BCPとDRの違いは「対策範囲」
BCP(事業継続計画)とDR(災害復旧計画)は、いずれも災害や事故などの緊急事態に備えるための企業の計画です。どちらも事業の中断や損害を最小限に抑えることを目的としていますが、BCPは企業全体に関わる総合的な復旧計画であり、DRは主にITシステムに特化した復旧対策を指します。つまり、DRはBCPの一部として位置づけられることが一般的です。
BCP(事業継続計画)とは
BCPとは、企業の重要業務を止めない・早く再開することを目的に、会社全体で策定される包括的な計画です。経営層も関与し、マニュアル整備やデータの分散保管、避難訓練、リモートワーク体制の確保、緊急時の連絡手段の準備など、事業継続に必要な対応を網羅的に計画します。
こうした計画を支えるBCP対策としては、ITシステムのバックアップやクラウド化、安否確認ツールや緊急連絡網の整備、代替拠点の確保、物理的な備蓄品の配置など、具体的な手段が挙げられます。これらの対策をあらかじめ講じておくことで、災害や障害発生時の被害を最小限に抑え、迅速な業務復旧につなげられます。
DRP(災害復旧計画)とは
DRPとは、地震や火災、システム障害などにより情報システムが停止した際に、業務を早期に再開するための復旧手順をまとめた計画です。主に情報システム部門が中心となって策定し、バックアップの取得やDRサイト(代替拠点)の整備、復旧手順の文書化など、技術的な観点からの対策を具体的に明記します。
DRPには、障害発生時の対応手順や目標復旧時間(RTO)、対象システムの範囲などが盛り込まれ、緊急時に迷わず対応するための指針となります。こうした備えにより、被害の拡大を防ぎ、業務の早期再開と事業継続を支援します。
BCP対策とDR対策について詳しく知りたい方は、以下の記事をご覧ください。
なお、BCPやDRの策定は企業リスクを減らすだけでなく、社会的信頼性の向上にもつながります。非常時にも安定した事業運営ができるようになるため、取引先との良好な関係を築けるでしょう。以下では、BCP対策やDR対策を支援するさまざまなツールを紹介しています。BCP対策やDR対策を行っていない企業は、緊急事態が発生する前にさっそく検討をはじめましょう。
BCP対策・DR対策の策定状況
BCP対策・DR対策が大きく注目されるようになったのは、2011年に発生した東日本大震災のあとです。多くの企業が地震の被害に遭い、災害対策の重要性を認識しました。
例えば建物は無事でも、サーバルームの崩壊によりデータが破損した企業は少なくありません。データは一度失われれば元に戻ることはありません。システム停止による影響の大きな企業を中心に、BCP対策やDR対策が行われています。
内閣府が調査した「令和元年度企業の事業継続及び防災の取組に関する実態調査」(回答数1,651社)によると、2019年時点で「BCPを策定済み」と回答した大企業は68.4%、中堅企業は34.4%でした。「BCPを策定中」と回答した企業を含めると、大企業は8割を超え、中堅企業も半数以上を占めます。
東日本大震災が発生した2011年と比較すると、「BCPを策定済み・策定中」と回答した大企業は25.0%、中堅企業は25.7%も増加しました。企業のシステム化が加速するなか、緊急事態に備えてBCPを策定する企業は今後も増えていくことが予想されます。
参考:令和元年度企業の事業継続及び防災の取組に関する実態調査|内閣府
BCP・DRを策定するときのポイント
BCP対策・DR対策を行う際には、RTO(目標復旧時間)やRPO(目標復旧時点/目標復旧地点)など設定すべき指標があります。さらに、防災やBCM(事業継続計マネジメント)との違いを把握することで、より適切な対策が講じられるでしょう。以下で詳しく解説します。
RTO(目標復旧時間)を考慮する
RTOとは、システム障害が発生してからどれくらいの時間で復旧させるかを示す目標値です。
例えばRTOを3時間に設定すれば、3時間以内に復旧させなければなりません。システム停止時間が長ければ、それだけ災害による被害は拡大します。企業の損失を最小限に抑えるため、RTOは短い方がよいでしょう。
ただし現実的に、設定した時間内で対処できるかどうかをよく考える必要があります。自社が行っている事業やシステムの内容にあわせてRTOを設定し、BCP対策・DR対策を検討することが大切です。
RTOについてさらに詳しく知りたい方は、以下の記事をご覧ください。
RPO(目標復旧時点/目標復旧地点)を考慮する
RPOとは、システム障害発生前のどの時点のデータまで復旧させるかを示す目標値です。
例えばRPOを0時間に設定すると、災害直前のデータまで復旧させなければなりません。RTOと同様、RPOも0に近い方が復旧対策として優れていることを意味します。そのため、金融業界や医療業界など高度なデータ保護を求める企業では、RPOを0時間に設定します。一方、データの更新頻度や重要度が低い企業では、RPOを1日や1週間など比較的長めに設定可能です。
システム復旧の質を上げるには、バックアップ体制の強化が必要ですが、その分コストがかかります。そのため、各システムやアプリケーションごとに重要性や正確性を検討し、個別にRPOを設定しましょう。
防災・BCM(事業継続マネジメント)との違いを把握する
BCP対策・DR対策を行う際には、防災やBCMとの違いを把握しておくことも大切です。
企業が行う防災とは、従業員や会社の建物、機材や情報といった「資産」を守ることです。主に、地震や津波、大雨による浸水など自然災害の種類ごとに対策・復旧計画を立てます。防災とBCPでは対策の範囲が異なり、BCPは災害の種類ではなく、あらゆる有事に対して事業を継続するための対策を考えます。
またBCM(事業継続マネジメント)とは、事業継続のための計画から運用までの活動全般のことです。BCMとBCPの違いは、BCPが「計画(Plan)」に焦点を当てているのに対し、BCMはその計画を含む運用全体(マネジメント)を指します。つまり、BCPはBCMの一部と位置づけられます。BCPで完璧な計画を立てたとしても、非常事態に計画を円滑に遂行できなければ意味がありません。そのため、BCPで実現可能な計画を立て、実行し、改善していくBCMが重要です。
BCMの構築方法について知りたい方は、以下の記事をご覧ください。
まとめ
BCP対策・DR対策はどちらも企業が行うべき重要な災害対策です。BCPとDRの大きな違いは対策を行う範囲であり、BCPは総合的な復旧対策を意味し、DR対策は主にシステムを対象とした復旧対策です。
東日本大震災以降、BCPやDRの重要性を実感し、策定を進める企業が増えています。BCP対策やDR対策は企業の信頼性にも大きく関わるため、自社の業務環境やシステム環境に適したBCP・DRの策定を早めに検討しましょう。
ITトレンドでは、BCP対策・DR対策に活用できるITシステムやサービスを多数取り扱っています。データの保管・バックアップや災害時のデータ復旧サービス、安否確認システムなどによって、BCP・DR策定を支援します。まずは、以下の記事や資料請求(無料)を通して、詳しいサービス情報を把握することからはじめましょう。
