涙ボトル

東京証券取引所のシステム障害については、すでに栗原さんなどが語られているので詳しくはそちらを読むと良いが、いろんな意味で「まさかこんなことになると思わなかった、今は反省している」とでも表現したくなる出来事だった。

東京証券取引所は過去に、システム障害時における対応策となる「東証市場における売買に関するコンティンジェンシー・プラン」を整備していたほか、2004年にはシステム障害時だけでなく、災害やテロなどさまざまなリスクによって業務の継続が困難となった場合の業務継続に関する基本方針、体制、手順などを定めたBCP（Business Continuity Plan：事業継続計画）を公表していた。

米国ではもはや必須となりつつあるBCPだが、日本においてはBCPに対する取り組みは鈍い。NTT建築総合研究所と三菱総合研究所が8月に発表した「事業継続計画とITシステムの防災に関するアンケート調査」では、国内企業でBCPを策定しているのは全体の20％程度にとどまっている。こうした中、東京証券取引所は自社のBCPに関する情報を自主的に開示するなど、比較的BCPに対する取り組みをアピールしていた感がある。

にもかかわらず、今回の障害である。BCPを策定していたから約半日のシステムダウンで済んだと言えるのかもしれないが、東京証券取引所が公表しているBCPには不安な点も幾つか存在していた。

特に不安を感じたのはRTO（Required Time objective）についてまったく触れられていないことだ。RTOは、事故や災害などの発生時から事業の再開までの「目標とする復旧時間」を定めたもので、これを抜きにBCPは語れない（言い過ぎか）。前述の調査では、事業継続計画を策定済みであっても、RTO（Required Time objective）を定めている企業は30％に満たないという。つまり、しっかりとしたBCPを定めているのは全体の6％程度ということになる。

東京証券取引所が公表しているBCPは、セキュリティなどの面で問題とならない範囲で公表されている。RTOの公表がそれにあたるのかは定かではないが、もしRTOなどが考慮されていないBCPを策定していたのだとしたら、今回の事故は起こるべくして起こったのだと言えるのかもしれない。

つい先日、ITmediaエンタープライズでBCPを取り上げたばかりということもあり、改めて企業におけるBCP策定の必要性を考えさせられた一件だった。 同証券取引所にはぜひBCPの総括を行っていただき、より進化したBCPの策定と、その公開をお願いしたいところだ。