IT-BCP構築支援サービスお客様事例 : SBIアクサ生命保険株式会社様
インターネットでサービスを提供するという特徴からITの重要性が非常に高い企業において、地震やインフルエンザなどの有事にどのように業務を継続するのか、特にITをどのように継続するのかに取り組まれ、このたびIT-BCP(IT事業継続)3ヵ年計画を策定されました。
その経緯に関して、ITソリューション部長 木島博征氏にお話をお伺いしました。
| ITソリューション部長 | 木島 博征氏 |
|---|---|
| ITソリューション部 | 松本 哲晃氏 |
| (写真左右は当社コンサルタント 高木 真樹と勝俣 良介) |
-まずは、貴社の事業内容を教えてください。
当社は、SBIホールディングス、アクサジャパンホールディングス、ソフトバンクの出資を受けて設立された日本初のネット専業の生命保険会社です。
システムを止められないネット専業金融
-事業継続に取り組まれたきっかけは?
一般の企業では何か問題があっても営業時間内での対応ができれば良い、最終的には人海戦術でも対応ができる、という場合もあるかと思いますが、当社はインターネット専業ですので、24時間リアルタイムでの対応が求められるだけでなく、お客様との主な接点がインターネットのみという点において特徴的です。
従いまして、たとえばシステムがダウンしてサービスが提供できなくなると、お客様との接点がなくなり実質的にビジネスがストップしてしまうことになります。これを防ぐためには、「何かあった際にどのようにITサービスを継続するのか」ということを予め整備しておかなくてはならないという意識が創業前からありました。
また、昨今生命保険業界全体としても事業継続・ITサービス継続は非常に重要視されるようになってきています。当社が今回事業認可を取得する際にも、認可折衝中から有事の事業継続性について、様々な指摘を頂いておりました。
そのような経緯もあり、情報システム部門として、大規模災害を想定したITサービス継続計画を実装していくことは当初から計画にあり、創業直後ではありますが、ITサービス継続計画の策定プロジェクトを開始いたしました。
今すぐできるIT-BCPと3ヵ年計画の策定
-プロジェクトの概要を教えてください。
今回の取組みを一言で申しますと、情報システム部門として、「大規模災害によりITサービスが中断した場合にも、すぐにサービスを再開できる」体制を達成するために、どのような取組みが必要か、を整理していくことです。今回は現状の分析を踏まえ、最終ゴールに向けた3ヵ年計画を策定するのと同時に、今すぐ着手できることとして、事業継続に関する考え方の整理と、現状の体制で実行可能なITサービス継続手順のマニュアル(DRP=災害復旧計画)の作成、そしてシステム切替えテストを含む演習を実施しました。
重要業務特定から演習まで
-整理された事項というのはどのような事ですか?
多岐にわたるポイントを検討しました。
大きく分けるとリスクの特定、重要業務の特定と目標復旧時間の特定をおこないました。
当社は創業時にDRPに関する社内規則を準備したのですが、規則としてハイレベルな内容を定義したまでで、前述のような事項に関しては明記されていませんでした。
今回の取り組みにより、たとえば、当社の事業にはどのようなリスクがあるのか、そのリスクにはどのような対策を取っていくのか等の検討から始まり、重要業務の特定とその中での優先順位も設定しました。これに際しては当然情報システム部門だけでは決定できませんので、社内の業務部門も巻き込んで整理していきました。
次に、業務の目標復旧時間に関して、その目標時間を達成するにはシステム面でどのような取り組みをどのような期間で進めるのか等の詳細を詰めました。このような課題について順次検討・議論し、規程や計画文書に落とし込む、という分析・文書化作業を約6ヶ月かけておこないました。
有意義だった分析・文書化の作業
-分析・文書化は大変でしたか?
分析用のツールや文書の雛形はニュートンさんに提供されたものを利用できたので、大変助かりましたが、ひとつひとつの項目を埋めていくのは大変な作業でした。
1つの業務の目標復旧時間を決めるにも業務部門と30分以上討論して内容を合意していくという過程が必要であったり、何を優先させるかを議論することになったりと、思った以上にパワーの要る作業でした。しかし、そのような議論を通して部門間で意識の共有ができ、今まで曖昧に定義されていたことを明確にすることができたので、これも不可欠なプロセスであったと感じています。
外部委託業者と演習。そして改善。
-演習について教えてください。
災害は3ヵ年計画が完了するまで待ってくれませんので、今日明日にも災害が起きた場合を想定して、現状の体制で実際に業務を継続するための演習をおこないました。
具体的には、プライマリデータセンターが利用できなくなった際には、長野県のバックアップサイトに移動して業務を継続することとし、実際に移動するにはどのような移動手段を使ってどれくらいの時間をかけるのか。また、その際には誰にどのような連絡をして進めるのかなど、IT-BCPに定めた手順を追いながら、可能な限り詳細に確認作業をおこないました。外部委託業者も含めて演習をおこなったことで、実際に災害があった際にも業務を目標復旧時間内に再開することが可能な体制が整いつつあると言えます。
ただし、実際に手順を追ってシミュレーションしてみると、まだまだ明確になっていなかった点などが多数見つかったため、それらは次回までの課題として認識しています。
今後はリスクの想定範囲を拡大
-今後はどのような取り組みを予定されていますか?
現在は、主に地震などによるシステムインフラへの被災を想定したIT-BCPを策定しておりますが、今後は想定リスクの範囲をインフルエンザなどの人的被害にまで広げる必要があると考えています。今年の4月以降、日本を含む世界中で新型インフルエンザの感染が広がったことにより事業継続計画推進の機運が高まっているため、早期に対応をしていく予定です。
また、業務部門を巻き込んだ演習も実施予定です。演習に関しては、原則年1回の演習を予定しておりますが、初回の演習が想定以上に課題の特定につながったため、今年は2回おこなおうと考えています。
最終的には、3ヵ年計画完了時にプライマリシステムサイトがダウンしても自動でバックアップサイトに切り替わるシステムを構築するところを目標としています。(右上図参照)
-今回のプロジェクトで学ばれたことはありますか?
分析と文書化の重要性について痛感しました。
先ほどもお話した通り、このプロジェクト開始以前は、規則はあるものの明文化されていないことも多く、「なんとなく」認識されている事柄や、実は部門毎に多少認識の相違がある事柄がありました。このような事柄は分析や文書化を進め、実際に手順を文章に落とす作業をしていくことで、明確になっていきました。
このプロセスを経たことで社内の意識共有が進んだという点において、今回のプロジェクトは非常に有意義であったと感じています。
ベンダーマネジメントにも期待
-ニュートンのサービスはいかがでしたか?
まずは、プロジェクトの開始時点で全体像をきちんとご説明いただけたのは、プロジェクトを進めるにあたり、非常に有益でした。当方は指定されたスケジュールにそって作業を進めてくことで、着実に前に進んでいると実感できました。
実は、プロジェクトの最中に社内の事情により、計画より人的リソースを削減せざるを得なくなったのですが、その際も、当初のゴールのレベルは落とさずにスケジュールと業務ボリュームをご調整いただけたので助かりました。
また、分析や文書化に必要な情報は頂戴したテンプレートを利用することで効率的に収集できたので、その分の時間を社内での議論に活用できました。
-今後ニュートンに期待することは?
まだ検討中ではありますが、IT-BCP3ヵ年計画の最終目標であるバックアップセンターでのサービス強化へ向けたシステムを構築する際には、ITのインフラ整備におけるベンダーマネジメントも含めたマネジメントの支援をしていただきたいと考えています。ニュートンさんはシステムインテグレーターのバックグラウンドもあるので、複数のベンダーを含めたIT-BCPの取り組みも可能と聞いています。
ベンダーサイドの文書化も含めたトータルなサポートをお願いしたいと考えています。
-今日は貴重なお話をありがとうございました。
| 称号: | SBIアクサ生命保険株式会社 |
|---|---|
| 本社所在地: | 東京都港区六本木一丁目6番1号 泉ガーデンタワー18階 |
| 設立: | 2006年10月 (営業開始:2008年4月) |
| 資本金: | 6,340百万円 |
| 代表者: | 代表取締役社長 木村 真輔 |
| 事業目的: | 生命保険業 |
| URL: | http://www.sbi-axa.co.jp |
(2008年6月27日現在)
SBIアクサ生命保険株式会社様は、「金融業界」かつ「ネット専業」という、ITの継続性に関して特に厳しい要件がそろった会社様です。また、会社のビジネス要件だけでなく、監督官庁や業界団体、お客様(保険契約者様)など、様々なステークホルダー(利害関係者)からの期待・要求を考慮したうえでのBCP策定が求められていました。したがって、本プロジェクトは、「IT-BCP」という切り口でありながら、まずは会社組織としての「事業」継続性の検討からスタートする必要がありました。すなわち、システム個別の復旧目標を積み上げてIT-BCPの計画を作るのではなく、会社の事業や業務といった観点から検討したビジネスの復旧目標をもとに、システムへの対策に落とし込んでいく、ということです。
このようなアプローチでIT-BCPを作成するためには、業務部門との調整や議論は欠かすことができません。今回は、情報システム部門の長である木島様を中心とした積極的な社内の取りまとめのおかげで、システム対策ありきのIT-BCPではなく、事業継続の実現という最終ゴールからブレないIT-BCPの構築を進めていくことができました。
ただし、部門を横断して事業継続について議論するには、時間もエネルギーも要します。有意義な議論を重ねてプロジェクトを前へ進めるには、議論の材料となる情報を効率的に収集し、整理しておくという前準備がカギとなります。今回は、当社の提供させていただいたテンプレート類の活用により、効果的な議論ができたという評価をお客様からいただきました。分析や文書化のためのテンプレートは、お客様に合わせてその都度カスタマイズし、最適なものを提供させていただくのですが、これまで蓄積してきたノウハウが実を結び、今できる最高のご支援をさせていただいた結果を評価していただいたということを、大変光栄に感じております。
ところで、BCPに取り組む際、当社は常々「今すぐに着手すべき取組み」と「分析に基づいて計画を立てた上で着手すべき取組み」との切り分けが重要だと申し上げております。今回は、まさにこの考えにご賛同いただき、「今できるIT-BCPの実現」と「今後あるべきIT-BCPに向けた計画策定」という二本柱でご支援をさせていただきました。大規模なIT投資をすぐに意思決定するのは難しくても、事故や災害は待ってくれません。先を見通しながら、同時にしっかりと足場固めをしていく、というSBIアクサ生命保険株式会社様の取組みは、同じようにIT継続の実現に骨を折られている企業様に、一歩を踏み出すヒントを提供されていると思います。この事例をきっかけに、多くの企業様が事業継続の取組みを開始されることを願っております。
