要な位置を占める様になっています。本記事では、ITシステムのBCP、すなわちIT BCP(この後はIT BCPをBCPと記述します)について、震災の教訓をどのように活かし、中小企業が今すぐ無料できる致命的な損害に及ばないようにする為のBCP施策を解説致します。

 

 BCPに対する経営者の衝撃の本音は?

  帝国データバンクが東日本大震災後の2011年6月27日に発表した「BCPについての企業の意識調査」によれば、BCPを策定している企業は全体で7.8パーセント、そのうち大企業では21.5パーセントでしたが、中小企業においては、6.5パーセントという3倍以上の開きがありました。

 

 同調査の「BCP未策定の理由」によると、BCPを策定しない理由としては、「ノウハウがない」「自社には不要」「人手が足りない」ということが挙げられています。確かにこれらの理由は、一つの要因かもしれませんが、コンサルタントなどの外部リソースの活用などで解決出来る問題でもあります。

 

 当社が今までBCPコンサルティング業務の過程で、中小企業経営者から率直な本音をヒアリングした経験から、中小企業がBCP未策定の理由の根本的な理由は、次の3点が挙げられます。

 

 一つ目は、BPCは策定しなくても、日常の業務には全く差し支えの無い物であるという点にあります。つまり、BCPは最悪の事態が発生した際の保険に過ぎないという認識を多くの経営者が持っています。多くの経営者は目前に迫った経営課題や問題を取り組むことに集中し過ぎて、BCPについては、頭の片隅にはあるもの、自社だけは大丈夫だろうという、根拠の無い理由を付け、後回しにしてしまい、結果、全く着手していないとうことになってしまっているのです。

 

 二つ目は、BCPをどの程度まで、どれぐらいの費用をかけて行うべきか、全く見当がつかないという理由です。BCPというのは、完璧に行おうとすると、ITシステムの災害対策だけでも、現在のIT関連費用の2倍以上の膨れ上がる恐れがあります。しかし、それだけの投資金額が、回避出来るリスクと照らし合わせた際に、妥当な投資金額なのかどうかの判断がつかないことが、経営者の意識決定を先延ばしにしている要因になっています。

 

 三つ目は、経営者の危機管理の欠如です。日本に住んでいると、やもえないことなのですが、戦争、内乱、テロなどもなく、政情不安定な国や地域が陸続きで隣接していない日本は、東日本大震災が発生するまでは、局地的な地震や自然災害はあったものの、第二次世界大戦以降、自分の目の前で、破壊的な大災害を経験していなかった為、危機感を高めるようなことを目のあたりにすることがありませんでした。しかし、今回の東日本大震災では、各個人が携帯電話などで撮影した生々しい地震、津波の被害をインターネットのメディアなどで、繰り返し繰り返し目にすることにより、危機管理を真剣に考える機会になって行きました。

 

 そして、今回の東日本大震災では、経営者の危機管理意識は大きく高まって来ています。まず最初に、東日本大震災によって、中小企業の企業のITシステムはどのような被害を受けたのかを検証してみたいと思います。

 

大企業は無傷、中小企業は壊滅的な被害、その理由は?

 日経コンピューターによる東日本大震災ITシステムの被害状況の調査記事によると、そのほとんどは、地震による通信回線の断絶、停電によるITシステムへの電力供給のストップ、地震・津波によるPC、ATMなどの端末などの流出・破損被害によるものでした。その影響で地震発生から数日間は、ITシステムが機能不全に陥りましたが、主要な部分は、津波による被災地域外にある堅牢なデータセンター内にある為、数日のうちに、大部分は復旧し、致命的な被害はほとんどありませんでした。

 

 ITシステムは、全体を司るホストコンピューターと言われるものさえ無事であれば、もっと正確に言うと、ホストコンピューター内のデータさえ無事であれば、通信回線や電力供給がストップしても、ホストコンピューターのデータ格納機器以外のハードウェアやそれに繋がる端末が破壊されようとも、短期間で修復が可能なレベルの被害しか受けることはありません。それは、ITシステムにとって一番重要なのは、「データ」だからです。そのデータさえ無事であれば、多少、他の問題があっても、致命的な被害には及ぶことはありません。データ以外の、ハードウェア、ソフトウェア、ネットワークなどの大部分は、時間とお金さえあれば、何とか元に戻すことは出来るからなのです。

 

 しかし、時間とお金があっても、元に戻らないもの、それがデータなのです。江戸時代の商家では、火事になると、品物よりも真っ先に大福帳と呼ばれる売掛金や得意先が書かれた帳簿を持ち出し、井戸に投げ込んで、火事が収まったたら、それを引き上げ、それを元に商売を再開しました。現代の企業も同じ様に、物やお金以上に、大福帳にあたるビジネスデータが重要なのです。

 

 データが消えてしまうと、バックアップデータや、それの大元になっている帳票などがなければ、どんなに費用や時間、労力をかけても絶対に戻ることはありません。つまり、データ消失は、ITシステムにとっては、最悪の事態であり、企業からすると致命的な損失となるのです。

 

 今回の東日本大震災では、この致命的なデータ消失を起こしてしまう事態が自治体で発生しました。岩手県陸前高田市、岩手県大槌町、宮城県南三陸町、宮城県女川町の自治体で、計約3万8600件の戸籍、住民基本台帳のデータが、津波によって、ITシステムをそっくり流されたり、水没したりして、データ復旧が不可能な事態になりました。

 

 戸籍、住民基本台帳システムは、行政サービスを行う上で基本となる重要なITシステムですので、データのバックアップは取得をしていましたが、それを保管していた近隣の法務局まで津波の被害を受けてバックアップデータを失い、東京にある法務省に保管してあるバックアップデータから復旧する事態となりました。しかしながら、法務省にあったデータは、被災する直近でのデータではなく、2011年1月下旬までのものだけでした。その結果、データが無くなってしまった1月下旬から3月11日までのデータについては、復元できず、その間の戸籍情報は空白になってしまっているのです。

 

 

データ消失で運転資金が枯渇

 この様に地方自治体のシステムも被害を受けましたが、あまり報道はされていませんが、被災地の中小企業でも、データが消失するという致命的な被害が多く発生しています。被災後、当社にご連絡を頂きましたお客様の事例を元に、被害状況とその対応についてお話ししたいと思います。

 

宮城県・不動産業A社・従業員7名

ITの被害状況

・津波の被害により、全社員のPCが紛失、破損

・PCはメーカーからの無償提供、修理が出来たが、データは復旧できず

・PCにインストールされた会計、給与、物件顧客管理ソフトのデータ消失

・週に一度のバックアップを取得しているメディアも紛失

・帳票原本も無いため、再入力での復旧も不可

・残っていたデータは携帯電話のアドレス帳とダウンロード前の未読メール

 

 このお客様は、幸いにも社員全員、怪我も無く、難を逃れることが出来ましたが、店舗兼事務所が津波の被害を受け、すべてのITシステム、帳票など紙媒体の情報を失ってしまいました。

 

 ITベンダーの支援により、事務所内に設置していた会計、給与、物件管理のITシステムは、無償で同一ハードウェア、ソフトウェアの提供され、元通りになりましたが、肝心のデータを消失してしまっており、さらには万が一に備えて取っておいたバックアップも無い為、東日本大震災前の情報を全て失う結果となりました。

 

 このお客様がデータ消失により、一番、困ったのは、顧客や取引先への請求金額のデータが無い為に、請求業務が出来なくなってしまい、結果、入金もなくなり、会社の資金が枯渇してしまったことでした。たとえ、大規模災害が発生し、企業活動が出来ないような事態になっても、従業員の給与などの固定費や、ローンやリースの支払いなどは発生し続けることになります。行政や金融機関の支援などがあっても、それが実際に行われるのは、被災してから数ヶ月先になりますので、それまで耐えるだけの資金力が無ければ、倒産、廃業という企業存続の危機に瀕してしまうことになってしまうのです。

 

 

業務復旧に役立ったデータのありかは?

 

 このお客様は、データ消失という最悪の被害を受けてしまい、昨年は会社の運転資金も枯渇、事業の再開の目処も経たず、決算も出来ないなどの苦難に立ち向かっていますが、が、意外なところでITが役立つこともありました。

 

 従業員の携帯電話にある取引先の連絡先情報を入れたり、また、一部の社員が、業務を効率化する為の、個人所有のPCに仕事で必要なデータを入れたり、仕事のメールを使える様にしていました。通常であれば、企業の情報管理の観点からは、咎められる様なことをしていたということになりますが、全ての情報を失ってしまったその会社にとっては、携帯電話や個人所有のPCに入っていた取引先の連絡先や業務関連情報は、バックアップデータの代わりとなり、会社の業務復旧に大きく役立つ結果となりました。

 

 

中小企業のBCPで一番大切なのは?

 つまり、これらの事例が示す東日本大震災の教訓、すなわち、多くの中小企業にとって必要なのは、被災しても業務を継続することではなく、データ消失という最悪の事態を回避する為のBCPであるということが分かりました。

 

 もちろん、中小企業でも、金融関連取引や、グローバルに事業を展開している企業は、たとえ大規模災害が発生したとしても、業務を継続出来るITシステムが必要になります。しかしながら、大部分の中小企業は、地域に根ざしたビジネスを行っており、大災害が発生した際には、どんなに素晴らしいBCPを策定出来たとしても、従業員が出社することが出来なかったり、仕事よりも家族の安否確認や安全確保を優先することが第一であり、業務どころではないのです。

 

 つまり、中小企業にとっては、業務を継続することよりも、有事の際に企業存続に必要な情報を死守するということのほうが、優先すべき必須の課題であり、BCPに多くの投資をすることが難しい中小企業にとって、現実的な施策になります。

 

中小企業の現実的なBCP施策

 では、その最悪の事態であるデータ消失を避ける為に、今すぐ出来るBCPの3つの方法を解説して行きます。

 

1.データバックアップの遠隔地保管

 前出の戸籍住民基本台帳システムのデータ消失の事例でもありましたが、たとえデータのバックアップを取っていても、そのバックアップデータが同一地域内にあれば、そのバックアップデータも失いかねない結果となり、BCPの意味をなさないケースも出て来ます。

 

 では、どれぐらい離れた場所にバックアップデータを保管すればよいかということは、その地勢的なリスクなどによって大きく変わりますので、今回、詳細には言及しませんが、可能な限り遠くに、地勢的なリスクが異なる場所に置くというのが鉄則になります。

 

 例えば、大切なデータがあるITシステムが海に近いところにあれば、バックアップデータは、標高の高い場所にある倉庫や事業所、データセンター、東北地方にデータがあるのであれば、バックアップデータは沖縄に保管するという具合です。

 

 具体的なバックアップデータの移送方法ですが、ITシステムのバックアップデータを記録したテープ、ディスクなどの媒体を、セキュリティを確保した輸送経路で送るというのが、原始的ではありますが、今すぐ出来る現実的な選択肢となります。また、復旧時間がかかったり、人海戦術になっても構わないというのであれば、帳票などの紙媒体を全てスキャナーなどで読み取ってデジタル化したものを送ったり、輸送・保管費用はかかりますすが、紙媒体そのものを遠隔地に送ってしまうというのも、一つの方法です。

 

 次は、データのバックアップを取る頻度ですが、これもそのITシステムが担っている業務によって、変わりますので、ここでは、どこの会社にもある財務会計システムを例に、その頻度を解説して行きたいと思います。

 

 財務会計システムは、中小企業にとっては、その会社の税金や仕入れの支払いだけでなく、取引先からの入金、売上、取引先情報など、日々の企業活動が記録されているITシステムでもあります。

 

 欲を言えば、1処理毎にバックアップを取るのが望ましいのですが、データのバックアップをテープ、光ディスクなどの媒体で取る場合、この方法は不可能ですので、現実的には、一日の業務終了後の夜間に他のITシステムからのバッチ処理(データの一括反映処理)のようなものがある場合は、業務開始直前と業務終了後の一日二回、バッチ処理がないシステムであれば、業務終了後の一日一回のバックアップを取得するのが現実的で最善の方法かと思います。

 

 データのバックアツプをテープや光ディスク媒体で取る場合、一点だけ注意ですが、この媒体は、読み取り時にエラーになることがあり、最悪の場合、折角、バックアップを取っておいても、有事の際に使えない場合が、多少なりともありますので、 必ず正副2つのバックアップを取る様にして下さい。そして、遠隔地に送る際も、正副の媒体を違う輸送手段で別々に送る様にすれば、輸送事故が発生した際のリスク回避にもなります。

 

 

2.クラウドを利用したデータのバックアップ

 

 前出のバックアップ媒体を輸送するというのは、今すぐ出来るという点では即効性がありますが、輸送コスト、保管コスト、管理コストなどを長期的に考えると決して安価な方法ではなく、また、バックアップ媒体の紛失などセキュリティ面では、最良の方法ではありません。

 

 次に解説する方法は、通信回線経由で、バックアップデータを遠隔地に転送する方法となります。

 

 もし、遠隔地に別の事業所があるような会社は、そこにバックアップ用のサーバー、ストレージ、あるいはPCを置き、それを通信回線で接続、バックアップ元とバックアップ先にそれぞれ、バックアップ用のソフトウェアを導入し、自動でバックアップを行う設定を行えば、あとは自動で決まった間隔でバックアップを取り続けてくれます。

 

 この方法の利点は、長期のランニングコストは安いですが、このバックアップシステムを作るのに、ある程度、専門的な知識や運用をしてくれる人員が必要ということになります。

 

 また、現在ではクラウドコンピューティングと言われる、インターネットを介したITシステムを気軽に使える様になって来ましたので、これらのサービスを活用することも可能です。バックアップ元のITシステムは、インターネットを介して、クラウドサービス事業者が提供するバックアップ用のシステムに接続し、データが流れる仕組みとなっています。

 

 基本的にバックアップ用のシステムは、クラウドサービス事業者が提供、運用しますので、利用者側の人的負担が少ないという利点があります。料金は無料のものから、月額数百万円と多岐に渡ります。料金が高くなればなるほど、バックアップデータの転送速度が速かったり、バックアップの頻度がリアルタイムに近くなったり、セキュリティ面でも堅牢なサービスとなる傾向があります。

 

 自社のシステムの重要度や万が一、情報漏洩が発生した場合の企業リスクに照らし合わせて、予算の中で適切なクラウドサービスを選択して頂ければと思います。

 

 

3.クラウドサービスへのシステム移行

 前項で、バックアップをクラウドサービスを使って行うということを説明しましたが、バックアップだけでなく、クラウドサービスへシステムを全面的に移行するという方法があります。この方法は、スイッチングコストがある程度、必要になりますが、一度、クラウドサービスに移行してしまえば、災害などにより壊滅的な被害が発生したとしても、データが守られるだけでなく、すぐに場所を変えて、業務を再開することが出来るのです。

 

 一つ、例を挙げるとすれば、多くの会社で利用されているグループウェアと言われている、メール、スケジュール管理、情報共有などが出来る包括的なITシステムがあります。このグループウェアを、同等の機能が提供されているGoogleAppsと言われるクラウドサービスに移行することにより、大切なデータはクラウド上に保存されます。しかも、このクラウド上というのは、米国内にあるGoogle社のデータセンターですので、たとえ、日本全体が大きな災害に見舞われたとしても、パソコン、もしくはスマートフォンなどでインターネットに接続出来る環境さえあれば、世界中のどこでも仕事を再開することが出来るのです。このGoogleAppsは、10人以下の企業は無償で使うことが出来ますので、特に小規模法人やスタートアップ企業にとっては、負担もほとんどありません。

 

 Google以外のクラウドサービス、特に日本国内の企業が提供しているクラウドサービスの場合は、データは日本国内のデータセンター内に置かれいる場合が多いですが、ほとんどのデータセンターは、通常のオフィスビルと違い、耐震、免震、自家発電機などの堅牢な設備で運営されています。たとえ大災害が発生したとしても、きちんとしたデータセンター内で運営されているクラウドサービスは、データ消失という事態になる可能性は極めて低いのです。

 

 しかし、データセンターも人員がいないと運営出来ませんし、今回の東日本大震災発生の時の様に、データセンターの被害は全くなくても、そこへ通じる基幹通信回線自体が利用不能と言うことも考えられます。

 

 ですので、被災後に安否確認や情報収集で使うメールなどのコミュニケーションシステムは、地勢的なリスクが低い海外のデータセンターで運用されているクラウドサービスを使うというのも、一つの選択肢かと思います。

 

 東京の自然災害のリスクはサンフランシスコの4.2倍

 今後、広域的な連動型大地震が発生する確率が高いと言われており、日本の大部分の場所は、資料5のように地勢的なリスクが高い状況です。また、地震だけでなく、台風などの自然災害を含めると、日本の東京・横浜、名古屋、大阪などの大都市は世界的にも、非常に地勢的なリスクが高く、東京・横浜においては、第2位のサンフランシスコと比較しても13倍のリスクがあります。

 

 私たちは、日本という地震をはじめとした自然災害が発生しやすい地域で、ビジネスをしていることを考えると、企業存続に関わる様な大切なデータは、日本国外に置いておき、それをインターネットを介して利用するということが、根本的なリスク回避方法かもしれません。

 

 大企業では、企業で使われているITシステムをクラウド化するというのは、今までのITシステムが複雑、かつ膨大なこともあり、非常に大変なことでありますが、ITシステムが比較的シンプルで小規模な中小企業にとっては、クラウドへの移行は容易であると同時に、コスト削減になる場合もあります。

 

 実際に、従業員人数100人の中小企業が、グループウェアを自社構築運用型から、クラウドサービスへ移行した場合、資料7のように、年間1440万円のコスト削減になる当社の試算結果も出ています。また、直接的な被害が無かったとしても、クラウドサービスに移行することによって、有事の際は、在宅勤務・テレワークに、そのITシステムを活用出来るなど、BCP以外のメリットも見いだすことが出来ます。

 

BCPコストは年間売上の0.5パーセントが上限

 3つのBCPの方法を説明して来ましたが、BCPというのはあくまで保険であり、平時はコスト以外、何も生み出すことは出来ません。多くの中小企業によっては、このBCPのコストというのは、経営に重くのし掛ってきます。当社のBCPコンサルティングでも、このBCPに掛けられるコストは、ITシステム以外のBCPまでを含めても、企業の年間売上額の0.5パーセント程度ということが現状です。特に利益率が低い業種の場合は、この0.5パーセントが企業経営を逼迫させる要因にもなってしまいます。

 

 もちろん、その投資を怠り、被災時に事業継続を出来ないばかりか、データ消失に至って企業存亡が危ぶまれる事態になってしまっては、本末転倒になってしまいますが、中小企業にとっては、BCPは保険でなく、既存の業務でITを活用して、コストを削減したり、効率化したりという観点、すなわち「BCPになるITシステムを平時から使う」ということが、ポイントになるかと思います。

 

 

無料で今すぐ出来る中小企業のBCP

 最後にデータ消失を避ける為に、従業員10人前後の中小企業で多いITシステム形態である、会社の業務システムは、グループェア(メール、スケジュール、情報共有など)と財務会計システムしかないという前提で、致命的な損害であるデータ消失を無料のクラウドサービスを使って、回避する方法を一例として示したいと思います。

 

1.グループウェア(メール、スケジュール、情報共有)の準備

マイクロソフト社のOutlookを使っている場合、各従業員のメールやスケジュールなどのデータは、各PCのpstファイルにすべてデータが記録されています。このファイルの保存場所を、Windowsであれば「マイ ドキュメント」に保存場所を変更します。

 

2.財務会計システムの準備

財務会計システムで使っているPCのデータファイルの保存場所を、こちらも同様にWindowsであれば「マイ ドキュメント」に保存場所を変更します。ファイルの種類は財務会計ソフトの種類によって違いますので、ソフトの説明書で確認して下さい。

 

3.自動バックアップソフトのインストール

DropBox(www.dropbox.com)というクラウドサービスがあります。容量2GBまでは無料で使うことが出来ますので、従業員毎にアカウントを作成し、PCにソフトウェアをインストールします。最初の同期の際は、数時間、時間がかかりますが、それ以降、ファイルが更新される度に、リアルタイムでクラウド上に「マイドキュメント」フォルダ内のデータのバックアップがコピーされます。

PCレベルのシステムしかない企業であれば、これだけでデータのバックアップがクラウド上に作成され、万が一、オフィスが壊滅的な被害にあっても、新しいPCを用意して、DropBoxのソフトウェアをインストール、アカウントを入力するだけで、新しいPCに「マイドキュメント」内のデータが全てクラウド上のバックアップから復元されます。

新しいPCにした際に、PCにインストールされていたOutlookや財務会計ソフトを再度、インストールする必要はありますが、この方法をやっておけば、ほぼリアルタイムで自動バックアップが出来ますので、被災した場合だけでなく、PCの買替え、在宅勤務・テレワークなどにも活用出来ます。

 これは難しい作業ではありませんが、確実に実施したい、その後の全体的なサポートなどを受けたい場合は、当社の様な専門企業に支援依頼をすることも出来ます。

 

 ITのBCPは決して、後ろ向きな物ではなく、創意工夫で、このように前向きな投資へと変えることが出来ます。今回の東日本大震災の教訓として学んだこと、つまり企業経営で最悪な事態である「データ消失」を回避する為にも、このような簡単な方法、無料で出来る方法から、今すぐ実践して頂き、企業経営のリスクを一つ一つ確実に回避して頂くことを願っております。

 

 

 

LINEで送る
Pocket