電子自治体推進を支援する情報誌「 新風」

【特集】

総務省では、平成19年から「電子自治体の推進に関する懇談会 セキュリティワーキンググループ」(部会長・大山永昭東京工業大学教授)において、地方公共団体の情報セキュリティに関する各種課題およびその解決策の検討を行った。そのひとつの成果として、今年8月に『地方公共団体におけるICT部門の業務継続計画策定に関するガイドライン』を公表。今回は、本ガイドラインについて解説していただく。

 この夏、全国各地で発生した局地的な集中豪雨、また多数の死者と行方不明者を出した6月の岩手・宮城内陸地震、昨年の新潟県中越沖地震や能登半島地震など、まさに日本は災害列島ともいえる状態です。このような災害、特に大地震が発生した場合には、地方公共団体では庁舎が使用できない、情報通信の機器・設備が破損する、職員が庁舎に参集できない、電力や水の供給が停止する──など地方公共団体の業務を行えない状況になることが十分考えられます。


 地方公共団体では、災害対策基本法に基づき地域防災計画を策定していますが、近年の災害の発生状況から地方公共団体の施設や職員、電力や水道などライフラインが被害を受ける可能性を認識し、必要な対策が取られているか再考することが必要です。いまや地方公共団体の業務は、ほとんどが情報システムに依存しており、ICT部門における業務の中断は、許されない状況となっています。

業務継続計画とは

 さて、「業務継続計画(BCP)」とは、災害や事故で被害を受けても、重要業務をなるべく中断させず、中断してもできるだけ早急にまたは許容される中断時間内に復旧させるための計画です。BCPでは、大規模災害時において中断させることができない業務、あるいは最優先で復旧しなければならない重要な業務を事前に特定しておき、事前のバックアップ準備やリスク軽減、事後の災害時応急対応、復旧手順の明確化、指揮命令系統の確保等の計画をあらかじめ立案し、被災の影響を最小限にとどめることを目的としています。
 計画というものは何でもそうですが、継続的な改善が必要です。いわゆるPDCAサイクルの実施です。計画策定後は、職員への訓練を実施して問題点を見出し、点検作業等を通じて課題を洗い出す、そして継続的な改善のための取り組みを実施することが必要です。このような運用を行うことを含めた業務継続の取り組みの全体を業務継続管理といいます。

BCP策定の動向

 さて、BCPの策定動向をみると、業界基準などもある金融機関では情報システムの災害対応が先行しています。また、電気やガスなど社会インフラは、防災の観点から早急な災害復旧、サービス継続の対策が講じられています。このように災害対策基本法により指定公共機関と位置付けられているインフラ事業者は、「防災業務計画」を策定しています。こうした取り組みは製造業でも、サプライチェーン(開発・調達・製造・配送・販売の一連の業務のつながり)の一部を構成する中小企業で、すでに始まっています。さらに官公庁では、昨年6月に国土交通省がBCPを策定し、その後、各府省においてBCPが策定されています。


 一方、地方公共団体では、都道府県が3団体、市区町村が41団体でBCPを策定しています。これは地方公共団体全体のBCPで、ICT部門の計画についてアンケートを行ったところ、都道府県の44%、市区町村の21%が『地方公共団体におけるICT部門の業務継続計画策定に関するガイドライン』の公表を踏まえ、今後、ICT部門のBCPを検討する予定としています。

なぜICT部門の計画策定が必要か

 地方公共団体が平常時に提供している行政サービスが停止した場合、住民生活に多大な支障をきたします。また近年、地震や水害などのほか、サイバーテロや新型インフルエンザによる業務の停止など、地方公共団体を取り巻く情勢は予測困難なリスクが増加しています。
 このような状況から、地方公共団体においてはBCPの策定とその運用が必要といえます。さらに地方公共団体の業務は、いまや情報システムなしでは考えられません。住民基本台帳や地方税、福祉関係など住民と密接な関係のある業務は、ほとんどがシステム化され、これらのシステムは庁内LANでつながっています。そのため、ICT部門(システムを提供する側と利用する側も含め)の業務継続性は特に重要となってきます。

ガイドラインの特徴

 今回のガイドラインは、「業務継続に関するガイドライン本体」「様式集」「サンプル(第一部対応)」「様式集(全体対応)」という四冊で構成されています。従来このようなガイドラインでは、本体と様式という構成はあったものの、具体的な計画のイメージが湧かないといった声もありました。そこで今回は、広く普及を図るという観点から、実際に本ガイドラインに基づき、ある地方公共団体で作成した成果物をサンプルとして添付することとしました。


 ガイドライン本体は3章に分かれており、第1章と第2章では本ガイドラインの目的や利用方法、BCPの必要性などが記述され、第3章が計画策定の手引きとなっています。このように三部構成としたのは、職員や予算が少ない小規模団体から政令指定都市のような団体まで自らの状況に応じ、段階的にBCPの策定へ取り組むことができるようするためです。
 そのため第3章では、「第1部 計画策定の基盤作り」「第2部 簡略な計画の策定」、そして「第3部 本格的な計画の策定と全庁的な対応とその連動」について記述し、さらにそれぞれを「調査・分析」「BCP策定」「定着化」の段階ごとに分けて説明しています。
 第1部では、ICT部門が主導して検討することや実施が可能な範囲での課題を取り上げ、各種対策の実施計画および災害時の行動計画を策定します。ICT部門の検討メンバーの選定から情報システムの現状や災害時の危険度の調査、初動計画の立案、緊急時対応体制そして簡易訓練など最低限の項目を実施事項としています。これを実施するだけでも、何とか災害時にICT部門が機能することから、全国の地方公共団体ではまず第一部を実施し、BCP策定の基盤を作っていただきたいところです。
 第2部では、業務部門(情報システムを業務で利用する各部門)を含めた検討体制を構築し、業務部門の意向も踏まえた簡略なBCPを策定します。重要業務の選定やその業務継続に必要な資源(要員、庁舎、設備、備品、電力など)の把握を行い、代替・復旧行動計画を立案します。また、外部事業者との非常時における協力関係を見直し、必要に応じて契約内容の検討を行います。情報システムを利用する業務部門を含めたBCPが、この段階で初めて策定されます。
 第3部では、第2部の重要業務のほかにも選定した重要業務に対する目標復旧時間と復旧レベルの設定を行います。例えば、「発災後6時間以内に住民票の写しを発行できる状態にする」などです。また、庁舎の耐震化など多額の投資判断を含む本格的なBCPの策定には、首長を含めた全庁的な検討体制を構築する必要があります。
 さらにこのガイドラインは、ステップアップ方式を採用しています。第1部(ステップ1~8)、第2部(ステップ9~16)、第3部(ステップ17~20)と、各ステップを進むに従って、新規の項目への取り組みを示すとともに、すでに策定した項目を見直す方式となっています。

今後の普及について

 BCPはこれまでにない新たな業務であり、事例もあまりないことから、その普及を図るためにはパイロット団体で先行的にBCPを策定し、セミナーなどでその事例を発表していただき、他の団体の手本となってもらう必要があります。
 そのため総務省では、平成21年度概算要求に、セミナーの実施とパイロット団体へのBCP策定アドバイザーの派遣にかかる経費を要求しているところです。また今年度は、このガイドラインの検討会委員でもある地方公共団体等と勉強会を開催することを予定しています。
 ICT部門は業務部門を巻き込んでBCPを策定することとなるので、「業務継続計画とは何か、またその目的は何か」ということをしっかりと理解する必要があります。総務省としては、第1部の計画策定の基盤作りについては全地方公共団体で実施していただきたいと考えています。また、第1部実施済み団体においては、ステップアップで第2部の簡易なBCPを目指してほしいと考えています。さらに第3部は、多額の投資が必要となってくることから、庁舎の建て替えや全庁的なBCPを策定する場合に実施することが望ましいと考えています。
 災害列島である日本では、何時どんな災害が起こるか予測がつきません。各団体においては、BCPの策定を早急に検討していただきたいところです。

 和歌山県海南市は9月9日、住民情報など重要データの復旧訓練を実施した。これは、東海・東南海・南海地震が同時発生したとの想定で行われたもの。
 東海地震、東南海・南海地震は、いずれもマグニチュード7.0を超える巨大地震で、過去において揺れや津波により甚大な被害を出している。また、比較的発生時期が近い場合が多く、中央防災会議「東南海・南海地震に関する専門調査会」によれば、同時発生した場合の被害想定は最悪の場合“日本最大級”となり、建物全壊が約90万棟、死者約2万5000人、経済被害は最大81兆円にのぼるという。


 海南市では、平常時からの業務継続の備えとして「TKC行政ASP/市町村サーバの第2次バックアップサービス」を採用し、重要な行政情報を遠隔地で30分ごとにバックアップしている。仮に庁舎や情報システムが被災した場合には、バックアップされたデータを使用して迅速に行政情報を復旧し、コンピュータを現地へ運ぶことで窓口業務を継続・回復できる体制を整えた。
 今回の訓練ではバックアップされたデータを使って実際にデータ復旧を行うとともに、組織的な対応なども検証した。また、今回の成果はBCP策定に向けた基礎資料とするとしている。