BLOG - 株式会社エクスリンク

近年、携帯電話やスマートフォンの普及により、これまでIT化やDX化にあまり縁のなかった企業や団体でも、業務用スマートフォン（以下、支給スマホ）が従業員に支給されるケースが増えています。
業務上の通話やメッセージのやり取り、業務用アプリの利用等、支給スマホは今や『仕事に必要な道具』と言えます。

BCP（事業継続計画）を策定・運用している企業や団体では、災害やトラブル発生時にBCPのルールに従って安否確認が実施されるかと思います。その際、支給スマホは第一の連絡手段に選ばれると思います。社外にいる場合でも、支給スマホであれば連絡が取れる可能性が高く、「もしも」の際の有効な連絡手段となります。

一方、ITセキュリティ（サイバーセキュリティ）の観点では、支給スマホはノートPC等と同様に重要な情報機器として管理の責任が発生し、紛失や盗難、破損等の際は報告が組織内で義務付けられます。そのため、業務時間外であっても従業員には支給スマホを適切に管理する責任が生じます。

先日、BCPのご相談を受けているお客様から次のようなお話がありました。
『最近は支給スマホを旅行や帰省の際に持って行かず、自宅に置いていく社員が増えている。IT管理ルールでは、その方が安全だが、災害時の安否確認や連絡ができない。』というものです。
能登半島での地震のように、帰省シーズンに災害が発生した場合、手元に支給スマホがなく安否確認できないケースが懸念されます。
安否確認サービス（システム）の選定にも関わるとのことで、次のようなアドバイスを行い、社内検討を行なっていただきました。

• 会社支給品（スマホ、ノートPC等）のIT管理ルールを再確認する
  ※ルールがあいまいな点やBCPルールと矛盾する点を可能な限り解決する
  
• 休日等の業務時間外も業務上の対応が必要な人と不要な人を明確にする（スマホを支給していない人も把握する）
  
• 支給スマホを常時携帯していない人に対応した安否確認サービスや連絡体制を準備する
• 個人所有のスマホへの安否確認をBCPルールに組み込む

さらに全社的な取り組みとして、会社支給品（スマホ、ノートPC等）の社外持出ルールや社外勤務ルール（出張や在宅勤務）について、ITセキュリティの観点にBCPの観点も加えることで、災害やトラブルに強い組織になる旨をご紹介しました。

ITセキュリティでは、一般的に「機密性・完全性・可用性」の３つが求められますが、今回のテーマは「可用性」にも関係するものといえるでしょう。

また、安否確認サービスの選定にあたっては、次のような機能をオススメしています。

• 支給スマホだけでなく、個人所有のスマホや携帯電話（ガラケー）にも連絡が届く
  ※ １人につき複数の連絡先登録が可能
  
• アプリのインストールが不要
  ※ 携帯電話番号の登録のみで、SMS（ショートメッセージ）による連絡が可能
  
• 予備の宛先としてEメールアドレスの登録が可能
• 気象庁からの気象情報や地震情報での自動送信が可能

BCPはITセキュリティと関わることが多く、情報システム部門との連携も不可欠になります。BCPとITセキュリティは相反するものではなく、うまくバランスを取ることで、平時にも非常時にも役立つツールとなります。

今回は、教育分野における事業継続計画（BCP）について、学校や教育を所管する文部科学省（以下、文科省）などの取り組みと現状をご紹介します。

災害時に自動で安否を確認し、回答を集計できる安否確認サービスは非常に便利です。
しかし、人事・給与システムや顧客管理システム、名刺管理サービスなどと同様に、多数の個人情報を扱うため、情報管理には十分な注意が必要です。

安否確認サービスを利用する契約者は「サービスの提供事業者が適切に個人情報を守ってくれているはず」と考えがちですが、個人情報保護法ではサービスを利用する契約者側（企業や団体、病院など）にも監督責任が課されています。そのため、サービス提供事業者のプログラムやデータベース、サーバーやネットワーク環境の安全性について無関心という訳にはいきません。

提供事業者の中にはISO認証などの第三者による審査を受け、業務ルールや管理ルールにお墨付きを得ているケースもありますが、他にも確認すべき重要なポイントがあります。
それは安否確認サービスのプログラムやデータベースを格納したサーバーの設置場所です。サーバーが日本国内にあるかどうかは安全性を判断する大きなポイントとなります。

海外リージョンでは日本国内の７割程度の費用で運用できるというメリットがありますが、「国外に設置されたサーバーは、日本以外の政府や法律の管理下となる」という点が個人情報や情報セキュリティ上のリスクとなるため、日本国内のサーバーを強くお勧めします。

安否確認サービスによっては海外のサーバーで稼働しており、サーバーに保存された個人情報（氏名や連絡先、所属など）や安否の回答内容（怪我や被害の状況も含まれる可能性あり）が海外の法律の管轄下となるため、その国の政府や警察、監督官庁の権限でデータの開示やサーバーの停止が発生する恐れがあります。
安全性を担保する条件としては、日本の法律を遵守する国内サーバーかどうかをぜひご確認ください。

安否確認サービスを提供する業者で海外のサーバー（データセンター）を利用しているケースが見受けられます。
Ａ社：シンガポールのデータセンターで稼働
Ｂ社：米国のデータセンターで稼働

過去の事例では、米国では2009年にFBIの捜査によりデータセンターの差し押さえやサーバーの停止・解析が行われ、対象となったデータセンターの契約者（とそのサービス利用者）が、アクセスや操作ができない状態に陥りました（FBIの捜査対象ではない企業も巻き添えとなり、当時話題となりました）。これらは、各国の防犯や安全保障のため正式な手続きに基づいて行われるため、利用者側がコントロールできない・回避が困難なリスクとなります。

また、海外サーバーの『売り』として地震や自然災害の少なさをアピールするケースも見受けられ、日本でも『近年地震や自然災害がない、少ない』を売りにした企業誘致が行われていた時期もありますが、現実には海外でも大規模災害が発生しており、信用が失墜したケースも珍しくありません。
現在の国内サーバーは、データセンターの大小を問わず、免震や耐震構造、非常用電源設備、浸水への対策などが一般的な建築物よりはるかに高水準で整備されています。

さらに、海外サーバーを利用する場合は、ほぼ100%が海底ケーブルを経由し日本と結ばれています。地震・津波による影響では、2011年の東日本大震災で太平洋側の海底ケーブルの一部に切断が発生し、通信容量の不足等で通信速度に影響が出ました。
また、自然災害だけでなく、海底ケーブルは国際通信に欠かせない事から政治・安全保障の面でも『攻撃対象となりうる』点が新たに懸念されています（軍事的緊張の高いエリアでは、海底ケーブルの切断が増えています）。

国内サーバーであれば、

• 国内法の管轄下にあるため、法令順守が容易
• 海底ケーブルや政治的なリスクなし
• 国内の回線は複数ルートが整備されている（主要都市間、地域間）
• サーバーの提供会社（クラウド事業者）によっては、複数のデータセンターを用意している（東日本・西日本などに分散が可能）

といった安全性の高さを選ぶことができます。

事業継続計画（BCP）とは、企業や団体、官公庁や学校等の組織で、自然災害や感染症、事故やトラブル等が発生した際に、組織の通常業務を停止させない、または停止した場合も早期に復旧するための計画を意味します。

※業種・業界によっては、非常時の対応（例：災害時の臨時業務や復旧工事）もBCPに含める場合があります。

※省庁、業界団体等によっては、「事業継続計画」と呼ばずに「業務継続計画」等の別名称を使用している場合もあります。

今回（その1）から数回に渡って、省庁や監督官庁を区切りとして、業種・業界ごとのBCPについてご紹介したいと思います。
BCPのガイドラインやテンプレート、事例、等をご紹介しますので、災害やトラブルに備えたい、BCPについて学びたい、これからBCPを自社で策定したい、といった際のご参考になるかと思います。公的なお墨付き（公的な認証等）が設けられている場合は合わせてご紹介しますので、チャレンジしたいという企業のご担当の方はぜひ挑戦してみてはいかがでしょうか。

「安否確認プライム」の地震自動送信（自動発報）では一般的な「震度設定」だけでなく「長周期地震動階級」の設定も利用できるようになっています。
「長周期地震動階級を設定する場合、いくつに設定しておくのがよいのでしょうか？」といったご質問も受ける事がありますので、今回は「長周期地震動階級」についてお話します。

「長周期地震動」とは規模の大きな地震が発生した際に生じる周期（揺れが1往復するのにかかる時間）が長いゆっくりとした大きな揺れ（地震動）のことです。
通常は2秒程度以上のゆっくりとした揺れで、継続時間は数分～10分以上です。

高層ビルは長周期地震動の影響を受けやすく、大きく長時間揺れ続けることがあります。
また、長周期地震動は遠くまで伝わりやすい性質があり、震源から数百Km離れたところでも大きく長く揺れることがあり、震源地から離れていても高層ビルの損壊、家具の転倒、人的被害が発生する可能性があります。

2011年3月11日に発生した東北地方太平洋沖地震も震源から数百Km離れた場所にある高層ビルで長周期地震動の影響とみられる大きな揺れが生じました。
2024年元日に発生した能登半島地震でも首都圏などで長周期地震動の影響がありました。
このため2023年2月より、震度とともに「長周期地震動階級」も気象庁から発表されるようになりました。長周期地震動階級1以上を観測した場合に観測地点で観測した長周期地震動階級等が、地震発生から10分程度で発表されます。

気象庁の緊急地震速報(警報)の発表基準
地震波が2点以上の地震観測点で観測され、最大震度が5弱以上または長周期地震動階級3以上を予想した場合

気象庁の緊急地震速報(警報)の対象地域
「震度4以上または長周期地震動階級3以上の揺れが予想される地域名（全国を約200地域に分割した地域名）」
※予測震度には誤差が発生する可能性や、岩盤のずれの進み方により、しばらく後に震度5弱以上の揺れが発生する可能性があることから、震度4が予想される地域も含めて発表されます。

「長周期地震動階級」は高層ビルにおける被害の予測から４階級に区分されています。

長周期地震動階級

弊社サービス「安否確認プライム」が推奨している長周期地震動階級はありませんが、長周期地震動の安否確認の基準は、気象庁が発表する緊急地震速報の「最大震度5弱以上または最大長周期地震動階級3以上」を目安とするのがよいかと思います。