BCPを理解して災害復旧計画に取り組む

計画策定のステップ

BCPへの取り組みの基本方針を決定した後のBCP策定（Planの部分）はおおむね以下の手順で進めていくことができる。

• ステップ1：リスクシナリオ策定
• ステップ2：ビジネス影響度分析
• ステップ3：事業継続方法の検討と文書化

リスクシナリオとは、想定する災害（リスク）と災害によって想定される障害（シナリオ）の組み合わせのことを指し、具体的には『地震（リスク）によってマシン室が崩壊する（シナリオ）』というようなものである。

リスクシナリオ策定が完了したら、対象の特定とその影響度の把握である。これはビジネス影響度分析と呼ばれ、事業に影響を与えるプロセスやリソースを特定し、重要度の高い順に対応の優先度をつけていく作業を行うことで対応すべき対象を絞り込む。災害や事故の発生によって影響を受ける企業活動（事業）を構成するプロセスやリソースには実に様々なものがあり、それぞれに対応した継続計画を策定しようとすると膨大なコスト費用、期間が必要となるが、ビジネス影響度分析を実施することで、リソースやコストも含めた実現性の高い、有効な対応策の検討が可能となる。

優先度の評価指標には定性的なもの（社会の評判、風評など）と定量的なもの（損失金額など）があるが、定量的な評価指標のほうが客観的に優先度を判断しやすく、経営層の理解も得易いため、可能な限り定量的な指標で評価することが望ましい。

リスクシナリオとビジネス影響度分析により、BCPの対象とすべきプロセスやリソースが明らかになったら、具体的な事業継続方法の検討をしていく。検討に際しては戦略と対策を混同しないように留意が必要だ。戦略に対してそれを実現する対策は複数考えられるからだ。例えば「地震の発生によってサーバが機能しなくなり受注業務が中断してしまう」というリスクシナリオにおいて、「代替手段で速やかに業務を再開する」という戦略を立てた場合、それを実現する対策は「手書き伝票で受注業務を継続する」や「ホットサイトを構築し、受注業務を代替サーバで速やかに引き継ぐ」などがある。複数の実現方法のなかから、様々な観点で要件（目標復旧時間や目標復旧レベル、投資可能なコストなど）をチェックし、要件を満たす具体的な対策を選定するのである。

このようにして対象業務ごとに検討した結果を文書化し最終的にBCPとしてまとめていくことになる。

次回は、IT災害復旧に的をしぼり、計画策定の手順を解説する。