総務省:地方公共団体ICT部門用BCPガイドラインへ意見募集
掲載:2008年07月04日
コラム
総務省から下記発表がありました。(以下引用)
総務省では、平成19 年11 月から、「電子自治体の推進に関する懇談会 セキュリティワーキンググループ」(部会長:大山 永昭 東京工業大学教授)において、地方公共団体の情報セキュリティに関する各種課題及びその解決策の検討を行いました。
今般、地震やそれに派生する火災及び水害等の二次被害等により、情報システムに障害が発生した場合であっても、地方公共団体の業務の中断を防止し、また、それを早期に復旧することを目的とし、「地方公共団体におけるICT部門の業務継続計画(BCP)策定に関するガイドライン」(案)を作成いたしました。
つきましては、本ガイドライン(案)について、国民の皆様から御意見を広く募集いたします。
地方公共団体ICT部門用BCPガイドラインとは
当ガイドラインがどういったものかについて簡単に解説させていただきます。
当ガイドラインの特徴として、NPO法人事業継続推進機構が公開している「中小企業BCPステップアップガイド※1」をベースに作成されているということ、そして、このステップアップガイドをベースにしつつも(タイトルから分かるとおり)ICT※2部門にスコープを絞っているということ、を挙げることが出来ます。
実際に「中小企業BCPステップアップガイド」同様、以下に示すような3段階に分けた(実践性を意識した)アプローチを取っています。
レベル1) BCP策定の基盤作りレベル2) 簡略なBCPの策定
レベル3) 本格的なBCPの策定と全庁的な対応との連動
このアプローチは「対象組織の体力や現状に応じて徐々に組織のBCPをスパイラルアップ(レベルアップ)させていきましょう」という考え方に基づいています。
レベル1は「対象組織がどのような特徴を持っているにせよ、まずは、どんな場合でも必要最低限やっておくべきことがあるでしょう。まずは細かい分析云々などにハマらずに基本的なところに対策を打っておきましょう。」という考え方です。例えば、被災時の避難方法や二次災害防止、重要なシステムのデータバックアップなどに触れています。
レベル2では「何も考えず対策を導入するのではなく、一応、それなりの根拠を分析しましょう。但し、やり過ぎない範囲で・・・。」という前提のもと、BCPには定番となっている事業インパクト分析(BIA)を(非常に簡単な形で)実施し、各システムの復旧目標値を出すアプローチを取っています。
レベル3は「レベル2で実施したよりも精度の高い復旧目標値を導き出すため、もう少しいくつかの要素を考慮に入れましょう。そしてその結果を反映させましょう」という考え方です。
当ガイドラインのタイトルが「地方公共団体・・・」となっているため、民間の企業で仕事に従事されている方には全く無縁なものと思う方がいらっしゃるかもしれません。しかしながら、当ガイドラインは「中小企業BCPステップアップガイド」を参考にしつつも、ICT部門を念頭においた読み手に分かりやすい文書構成になっており、企業の規模に関わらず「BCP策定にあたりまず何から手をつけていったらいいだろう」などと悩まれている方には参考になるものだと思います。丁寧に読む必要はありませんが、一読してみるべきでしょう。
※2. ICT = Information and Communication Technologyの略であり、ITとほぼ同様の意味をさすが、近年はこちらの言葉が広く使われつつある