情報資産の保全と事業継続の推進

はじめに

当社は、東日本大震災震災が情報資産へもたらした影響について次の２つの調査を実施し、解説している。

1. 被災地３県を中心とした訪問調査「東日本大震災の影響把握のための訪問調査」
   （2011年９月、訪問件数：60社）
2. 全国１万社の企業を対象とした郵送調査「情報資産管理に関する意識調査」
   （2011年７～９月、有効回収数：1,491社）

この記事では２．の全国１万社の企業を対象した郵送調査結果をふまえ、事業継続体制の強化への取組みを紹介したい。全国の企業・団体の「次への備え」の参考にしていただきたい。

全国1万社の企業を対象とした郵送調査結果

2008年８月の実施以来３年ぶりの調査として、従業員20人以上の企業１万社を対象とした郵送調査「情報資産管理に関する意識調査」（有効回収集：1,491社、回収率：14.9％）を実施した。東日本大震災の影響に着目し、その一部を紹介する。

１) 事業継続計画（Business Continuity Plan：BCP）の策定・見直し状況

BCPをすでに策定している企業は、2008年前回調査より約８ポイント増え、17.2％。そのうち、震災前から策定していた企業のうち、７割以上の企業がBCPを既に見直し、または見直しを検討している。

２) 今後の自然災害への備えとして重視すること

「地震などの大規模災害時の緊急時対応（64.5％）」や「情報システムのバックアップ・リカバリ（災害復旧）計画（57.5％）」といったBCPの実効性確保のための具体的対策について、半数以上が重視している。

また「コンピュータデータ等のリスク分散対策（39.1％）」や「重要書類の保全対策（36.8％）」といった情報資産の保全についても、３割以上が重要と考えている。

情報資産の災害対策の実態と「次への備え」のための考察

１) 各種調査からみえてきた実態

被災地３県（岩手・宮城・福島）を中心とした訪問調査「東日本大震災の影響把握のための訪問調査」（訪問件数：60社）、文献調査などからみえてきた情報資産の災害対策の実態で、特筆すべきは次の３点といえる。

(１) 事業継続／災害復旧を検討する際に、"重要文書"のことを忘れている

住民票や戸籍、治療歴、薬の服用歴などの、災害直後の応急対応に必要とされ、かつ消失を防ぐべき文書・データが認識・識別されず、その重要性に応じた災害対策がとられていなかった。

(２) 重要データのリスク分散対策ができていない自治体、企業等が未だ多い

同時被災を回避するため、バックアップデータの遠隔地への分散保管対策は、災害対策の基本的要件である。しかし、特に被災地はじめ地方において、未実施ないし復旧計画が未整備などの自治体^{（※）、企業等が多い。}

※ 自治体や病院では、相互援助協定など周辺自治体や病院等との相互援助協定に基づく分散保管の例もあるが、ごく一部である。

(３) 通信インフラやライフラインに依存しない、状況に応じた現場での対応力が必要とされている

想定を遥かに超えた広域・長期の停電や、ガソリン等の燃料、エネルギー不足が深刻に影響し、電話や通信ネットワークの途絶、情報システムの停止などが発生した。災害時こそ、人や車輌による重要情報（紙・磁気メディア）の搬送体制など、実際に届ける力が必要とされた。

２) 企業等における「次への備え」

マグニチュード9.0という巨大地震の影響で、地殻の動き・ベクトルが変化し、日本列島全域で非常に地震が起こりやすく、またそのエネルギー規模が大きくなったといわれている。次への備えとして、まずはしっかりした地震・津波防災対策を整備することが急務であり、その上で災害時優先業務やICT業務などのBCP、そしてその実効性を担保するための整備計画の推進と訓練が必要である。

(１) BCPの実効性確保が欠かせない

BCP自体より、その実効性確保に欠かせない緊急時対応、災害復旧対策（Disaster Recovery Plan）の策定・見直しが急務である。BCPはマネジメント・フレームワークとして必要ではあるが、実際に危機に直面したときは、被害の軽減、応急復旧など現場の災害対応力こそが大事である。

そこで重要なのが、「情報通信ネットワークに依存しない代替処理態勢」である。今回の大震災の被害報告等によると、電気や通信、水、燃料補給などライフラインの長期的な中断・停止は余儀なく、従来の被災想定や歴史地震の経験値を大きく超えている。自治体の災害時優先業務や企業BCPのコア業務には、ライフライン本格復旧までの紙記録やスタンドアローンなどによる代替処理態勢も併せて検討し、準備しておくことが必要である。実際に電気や通信ネットワークなど、平常状態をベースにした防災計画やBCPには、安否確認や緊急連絡など初動段階から支障が生じている。BCPにおけるいわゆる目標復旧時間（RTO）を１日から３日に設定している企業、団体が大半であるが、実際の地震災害においてライフラインの復旧曲線は緩やかであり、電気の場合、阪神・淡路大震災時で７日、東日本大震災時には完全復旧まで99日にも及んでいる。　

これには、基幹業務サーバの移管やホスティングなどのデータセンター利用のほか、クラウドサービス、仮想化などの活用も有効である。「クラウド化」が一種の時代のキーワードとなった感があるが、利用にはサービス事業者の特徴や信頼度などを適切に評価し、システムの特性や重要度に応じて適材適所で使い分けることが大切である。特に、停電時の燃料補給体制などの災害対応力は事前の取り決めがないと、肝心なときに役に立たないことに留意すべきである。

(２) 重要な情報資産の保全が災害復旧の大前提

震災では津波による重要文書、医療情報の流失が多く発生した。企業・団体にとって、代替の利かない情報資産である重要文書や基幹業務のコンピュータデータなどに対する災害対策の基本が未だ不十分であった。1995年、阪神・淡路大震災の痛い教訓^（※）が活かされていなかった。

一方で医療情報を遠隔地の病院に伝送していてデータが助かった事例もある。

震災後、改めて重要文書の分散保管の必要性が再認識されており、特に紙文書に対する有力な解決策として「電子化」が期待されている。電子化を行うことで、ネットワーク経由で遠隔地にデータを保管することができ、重要文書の原本をリスクの低い場所で安全に保有することができる。業務効率のうえでも、業務プロセスのネットワーク化は望ましい。ただし、ライフライン停止時の対応も考慮し、応急的代替手段としての手作業やスタンドアローンでの対応策も不可欠であり、フィジカルデータ（紙文書・記録メディア等）の保全や取り寄せるための輸送手段など、実践的な備えが必要とされる。コストとの兼ね合いも考慮し、対象文書を選定する、必要なときだけ随時電子化する方法を選ぶなど、柔軟な運用方法を検討することを推奨する。

※ 阪神・淡路大震災直後、1995年４月に神戸商工会議所が実施したアンケート調査で、具体的な防災対策として「重要なソフトデータは常時コピーし分散保管する」（８割以上）であった。

３) 情報資産の保全と災害対策に関する動向

(１) 国や地域社会、業界内、サプライチェーン全体に広まる連携強化

地震・津波などによる災害復旧の原点は、まず自助にある。しかし、広域・大規模災害では、個々の団体・企業では対応しきれない問題が多数発生している。

地域社会や非被災地域との相互支援体制では、関西広域連合に代表されるカウンターパート方式の災害時支援体制、地域内の防災では、地域版BCP事業継続計画ともいえる地区業務継続計画（District Continuity Plan）といった取組みが注目されている。医療分野では２次医療圏^（※）や健保・介護との連携による包括ケアに向けた動きが見られる。製造業などの民間企業においては自社グループ内および顧客や取引先など素材、部品等サプライチェーンの上・下流、さらには業界内の協業および競合先との連携協力の構築、強化も不可欠であり、地域社会を視野に置いた災害対策、事業継続体制の整備が求められている。

※ 特殊な医療を除く、入院治療を主とした一般の医療需要に対応するために設定された区域。

地域・企業間の連携強化を進めていくうえで忘れないでいただきたいのは、サービス利用者個人の安心・安全が満たされるような対応が大切だということだ。情報資産に絞っていえば、生活者（災害時では被災者）の視点に立って、自治体の住民記録、医療の包括ケアに必要な記録、あるいはカード会員記録など、個人１人１人の情報の安全管理や必要性に基づいた集約・管理などの対応が求められる。

(２) 情報資産管理に関わるサービス事業者への要求・期待は高まる

「任せて安心」なサービスへの期待は高まっており、重要情報資産の保全・災害復旧対策など非日常的で専門的な業務については、外部委託、アウトソース化に拍車がかかる。ただし、データセンターにおいてもライフラインの停止に伴い、利用顧客の情報システムの停止事例は多数見受けられる。たとえ分散保管をしていても、ネットワークの不通により必要なときに閲覧・利用できないこともある。東日本大震災でも、実際に、必要な情報を紙で出力し、人伝てに届けられた事例があるが、いざというときにお客様の業務を継続するための総合的な支援体制が求められている。

震災時、首都圏湾岸部や北関東に立地するバックアップデータ等の保管サービス事業者でも液状化による被害や燃料不足等の影響を受け、サービス業務の中断、一時停止が発生した。顧客の被災時には、最後の砦となり、顧客企業存続の命綱を握っている事業者の災害対策強化、および業界全体の連携が急がれる。

実際に、訪問した３県の自治体や病院などから、情報資産の災害対策について、個別のサービス契約ではなく、平時の運用から災害時の支援・連携体制など、包括的な対応を求める声がいくつかあった。サービス事業者側も、地域的・広域的な対応を行うためのサービス拠点・営業体制の構築などが課題である。

おわりに

「何よりもまず、自分（自社）が被災者とならない」ことが大切である。

地震・津波から社員等や施設・設備などの経営資源を守る防災対策の強化が急務であり、想定される地震被害の具体値や条件、自社各拠点の実態を調べ、対策マニュアルを改訂整備すること。そのうえで、限られたリソースの中での実践的なBCPとして、非常時に「使える」事業継続の態勢の整備が必要だ。地方拠点も包含する、実践の「緊急時対応計画」を用意し、テスト・訓練を行うことを忘れない。そして、システムの災害復旧計(Disaster Recovery Plan）、重要な情報資産の保全策を徹底することだ。重要な情報資産とは何か、災害発生時に必要な情報資産は何か、改めて確認しよう。

地震自体は防げないが、地震発災時に、救済者、支援者の側に立つための具体的準備が急務である。圧倒的な自然の驚異の前には、池や大地に刻み込まれた津波の痕跡など「過去からの警告」に耳を澄ますと同時に、「想定」を設けることのリスクも充分に認識したうえで、事前の備えを高めること。そして、発災時には、被害を最小限に押さえ込み、不屈の復旧復興を見せることが肝心である。

関連記事：情報資産管理を改めて考える

※本コラムの内容は、当時、社団法人日本画像情報マネジメント協会発行の『月刊IM2012年4月号』（2012年3月15日発行）P13-15に掲載されたのものです。