災害対策計画書の書き方


<連載 全12回> CSV実践講座(第11回)

CSV実践について研究するページです。

*万が一文中に解釈の間違い等がありましても、当社では責任をとりかねます。
 本文書の改訂は予告なく行われることがあります。

災害対策計画書の書き方

1. はじめに

比較的短期間で修復が可能な不具合を障害と呼び、システムの破壊等により、ディスクの取り換えやバックアップデータのリストアが必要になる事態を災害と定義することができる。
FDAは、21 CFR Part 11の§11.10 (c)において、「記録の保管期間を通じて記録の正確で容易な検索を可能とするような記録の保護」という要件を記載している。
多くの記録が電子的に作成・維持されるようになった昨今では、FDAはそれら電子記録に対して査察を行うことが多くなった。その際に、電子記録が災害などで失われていたり、コンピュータ・ウィルスや悪意のある者によって破壊されていたのでは、非常に不都合である。
FDAの査察時において、災害を理由に電子記録を査察に供与できないという言い訳をしてはならないのである。
通常コンピュータシステムの災害対策では、災害の規模を「当該建屋の倒壊」までを想定する。したがってバックアップテープ等は、別の建屋などに保管しなければならない。

2. 災害対策計画書とは

災害対策関係の文書は、CSVやPart11対応文書と同様、階層構造をもった体系である。(図1参照)


図1 災害対策計画書の文書階層構造

おおよそ災害対策関係の文書には下記のものがある。

  1. 企業全体で作成すべき災害対策文書
    1. 災害対策ポリシー
    2. 災害対策ガイドライン
  2. サイト毎に作成すべき災害対策文書
    1. 災害対策計画書DRP
    2. システム復旧チームの役割と責任
    3. インフラ復旧マニュアル
  3. システム毎に作成すべき災害対策文書
    1. アプリケーション復旧マニュアル
    2. 業務継続計画書(BCP)
2.1 災害対策ポリシー

災害対策ポリシーは、企業における災害への備えや、災害発生時の対策に関する方針を記載したものである。
おおよそ下記のような内容を記載する。

  1. 目的
  2. 背景
  3. 適用範囲
  4. 基本ルール
  5. 教育
  6. 手順書等
  7. 災害対策の方針
  8. 作業分担表
  9. 参考
  10. 改廃
2.2 災害対策ガイドライン

災害対策ガイドラインは、企業全体での災害対策を具体的に規定したものである。
おおよそ下記のような内容を記載する。

  1. ガイドラインの目的
  2. 手順の概要
  3. アウトプットドキュメントと役割分担
  4. 実施手順
    1. プロジェクトの開始
    2. ビジネスインパクト分析
    3. 復旧戦略の策定
    4. 復旧活動計画の策定
    5. テスト
    6. 運用・維持
  • 作業分担表
  • 添付資料一覧

一般に災害は部門毎ではなく、サイト毎に対応が求められる。
災害対策計画書は、各サイト(事業所毎)に作成し、当該サイトにあるシステム全体をカバーする。
サイトで災害が発生した際に各社員が業務及びシステム復旧に従事するために必要な準備、災害発生時の行動計画及び日常運用計画等を記載する。

  1. 総則
  2. 災害対策計画基本方針
  3. システムの復旧方針
  4. 災害普及管理体制
  5. 災害対策計画の発動
  6. 教育/テスト
  7. 文書管理・記録保存
  8. 災害対策計画の見直し
  • 添付書類
    1. システム対策本部メンバー表
    2. 緊急連絡網
    3. システム災害対策本部用備品
    4. 情報システム復旧優先順位
    5. 災害時対応フローチャート
    6. バックアップ運用一覧
2.4 システム復旧チームの役割と責任

システム復旧チームの役割と責任は、サイト毎に作成し、当該サイトの部門をまたがったシステム復旧チームの体制や、役割と責任等を記載したものである。
おおよそ下記のような内容を記載する。

  1. システム復旧統括チーム
    1. 構成メンバー
    2. 役割と責任
    3. 参照手順・ドキュメント
    4. 必要備品
  2. アプリケーション対策チーム
    1. 構成メンバー
    2. 役割と責任
    3. 参照手順・ドキュメント
    4. 必要備品
2.5 インフラ復旧マニュアル

ネットワークや全社共通システムが災害により停止した場合に、復旧作業を行うための手順を記載する。

2.6 アプリケーション復旧マニュアル

各部門で導入しているアプリケーションが、災害により停止した場合に復旧作業を行うための手順を記載する。
電子記録は、次のような事態を想定してバックアップを行わなければならない。

  1. システムの障害(ハードディスクの故障等)
  2. 激甚災害(台風や地震による建物の倒壊)によるシステムの破壊
  3. 火災や漏水等によるシステムの損傷
  4. 人為的なシステムの破壊
  5. コンピュータ・ウィルスによるデータの破壊

システム毎に作成するアプリケーション復旧マニュアルでは、定期的なデータのバックアップ手順と、災害対策時のリカバリー手順を記載しなければならない。
ここでリカバリーとは、単なるバックアップのリストアのことではない。バックアップのリストアでは、最終バックアップから災害が発生するまでの間のデータの更新が失われている。したがってリストア作業の後、何らかの方法でデータを最新になるよう作業を行わなければならない。これがリカバリー作業である。

2.7 業務継続計画書(BCP)

災害によるアプリケーション停止時でも業務を継続しなければならない状況において、アプリケーション以外の手段で業務を遂行するための手順を記載する。
災害発生時から、リカバリーが終了しデータが検証されるまでの間、業務を継続するための業務継続計画書(Business Continuity Plan:以下、BCP)の作成も望まれる。
BCPにはシステムが利用不可能な間の代替入力方法等を記載する。
災害対策とバックアップ/リカバリー、業務継続計画の関係を図2に示す。
一般に障害への対応と復旧は、サービスレベルアグリーメントによってカバーされる。


図2 不測時のための各計画書の関係

DRPのコピーと、BCPが参照する全てのドキュメントは、オフサイトに保管すること。
またBCPのコピーは、関連する経営意思決定者がすぐにアクセス可能なロケーションにも保管すること。

3. 災害対策計画書の内容

DRPには、下記の内容を含めなければならない。

  1. 目的
  2. 範囲
  3. 用語の定義
  4. 責任
  5. イントロダクション
    対象とするコンピュータシステムについて記載する。
    5-1 環境
    5-2 ロケーション
  6. 6. 計画の開始
    6-1 認可プロセス
           災害対策を実施する必要がある状況の概要を記述する。
           マネージメントの意思決定プロセスと、実施責任者を記載する。
    6-2 障害範囲の拡大可能性の調査
           データや設備に対する被害が当初の予想を上回る場合に備えて、
           データ、ソフトウェアおよびハードウェアの被害原因と、
           その程度を調査するためのプロセスを、必要に応じて記述すること。
           例:ウイルス感染によって、通常アクセス可能な共有エリアのファイルの相当数に被害が及ぶ。
    6-3 セキュリティ関係
           業務継続が必要な状況で利用可能な最小セキュリティレベルと、
           最大セキュリティレベルへの復元方法を検討すること。
           ここには、下記の環境におけるセキュリティの考察を含めること。
    1. ネットワーク
    2. アプリケーション
    3. オペレーティングシステム
    4. 物理的サーバ
    5. データベース
    6. その他
           セキュリティアクセスレベル
           ユーザパスワードのリセットと再発行
  7. サポート情報
    7-1 リカバリー作業とリソース
           下記の項目に関するドキュメント、または参照先を示すこと。
    1. チームの責務
    2. リソース(資格、対応の可能性、連絡先一覧)
    3. ハードウェア(ハードウェア仕様書を含む)
    4. 外部業者およびビジネスパートナー連絡先(ライセンス情報、ライセンスキー)
    5. 重要記録(例、マニュアル、電子文書、ウェブサイトURL)
    6. ソフトウェア(旧バージョンの検討も可)
    7. その他の資産(例、備品)
    7-2 バックアップ方針
           システム、データベースおよびアプリケーションのバックアップスケジュール、
           それらのバックアップをオフサイトに送る頻度と、保存期間に関するドキュメントまたは参照先を示すこと。
    7-3 オフサイトロケーション
           下記に関するオフサイトロケーションとその利用可能性について記載すること。
    1. バックアップメディア
    2. リカバリーのための代替サイト(例、ホットサイト)
    3. 作業設備と作業要員の宿泊設備
    4. 資料(例、システムドキュメント、物理メディア)とその一覧
  8. リカバリー手順
    8-1 アプローチ
    8-2 バックアップリストア作業手順
    8-3 オペレーティングシステムプラットフォーム
           オペレーティングシステムリカバリー計画では、オペレーティングシステム
           そのコンポーネントの復元方法に関する技術的な詳細情報を記載しなければならない。
    8-4 システム間および特別なコミュニケーション
    8-5 データおよびデータベース管理システム
    8-6 アプリケーション
           特定のアプリケーションを問題なく動かすための、インフラストラクチャーに関する技術仕様書、
           アプリケーションのリカバリー方法と、ビジネスユーザのニーズを満たすための機能確保の方法に
           関する技術的な詳細情報を記載しなければならない。
           下記のものを必要に応じて記載すること。
    1. 物理メディア(例、CD)
    2. テクニカルインストレーション計画書
    3. ソースコードコンフィグレーション管理ツール
    4. コンフィグレーション設定(例:パッケージコンフィグレーション)
    5. テスト方針書およびリカバリーの確実性を立証する計画書
    8-7 デスクトップ/ワークステーション
           デスクトップスタンダードを使用して、問題なくデスクトップを構築するためのインフラストラクチャーの
           技術仕様を記述すること。
           デスクトップ上で必要な、あらゆるアプリケーション特有のコンポーネントおよび設定を記載すること。
  9. バックアップ検証
  10. 本書の維持
    災害対策計画書レビュテスト、および更新の頻度を記載しなければならない。
    災害対策計画書のコンポーネント部分で主要な変更があった場合には、システム継続利用計画成果物レビュを実施しなければならない。
  11. 参考
    APPENDIX 1−対策本部メンバー表
    APPENDIX 2−緊急連絡網
    APPENDIX 3−システム災害対策本部用備品
    APPENDIX 4−システム復旧優先順位
    APPENDIX 5−災害時対応連絡フローチャート
4. おわりに

災害対策計画は障害管理計画とは別に立案し作成しておかなければならない。
災害発生時には、セキュリティが手薄になったり、バックアップテープの紛失・盗難という事態も起こりえる。
また広域災害の際などには、ベンダー自体が対応しきれない場合がある。
これまで多くの製薬企業では災害に対する対策や計画が手薄になっていた感がある。万が一の事態に備えて、対策を計画しておくことは極めて重要である。
次回は、本シリーズ最終回として「その他CSV文書」の書き方について解説する。

参考
  • 「21 CFR Part 11 Electronic Records; Electronic Signatures; Final Rule」FDA 1997.3.20
  • 「FDA巨大化と近代化への道」石居昭夫著 薬事日報社 1999. 7
  • 「FDAの事典 第2版」石居昭夫著 薬事日報社 2006. 8. 31