災害対策とは、自然災害を想定リスクとして、有事の際に自社の被害を最小化するための取組みです。
★本ページの内容:
- 災害対策基本法とは
- 危機管理体制の構築
- 災害対策ガイドラインについて
- 事業継続計画(Business Continuity Plan, BCP)
- IT関連事業継続計画(IT-BCP)
- 災害復旧計画(Disaster Recovery Planning, DRP)
- 各訓練について
1. 災害対策基本法とは
まず、「1.8 リスクマネジメントおよび危機管理」に掲載した災害対策の位置付けを示す表を以下に再掲します。
国内で発生する災害は地震だけでなく、台風、津波、水害、竜巻、火山噴火など多岐にわたります。いつ発生するか分からない災害に備えて、国民の命、そして財産を保護するために「災害対策基本法」があります。この災害対策基本法に基づいて、自治体は「災害対策」を講じる義務を負います。
潜在的な災害に直面した場合の予防措置として自治体が講じる一連のアクションには、緊急行動のための「身体的準備」と「訓練」の両方が含まれます。事例は次のとおりです。
・自治体:津波に対して防波堤の整備
・個人:非常用持ち出しバッグ(飲料水、食料品、貴重品、救急用品、ヘルメットや防災ずきんなどの防災グッズ)の準備
・訓練:職場や自宅の避難訓練
一方、企業の事業継続のための「災害対策」は自ら作成・実施するものです。
2. 危機管理体制の構築
企業の災害対策の取り組みとして、まず「リスク統括部」や「リスク管理組織」のような危機管理体制を構築することが重要です。この組織の役割と責任は以下のとおりです。
- 「平時」に危機管理業務を実施する。
- 「災害対応ガイドライン」を作成する。
- 「有事」を想定した災害対策本部の立ち上げ方法の立案、BCP、IT-BCPおよびDRPの作成をリードすること。
- 「災害対策本部」が機能するかどうか各訓練を実施する。
- 「各訓練」の結果を分析し、必要に応じて見直しを行う。
- 「危機管理担当役員」にレポートする。
また、危機管理体制の構築によく見られる2つの組織パターンは以下のとおりです。
(I) 専任部門方式
(II) バーチャルチーム方式
各方式のメリット・デメリットは、以下の表のとおりです。
| No. | 利点・問題点 | 専任部門方式 | バーチャルチーム方式 |
| 1 | メリット | ・リスクが一元管理できる ・高度な危機管理が実施可能 | 各部門単位で的確なリスクの把握が可能になる |
| 2 | デメリット | 新組織はコストセンターとなる | ・リーダー役を決める必要がある ・リーダー役および各部門担当者の業務負荷増 |
もちろん、両組織に危機管理担当者を任命する必要がありますが、ビジネスパワーユーザーと同様に、危機管理担当を手当が付く正式な職種にすると、組織運用がスムーズにいきます。また、一般的に危機管理組織は「危機管理担当役員」にレポートします。
ある大手会社では、バーチャルチーム方式を採用しました。経営企画部の次長クラスの管理職がリーダーとなり、各部門の次長クラスの管理職が危機管理担当としてアサインされ、危機管理業務(および部門横断する案件の対応)を運用していました。
3. 災害対応ガイドラインについて
危機管理ガイドラインは、「人災対応ガイドライン」および「災害対応ガイドライン」で構成されています。ここでは、後者の「災害対応ガイドライン」について説明します。
| No. | 危機管理対応 ガイドライン | 想定リスク | 内容 |
| 1 | 人災対応 ガイドライン | 人災 | ・M&A, インサイダーや人的ミスによる情報漏洩等 ・上記による経済的・信用的損失の回避 |
| 2 | 災害対応 ガイドライン | 自然災害 | ・地震、津波、火山噴火や気候変動等 ・上記による建物崩壊、火災や水害に関する被害の最小化 |
有事における判断・行動を迅速化すべく、自社事業継続上の対応方針を定めておくことが「災害対応ガイドライン」の目的です。実効性の無いプランとならないように、訓練による実効性確認を基本とするメンテナンススキームをガイドラインに織り込むことが重要です。
「災害対応ガイドライン」のアウトプットは以下のとおりです。
各部門は、「災害対応ガイドライン」に基づいて、各事業継続計画(BCP)を作成します。IT部は各事業BCPに基づいて、IT-BCPを策定・導入します。またIT部は、IT-BCPを実現すべく災害復旧計画(DRP)を立案・導入します。
★災害対応ガイドラインの事例
以下、東京に本社がある中堅製造業の災害対応ガイドラインの事例を紹介します。この事例で対応を優先すべきリスクは首都直下型地震です。
災害対応ガイドラインの項目②「想定リスク・被害の明確化」(上図の②)および項目③「リスク」の内容は以下のとおりです。
- 想定リスク&被害想定
- 首都圏直下型地震の発生
- 首都圏被災→災害発生後2週間、本社機能が完全停止
- 首都圏直下型地震の発生
- 拠点エリア災害の発生
- 拠点エリア被災→災害発生後2週間、拠点機能が完全停止
- 平時
- 訓練実施(年/1回)
- 机上訓練
- 活動訓練
- 総合訓練
- 訓練実施(年/1回)
次に、災害対応ガイドラインにおける項目④Aと項目④Bの「初動行動」について説明は以下のとおりです。
| No. | 被災時 | 被災時の状況 | アクション | 備考 |
| 1 | 就業時間内 | ・会社勤務 ・外出中 | ・従来の指示命令系統に従う ・「確認ルール」の実施 | ・業務遂行 ・待機 ・帰宅(テレワーク) ---------- |
| 2 | 就業時間外 | ・平日(早朝・夜) ・祝日 | ・「確認ルール」の実施 | ---------- |
災害対応ガイドラインの「初動行動」における「確認ルール」の内容は以下のとおりです。
| No. | 確認ルールの内容(厳守) | 結果:OK | 結果:NG | 備考 |
| 1 | 自分自身の無事確認 | Go to 2 | 本人の無事確保に努める | ---------- |
| 2 | 家族の無事確認 | Go to 3 | 家族の保護に努める | ---------- |
| 3 | 自宅の無事確認 | Go to 4 | 居住場所の確保に努める | ---------- |
| 4 | 所属部門の安否確認 | Go to 5 | 社内ルールに則る | 携帯電話利用不可の場合を想定 |
| 5 | 在宅勤務可能かどうかの確認 | Go to 6 | 在宅勤務実施 | テレワーク |
| 6 | 出社可能かどうかの確認 | Go to 7 | 出社を試みる | ---------- |
| 7 | 上司の指示を確認 | 指示に従う | 待機 | 管理職はリードする |
有事の際は、企業の意思決定ルートを優先的に確保することが重要です。下表は「首都直下型地震被災時」における「意思決定体制の確保」のための「災害対策本部」立ち上げについて定めたものです。
ここで大事なのは、本社代替拠点の権限移譲ルールを事前に確定しておくことです。東京に本社を置くある製造業は、関西拠点を本社代替拠点としていました。
災害対策本部の基本的な業務は以下のとおりです。
下図は、「被災時における緊急時対応フロー」の例(参考)です。
なお、南海トラフ地震などで、首都園以外の拠点が被災した場合には、基本的に本社にて災害対策本部を立ち上げ、災害対策を講じます。
4. 事業継続計画(Business Continuity Plan, BCP)
各部門が事業継続計画(以下、BCP)を立案するためには、「災害対応ガイドライン」に基づいた「事業継続の基本方針」の作成が必要となります。この方針の例を以下に紹介します。
★事業継続の基本方針
- 災害対応ガイドラインに定めた災害発生時の対応原則に則り、有事の際は社員の安全確保と復旧活動を最優先した上で、事業損失の最小化に努める
- 被災エリア
- 社員の安全確保を優先
- 一時的な事業活動の停止を想定範囲内とする
- 非被災エリア
- 製品納入等の事業活動を実施し、被災エリアの担っていた事業活動を最大限バックアップする
- 被災エリア
- 危機発生時の対応原則
- お客様、社員等の生命、安全確保を最優先とする
- お客様、社会等に与える被害及び損失を最小限にするよう、被害の拡大防止に努める
- 情報開示にあたっては、事実を隠すことなく適切に開示し、広く社会の不安解消に努めるとともに、憶測や予見に基づく説明は厳に慎む
- 関係する行政機関等には全面的に協力する
- 事業部の損失を最小限にするよう努めるとともに、事業継続に向けて必要な対策を講じる
★社員の安否確認について
社員は、「初動行動」における「確認ルール」の実施後に、事業継続の基本方針に沿って自己の安否状態を会社に伝える必要があります(安否確認)。そのための一般的な方法は、次の二つです。
- 電話確認
- 事前に緊急連絡網(各部における社員の電話番号リスト)を整備して、各社員へ配布しておく。
- 緊急連絡網はリレー方式で安否を電話で伝えることとしておく。
- 有事の際、携帯電話やスマホは利用不可であることが想定できるため、原則固定電話にすることが望ましい。
- 危機管理担当は安否確認できた社員について「災害用サイト」へ状況を登録する
- 災害用サイト構築・運用
- 有事の際に、まず社員は電話番号リストに従って、電話連絡をする。電話連絡不可の場合、各社員はインターネットが利用できる環境より災害用サイトへアクセスして安否確認を登録する。
緊急連絡網のイメージ図は以下のとおりです。言うまでもありませんが、架空の電話番号です。
なお、災害用サイトのイメージ図は以下のとおりです。そして当該サイトの構築はIT部に依頼することで問題ありませんが、システムオーナーは「リスク管理組織」となります。
参考ですが、ある企業はセキュリティ会社の安否確認サービスを利用していました。このサービスは携帯電話が登録され、災害発生時のメッセージもメール送信する想定で訓練では問題なく機能確認できていました。しかし、東日本大震災発生時には、携帯電話が利用できず、有効活用ができませんでした。この教訓を生かして、現在この企業は「固定電話連絡網+災害サイト」を運用しています。
★「事業継続必須業務」策定の事例(製造業)
ここでは、製造会社の事業継続必須業務策定の事例を紹介します。
- 事業継続必須業務の特定
- 製品納入に最低限必要な業務
- 製造計画・販売計画・部品や材料調達・出荷保証・製造・物流・流通・お得意様(販売店)対応等
- 業務を停止した場合、顧客・取引先に影響の大きい業務
- 営業と顧客間のコミュニケーション
- 部品・材料の調達・購買
- 製品納入に最低限必要な業務
- 一時的に停止する業務の特定
- 被災エリアにおける事業活動
- 継続必須業務に負荷が掛かる活動
- 販売促進活動
- 新製品投入
- 工場試製
- 製造設備の増移設・改作
- 研修、会議
★事業継続計画(BCP)の事例(製造業)
下表は、製造会社における事業継続必須業務に基づく事業継続計画計画(BCP)の例です。
5. IT関連事業継続計画(IT-BCP)
IT関連事業継続計画(IT-BCP)を策定するためには、IT部の事業継続必須業務を選定します。次に、事業継続計画の想定リスク(例:首都直下型地震)が発生した場合、エンドユーザーが利用しているシステムやITサービスを継続利用するための対策を講じます。
★IT部の事業継続必須業務:
- IT部は有事の際に最低限の機能(あるいは機能不全に陥っても、事業継続必須業務を支えているシステムやITサービス)が継続利用できることを担保する。
- そのために、災害復旧計画(以下、DRP)を立案して、定期的に訓練を実施する。
- 訓練の結果、改善すべき部分をRPに反映する(PDCA)。
上記のとおり、DRPの立案・提示・訓練がIT-BCPにおいて非常に重要な業務です。
以下は、有事の際の、IT部社員の行動リストの例です。
| No. | IT部社員の行動 (DRP整備済み前提) | 担当 | アナウンス | 備考 |
| 1 | 「IT部緊急連絡網」の最新版保持 | 全員 | 部門長 | ---- |
| 2 | 「確認ルール」の結果、勤務可の場合 | 全員 | ---- | a) 本社 b) 在宅(テレワーク) c) 本社代替拠点 |
| 3 | 指示命令系統を確認する | 1- 部門長・上司 2- IT-BCPリーダー | 電子メール イントラネット掲載 | 事前にリーダー順を 整理しておく |
| 4 | DRPの必須タスクを実施する | IT-BCPリーダー | イントラネット掲載 | ---- |
| 5 | 予備サーバーを利用可能にする | IT-BCPリーダー | イントラネット掲載 | a) 事前整備で対応 b) リモートアクセス対応 |
| 6 | 予備PCを利用可能にする | IT-BCPリーダー | イントラネット掲載 | a) 手順書整備で対応 b) 本社代替拠点出勤 |
下表は、有事の際にIT-BCPをリードするリーダー順の例です。このリストは、人事異動が発令される度にアップデートが必要です。
| No. | 指示命令系統 | 役職 | 被災時想定対応 | 備考(住居) |
| 1 | A氏 | 危機管理担当役員 | テレワーク | 東京都 |
| 2 | G氏 | 部長 | 出社 | 東京都・本社近辺 |
| 3 | H氏 | 次長 | 同上 | 東京都 |
| 4 | I氏 | 課長 | 同上 | 東京都 |
| 5 | J氏 | 係長 | 同上 | 千葉県 |
| 6 | K氏 | 主任 | 同上 | 埼玉県 |
| 7 | L氏 | 課員 | 同上 | 神奈川県 |
6. 災害復旧計画(Disaster Recovery Planning, DRP)
IT部が立案する災害復旧計画(DRP)は、自社で利用しているサーバーを設置しているデータセンターやサーバールームのロケーションと想定リスクに依存しています。「首都直下型地震」を想定リスクとする場合、データセンターやサーバールームが被災するかどうかが判断基準となります。
以下は、複数の企業におけるDRPの事例を紹介します。
★リスク回避の事例1:
東京に本社があるA社は、東日本大震災以前は関東地域にデータセンターを設置していました。東日本大震災後にDRPを検討した結果、リスク回避のため、関西方面にメインデータセンターを構築し、既存のデータセンターはバックアップという位置づけで運用することにしました。
★リスク回避の事例2:
東京に本社があるB社は、DRPを検討した結果、リスクを回避する判断をしましたが、データセンターを借りる予算が十分ではなかったため、震度7の免振対策を施した新サーバールームを工場の敷地内に構築しました。そして、東京本社に設置していたサーバールームのサーバー群は新サーバールームへ移設しました。新サーバールームはシングルポイントとなるので、ここでの火事などの事故を避けるために別拠点にてデータをバックアップする基盤も構築しました。そのイメージ図は以下のとおりです。(赤色部分が新規に構築した部分です。)
★リスク享受の事例:
東京に本社があるC社の本社は震度7の耐震対策を施した新しいビルであったため、データセンターを借りたり、別拠点にサーバールームを移転したりせず、現状維持が適切であると判断し、首都直下型地震のリスクを享受することとしました。そのイメージ図は以下のとおりです。
なお、外資系企業では「リスクを転換する」方法を採用することがあります。これは想定リスクが発生した場合の損害を保険により補填する方法です。しかし、日本は全国的に自然災害が発生する可能性が高い国であるため、不動産の倒壊、ハードウェア破損や人的被害に関する保険は掛けるにしても、ビジネスロスに関する保険を掛ける企業はあまりありません。
7. 各訓練について
災害対策訓練は、災害対応ガイドラインにおける「初動対応」、「指揮命令系統の確立」、「BCP」, 「IT-BCP」および「DRP」の実効性確認と事業の継続的な改善を目的とします。
- 訓練:社員がそれぞれの役割を十分理解し、有事においても迅速に行動できるよう、定期的に訓練を実施する。
- 初動対応訓練
- 安否確認・安否情報収集に特化した訓練
- 指揮命令系統確立の訓練
- 災害対策本部機能の確認
- 事業継続(BCP)訓練
- 代替拠点における継続必須業務の遂行力確認
- IT-BCP訓練
- 訓練シナリオをIT部にて作成して、実施する
- DRP
- 訓練シナリオをIT部にて作成して、実施する
- 初動対応訓練
- PDCA
- 訓練は年1回開催とする(9月の防災の日に実施するのが望ましい)
- 全社的な訓練は臨時で設置される「臨時災害対策本部」がリードする
- 各担当部門にて訓練シナリオを設定する
- 訓練の結果は、役員会議の報告事項とする
「訓練のタイプ」とその内容は以下のとおりです。
| No. | 訓練のタイプ | 訓練の内容 |
| 1 | 机上訓練 | ★関係者間におけるコミュニケーションパスの確認 ・メリット:簡単に実施可能 ・デメリット:想定の領域あり、本番では抜け漏れが発生する可能性がある ・方法:関係者は会議室に集まって対面 あるいはバーチャルチームで実施可 ・事例:関係者の連絡先に連絡を取って機能しているかどうか確認する |
| 2 | 活動訓練 | ★IT部のみ実施するなど局所的な活動であり、実施可能な範囲で実施する ・メリット:特定の部門のみで実施可 ・デメリット:局所的な確認であるため、本番では抜け漏れが発生する可能性がある ・方法:IT-BCPリーダーがリードして、IT-BCP・DRP訓練を実施する ・事例:本社意思決定機能不全を想定し、本社代替拠点で意思決定機能を移譲して運営を試みる |
| 3 | 総合訓練 | 会社全体の取り組み ・メリット:本番に近い環境で実施される ・デメリット:全社的な取り組みであるため、組織編制および日程調整が困難である ・方法:実際の環境で災害対策本部を設置する ・事例:代替拠点で意思決定機能の検証 事業継続必須業務の遂行を試みて、事業継続が可能か検証 事業継続必須業務に必要なシステムの利用テスト ・注意事項:週末・祝日に実施する場合が多い (統合訓練に任命された災害対策本部メンバーが参加する) |
危機管理対応関連資料は、定期的に確認・更新を行い、事業継続力の維持・向上に努める必要があります。以下はその例です。
| No. | 対象資料 | 更新時期 | 更新責任 | 共有先 |
| 1 | ・災害対応ガイドライン ・想定リスク/被害 ・初動行動 ・意思決定体制の確保 | 変更の都度 | リスク管理組織 | 全社員 |
| 2 | 事業継続計画 | 年1回 | ・営業部門 ・製造部門 ・管理部門 | 各部門関係者 |
| 3 | IT-BCP | 変更の都度 | IT部 | パワーユーザー |
| 4 | DRP | 変更の都度 | IT部 | 同上 |
| 5 | 緊急連絡網 | 年1回 | ・リスク管理組織 ・各部門の担当 | ・人事部 ・関係社員 |
ワンポイントメッセージ:平時では「リスク管理組織」が危機管理業務を遂行し、有事では「災害対策本部」を立ち上げ、企業の指示命令系統(意思決定ルート)を確保することが事業継続必須業務の遂行を成功させるキーとなります。
次項の”プロジェクトマネジメント”は「こちら」をクリックしてご参照ください。