日本は地震や津波、火山噴火、豪雨・台風、雪害などの自然災害が多く発生するため、緊急時の備えが必要不可欠です。近年ではハッカーによるサイバーテロによる情報漏洩、パンデミックによる事業の停止など、新たな脅威も訪れています。企業は緊急時の備えを怠っていると事業継続に大きな影響をもたらし、今後の企業存続にも支障が出やすくなるでしょう。
緊急時の備えとして、BCPの策定を考える企業が増えています。2011年の東日本大震災によってBCPに注目が集まり、その必要性を感じた方も多いはずです。同時にDRも注目され「どちらが自社にとって有効なのか」「それぞれの違いはあるのだろうか」などと疑問に感じる方も多いでしょう。
そこでこの記事では、BCPとDRの違いを紹介します。それぞれの策定ポイントや注意点も解説しているので、あわせて参考にしてください。
監修者:堀越 昌和(ほりこし まさかず)
福山平成大学 経営学部 教授
東北大学大学院経済学研究科博士課程後期修了 博士(経営学)。中小企業金融公庫(現.日本政策金融公庫)などを経て現職。
関西大学経済・政治研究所委嘱研究員ほか兼務。専門は、中小企業のリスクマネジメント。主に、BCPや事業承継、経営者の健康問題に関する調査研究に取り組んでいる。
著書に『中小企業の事業承継―規模の制約とその克服に向けた課題-』(文眞堂)などがある。
安否確認システムを選ぶなら、トヨクモの安否確認サービス2!
アプリ・メール・LINEで安否確認ができるほか、
ガラケーにも対応で世代を問わず使いやすいのが特徴です。
また初期費用0・リーズナブルな料金で導入できます。
下記のリンクから30日間無料お試し(自動課金一切ナシ、何度でもご利用可能)をお申し込みいただけます。
⇨安否確認サービス2を30日間無料でお試し
目次
BCPとDRの違い
BCPとDRはともに緊急時に活用される計画ではあるものの、その対象範囲が異なります。まずは、それぞれの概要を確認し、どのような違いが見られるのかを理解しましょう。
BCPは「事業継続計画」
BCPとは「Business Continuity Plan」を省略した言葉で、事業継続計画のことです。たとえば、緊急時のマニュアルを策定したり、避難訓練を定期的に実施したりするのもBCPの一環といえます。
BCPを策定しておくと、災害をはじめとする緊急時に企業の事業全体における早期復旧や事業継続を目指しやすくなります。つまり、企業の存続がかかっており、緊急時の道しるべともなる計画といえるでしょう。
DRは「災害復旧」
DRとは「Disaster Recovery」の略で、災害復旧のことです。予期せぬ災害によって被害を受けたシステムを復旧することを指します。あらゆる対策によってトラブルが起こった際のリスクを減らせば、大きな災害であってもデータを失うリスクを回避できます。
また、似た言葉にDRPがあります。DRPとは「Disaster Recovery Plan」を省略した言葉で、災害復旧計画のことです。
自然災害やテロ、悪意のある攻撃などで企業のITシステムに被害・影響が出た時に、ITシステムを迅速に復旧させ、企業の事業継続を図るための計画を指します。つまり「DRを目指すための計画としてDRPがある」と理解すれば分かりやすいでしょう。
なお、DRについてはITシステムの復旧に限らず、一般的な災害復旧においても使用される場合があるので、注意してください。
企業におけるBCP・DRの必要性
BCPとDRはともに、リスクを抱える企業にとって重要な取り組みです。日本は地震や津波、火山噴火、豪雨・台風、雪害などの自然災害が多く、企業の事業継続に大きな影響を与える恐れがあります。さらに、企業は以下のようなリスクを抱えています。
- 新型コロナウイルスのようなパンデミック
- サイバーテロによる情報漏洩
- 知的財産権や商標権などの侵害
- 取引先の倒産
- 従業員の不正行為
これらのリスクに備えたBCPを策定しておくと、企業への損害を最小限に抑えながら事業継続しやすくなるでしょう。反対に、リスクに備えた対策をしていなければ企業の存続にも大きな影響を与えます。
なお、内閣府が発表したデータによるとBCPの策定状況は大企業で76.4%、中小企業で45.5%が策定済みと回答しており、前年度の調査時よりも増えています。しかし、国が定める目標基準に届いていないため、BCPの策定が急務とされているのが現状です。
(参考:内閣府「令和5年度 企業の事業継続及び防災の取組に関する実態調査」)
そして、BCPを策定して万が一に備えるだけではなく、BCPの一環であるDRも事業継続の要となるため重要な取り組みです。ITシステムの復旧に焦点を充てた計画があれば早急にシステムを稼働でき、事業をより継続しやすくなるでしょう。
企業の規模に関わらず、BCPやDRに積極的に取り組めば自社や従業員を守れます。
BCPを策定・運用する際のポイント
BCPを策定・運用する際のポイントは、以下のとおりです。
- 起こり得るリスクを把握する
- 優先すべき事業を決めておく
- 最初から完璧は目指さない
- 従業員に周知する
それぞれについて解説します。
起こり得るリスクを把握する
BCPを策定する際は、起こり得るリスクを把握しましょう。企業によって起こり得るリスクは異なり、必要な対策にも違いが見られます。たとえば、河川に近い場所に事業所が位置している場合は、河川の氾濫に備えた対策が必須です。一方で、近くに河川がない場合はその対策は不要となり、別の対策を講じる必要があるでしょう。
さらに、化学物質を扱う企業であれば、作業中に地震が発生したときに備えて防具服の準備も必要かもしれません。以上のことから、BCPを策定する際は企業が直面し得るリスクを洗い出し、そのリスクに応じた対策を検討することで事業の早期復旧を目指せます。
優先すべき事業を決めておく
BCPを策定する場合は、優先すべき事業を決めておきましょう。地震をはじめとする緊急時は何が起こるか予測できず、規模を維持したまま事業継続するのは難しいかもしれません。しかし、すべての事業を止めてしまうと企業の収益が見込めず、存続自体に大きな影響をもたらすでしょう。
そのため、緊急時に優先させるべき事業をあらかじめ決めておき、一定の収益を確保できるようにすることが大切です。具体的には、売上がもっともある事業や納期遅延による損害が大きな事業などを優先するのも一つの対策です。「平時のような人員や物資などを確保できない状態で何ができるか」を考えながら、優先すべき事業を見極めましょう。
最初から完璧は目指さない
BCPを策定する際は完璧を目指そうとするのではなく「とりあえずBCPを完成させる」を目標しましょう。最初から完璧を目指そうとすると、さまざまなリスクを想定した対策を盛り込みやすくなります。
そうすると、読み返したときに重要なポイントが分かりにくかったり、次に何をすべきかが判断しにくかったりします。また、完璧なBCPを策定しようとすると難しく考えすぎて、挫折しやすくなるでしょう。そのため、BCPを策定する際は、スモールステップで始めていくことがポイントです。
従業員に周知する
BCPを策定したら、従業員に周知させることもポイントです。BCPを策定しても従業員に周知していなければ、緊急時に活用できません。一部の従業員だけが理解しても、迅速な初動は不可能でしょう。すべての従業員がBCPに沿って動けるように、平時から浸透させる仕組みを構築してください。
DRを策定・運用する際のポイント
DRを策定・運用する際のポイントは、以下のとおりです。
- 3つの構成要素を理解する
- バックアップ方法を決めておく
- バックアップデータの外部委託基準の選定する
それぞれについて解説します。
3つの構成要素を理解する
DRを策定する際は、以下の3つの要素を理解することが大切です。
- RPO:目標復旧時点
- RTO:目標復旧時間
- RLO:目標復旧レベル
それぞれについて解説します。
RPO(目標復旧時点)
RPOとは「Recovery Point Objective」の略称で、目標復旧時点のことです。災害や悪意のある攻撃によってデータに不具合が出た場合、どの時点までさかのぼって復旧をさせるかの指標です。
RPOの重要度は、企業によって異なります。たとえば取引が頻繁に行われる銀行の場合、RPOはゼロ秒前に近い状態での復旧が求められるでしょう。一方でデータの更新が少ない企業では、一週間前のデータが復旧すれば事業継続には大きな問題がないケースもあります。
RPOの設定を見誤ると顧客や取引先の信頼を失う恐れがあるため、どの程度であれば許容されるかを事前に精査しておきましょう。
RTO(目標復旧時間)
RTOとは「Recovery Time Objective」の略称で、目標復旧時間のことです。データをいつまでに復旧させるとよいのかを考える指標です。
RTOが短いほど企業に与えるダメージを抑えられますが、早い復旧には金銭面や人員面でのリソースが多く必要となります。
RTOを設定する際は、顧客や取引先の要請に基づくことが大切です。誤ったRTOを設定すると、顧客の信頼を失うかもしれません。
RLO(目標復旧レベル)
RLOとは「Recovery Level Objective」の略称で、目標復旧レベルのことです。どの水準まで復旧をさせれば事業が継続できるかを考える指標です。
RTOと組み合わせて「いつまでにどの程度復旧させるか」の設定がポイントとなります。全面的な復旧が必要なのか、とりあえず一部機能の仮復旧が必要なのかを検討します。復旧レベルは%で表し、業務内容によって目標値は変わります。
ほかの2つの指標と同様に自社内だけの影響ではなく、取引先や顧客への影響も考えて数値を設定しなければいけません。
バックアップ方法をきめておく
DRを実行するには、データのバックアップ方法がポイントです。主なバックアップ方法は以下の3つです。
- 磁気テープ
- データセンター
- クラウド環境
それぞれについて解説します。
磁気テープでバックアップをとる
1つ目は、磁気テープでデータのバックアップを保存・保管する方法です。
磁気テープは、細かい粉状にした磁性体をベースフィルムに乗せたものです。代表的なものにビデオテープやカセットテープなどがあります。アナログな仕組みですが、長期にわたる保存が可能なうえ、コストを抑えて管理できます。磁気テープはコンパクトなため、管理をするスペースも節約できるでしょう。
ただし、元データとバックアップデータを同じ場所で保管すると、災害時にどちらも被害・影響を受けて使えなくなる恐れがあるため、同時被災する可能性が低い複数箇所に保管するなどの工夫が必要です。
データセンターにバックアップする
2つ目は、データセンターを活用してバックアップをする方法です。データセンターはトラブルが起こった際にシステムが停止するリスクを減らす対策をしています。
バックアップをとる際は、ネットワークを通してデータセンターにデータを送信して保存します。そして不測の事態が起こったら、データの差し替えをするという流れです。
データセンターを活用するときは、大量のデータを転送できるネットワークが求められます。さらに、通信障害が起きたときに備えて、通信やバックアップ方法についての代替手段を構築しましょう。また、自社と同じエリアにあるデータセンターを利用すると、同時に被災する恐れがあります。データセンターの場所についても精査が必要です。
クラウド環境にバックアップする
3つ目は、クラウド環境でデータの保存をする方法です。
クラウド環境であれば場所を選ばずデータの保存ができ、大きな災害であってもデータを失うリスクを回避できます。インターネットが使える環境であれば、すぐにデータを復旧できる点が魅力です。事務所が被災してしまったときでも、クラウド環境にデータが保管されていれば、代わりのオフィスや自宅PCですぐに業務が始められます。
バックアップデータの外部委託基準の選定する
DRを策定する際は、データのバックアップを外部に委託する際の基準を決めましょう。基準は企業によって異なりますが、基本的には以下のポイントに注目して行います。
- 外部委託先の立地や施設は適切か
- セキュリティ対策は万全か
- どのようなサービスがあるか
- サポート体制は自社のニーズにあっているか
データバックアップのサービスは多種多様です。ほかのデータバックアップサービスに契約変更する際は多くの労力がかかるため、慎重に選びましょう。
BCP・DRに共通する注意点
BCPとDRに共通する注意点は、以下のとおりです。
- 従業員の人命を最優先する
- 策定手順を理解する
- 実証・改善を繰り返す
- 自社に合ったシステムを導入する
それぞれについて解説します。
従業員の人命を最優先にする
緊急時はBCPやDRよりも、従業員の人命を最優先しましょう。企業には従業員を守る義務が課せられており、いついかなるときも従業員を守らなければいけません。従業員がいなければ事業を継続できず、企業事態の存続もできないからです。
そのため、地震をはじめとする緊急時が発生したときはBCPやDRの発動を考慮するのではなく、自身を含めてすべての従業員の身の安全を確保しましょう。そのうえで事業継続について話し合っていくことが大切です。
なお、災害が発生したときの安否確認手段には、トヨクモが提供している『安否確認サービス2』の活用がおすすめです。
『安否確認サービス2』は、気象庁の情報と連動して安否確認通知を自動で送信します。従業員から得られた回答結果も自動で集計・分析してくれるため、安否確認にかかる手間を大幅に削減しながら被害状況を把握できます。緊急時の迅速な初動を実現したい方は、ぜひトヨクモの『安否確認サービス2』を導入してください。
安否確認システムはトヨクモがおすすめ!
災害時、安否確認通知を自動で送信・自動で集計できるので
担当者の初動対応の負担を軽減できます!
下記のリンクから30日間無料お試し(自動課金一切ナシ、何度でもご利用可能)をお申し込みいただけます。
⇨安否確認サービス2を30日間無料でお試し
策定手順を理解する
BCPとDRを策定するときは、それぞれの手順を理解しましょう。具体的な手順は以下のとおりです。
【BCPの策定手順】
- 基本方針を策定する
- 運用体制を決定する
- 中核事業と復旧目標を設定する
- 財務診断と事前対策を実施する
- 緊急時の対応の流れを決めておく
なお、BCPの策定手順の詳細は、以下の記事をご覧ください。
【DRの策定手順】
- 基本方針を明確にする
- 優先する事項やサービスを決める
- 想定し得る危機を洗い出し、被害予測を立てる
- 対策案・ワークフローを練る
- 体制を整備する
上記の流れをもとに、事業内容や企業規模にあわせて柔軟に策定しましょう。
実証・改善を繰り返す
BCPやDRは策定して終わりではなく、訓練による検証やその結果をもとにした改善が大切です。
被害を想定した訓練は定期的に行い、計画に穴がないかを見直しましょう。訓練によって発見することができた課題を改善すれば、緊急時に起こるトラブルをより減少できます。
自社に合ったシステムを導入する
BCPやDRを策定する際は、自社に合ったシステムを導入しましょう。企業にシステムを取り入れる場合、導入費や維持コストが自社の基準に合っているか確認しなければいけません。ほかにも緊急時の使用が想定されることから、使いやすさやサポート体制の有無なども重視すべきポイントです。
しかし、BCPやDRに関するシステムは利益を直接生み出すシステムではないと判断されると、多くの予算を確保できない可能性があります。そのため、システムを導入する際は優先事項を決めておき、予算に応じたシステムを選ぶ必要があります。
BCPの策定にはトヨクモの『BCP策定支援サービス(ライト版)』がおすすめ
BCP策定には、トヨクモが提供する『BCP策定支援サービス(ライト版)』の活用がおすすめです。BCPコンサルティングは数十〜数百万円ほどするのが一般的ではあるものの、BCP策定支援サービス(ライト版)であれば1ヵ月15万円(税抜)で策定できます。
また、最短1ヵ月で策定できるため、すぐにでもBCPを取り入れたい企業にもおすすめです。「金銭的な負担を軽減したい」「手間をかけずにBCPを策定したい」とお考えの企業は、ぜひ利用をご検討ください。
BCP策定支援サービス(ライト版)の資料をダウンロードする
※BCP策定支援サービス(ライト版)は株式会社大塚商会が代理店として販売しています。
BCPとDRの違いを理解したうえで緊急時に備えよう
BCPとDRは緊急時の事業継続に欠かせない要素ではあるものの、その対象範囲に違いが見られます。緊急時の備えをする際は「どの範囲の備えをしたいか」を明確にし、その目的に合った対策を実施しましょう。
BCPやDRの策定に悩んだときは、システムの利用がおすすめです。トヨクモの『安否確認サービス2』は、緊急時の初動対応である従業員の安否確認をスムーズに行えるシステムです。また、指示や連絡事項を共有できる掲示板があり、DRの実施をスムーズに行えます。
30日間のトライアル期間もあり、自社に適したシステムなのかを事前に確認できます。さらに初期費用がかからないため、費用面でのコストを抑えたい企業にもおすすめです。緊急時に備えた取り組みをご検討中の方は、以下のフォームより無料体験をお試しください。
監修者:堀越 昌和(ほりこし まさかず)
福山平成大学 経営学部 教授
東北大学大学院経済学研究科博士課程後期修了 博士(経営学)。中小企業金融公庫(現.日本政策金融公庫)などを経て現職。
関西大学経済・政治研究所委嘱研究員ほか兼務。専門は、中小企業のリスクマネジメント。主に、BCPや事業承継、経営者の健康問題に関する調査研究に取り組んでいる。
著書に『中小企業の事業承継―規模の制約とその克服に向けた課題-』(文眞堂)などがある。