本文へ
English
ダッシュボードへ
横断テーマ 🌐🇯🇵

BCP(事業継続)

首都直下・南海トラフの巨大地震、富士山噴火の降灰、ランサムウェア(IPA脅威1位)、AWS/Cloudflareに代表されるクラウド・第三者依存の集中、地政学的分断、パンデミック——これら複合リスクから、モンスト・みてね・公営競技の24時間稼働を守る前提条件。東京本社とゲーム基盤の地理・依存集中が最大の急所で、日本・米国・インド・EUの即応時計を同時に満たす体制も問われる。

最新 更新 2026-06-20 次回レビュー 2026-07-20 29 出典
地域:

So What?(MIXIへの示唆)

  1. ACTION

    クラウド・リージョン依存の集中を解消し『優雅な縮退』を設計

    モンストはオンプレ+AWSのハイブリッドで、AWS us-east-1(2025/10)やCloudflare(2025/11)のような外部障害が世界規模の停止を生む。重要サービスの依存マップ作成、マルチリージョン/フェイルオーバー、CDN・認証・決済の代替経路、機能縮退モードを整備すべき。[5][6][15]

  2. ACTION

    ランサムウェア・サプライチェーン耐性を最優先で底上げ

    IPA脅威1位・2位で、アサヒ(約50億円損失・3か月)、KADOKAWA(2か月停止・身代金支払いでも漏えい)、米Change Healthcare(約24.6億ドル)が事業停止の現実を示す。改ざん不可(イミュータブル)バックアップ、委託先/SaaSのセキュリティ監査、IR・身代金方針、机上演習を整備し、個情委への速報3〜5日の体制を組む。[7][4][9][26][18]

  3. BET

    東京一極の本社・基盤に対し地理分散と被災時運用を仕込む

    首都直下(死者最大1.8万・83兆円・帰宅困難者最大840万人)と南海トラフ(292兆円・政府は死者8割減目標)に加え富士山降灰(都心最大30cm)を前提に、安否確認・遠隔稼働・本社代替拠点・地震/火山多発地帯外のDRサイトを整備。みてねの海外比率拡大は需要分散の追い風だが、運用・人材の東京集中は別途ヘッジが要る。[1][2][3][22][29][14]

  4. ACTION

    重要第三者・ベンダー集中をDORA流に台帳化しガバナンス

    AWS・Cloudflare・主要SaaSへの集中が世界障害を誘発する以上、DORAが求める『重要なICT第三者』の台帳化、代替可能性・出口計画、集中度モニタリングを自主的に導入すべき。MIXIは規制対象でなくとも、ベンダー監査とSLA・冗長化要件を契約に織り込む統制が継続性を支える。[20][5][6]

  5. WATCH

    多管轄のインシデント報告時計を1本のIRプレイブックに統合

    個情委(速報3〜5日)、印DPDP(72時間)+CERT-In(6時間)、米SEC(4営業日)、EU DORAと、管轄ごとに即応時計が異なる。みてねの175か国展開を踏まえ、管轄マトリクス付きの単一インシデント対応プレイブックと、どの当局へ何時間以内に報告するかの自動判定を整備すべき。[18][21][23][20]

  6. WATCH

    規制の継続性期待(報告義務・ISO22301・金融準拠)を先回りで満たす

    能動的サイバー防御の段階施行(2026〜)と漏えい報告義務、ISO22301/内閣府ガイドライン、金融庁のオペレーショナル・レジリエンス(公営競技に波及し得る)がBCP開示の基準を押し上げる。MIXIはBCM準拠と訓練実績を統合報告書・監督対応で示せる体制をモニタリングすべき。[8][16][17][24][14]

  7. WATCH

    新興感染症・健康危機に備えた恒常的リモート稼働と要員多重化を維持

    WHOパンデミック協定の制度化と2026年のH5N1/Disease X警戒・保健ODA縮小は、次の健康危機が前回より薄い備えで訪れ得ることを示す。安否確認・在宅運用・要員のクロストレーニング・国際出張ポリシーを常設のBCP要素として維持し、訓練で実効性を確認すべき。[10][28]

主要リスク & 機会

PESTLE 分析

P E S T L E
P 政治

サイバーを安全保障領域とする能動的サイバー防御法、ロシア・中国系アクターの標的再配分、台湾海峡の海底ケーブル切断、半導体の地理集中が、企業のBCPを国家リスクと結び付ける。

  1. 🇯🇵 日本の「サイバー対処能力強化法・整備法(能動的サイバー防御)」が2025年5月16日に成立、5月23日に公布。重要インフラ15分野に政府への重大インシデント報告義務を課し、2026年以降に段階施行(秋に官民協議会の設置目標)——サイバーが正面から安全保障領域に組み込まれた。[8]
  2. 🇯🇵 2026年の脅威見通しでは、ロシア・中国系の国家連動型アクターが標的を日本企業・重要インフラへ再配分しているとされ、サプライチェーン攻撃と地政学リスクが交差。能動的サイバー防御の整備と相まって、ゲーム・SNS事業者も国家レベルのリスクの射程に入る。[27]
  3. 2025年は台湾周辺の海底ケーブル切断が相次ぎ、9月にはECA2が断線、台湾の24本のうち9本が損傷状態と報じられた。アジアの国際通信は『武器なき侵害』の標的になり得る——海外接続を前提とするサービスの隠れた単一障害点。[11]
  4. TSMCが世界の先端半導体の約9割を担い、地理が台湾に極端に集中。台湾海峡の緊張は各国の供給網分散を促すが、サーバー・端末・GPU調達のリードタイム長期化はインフラ増強やDR構築の前提を揺るがす。[12]
  5. 🇮🇳 インドはDPDP法とデータ主権政策でローカル保管・国内処理への圧力を強め、国内DC投資コミットは報じられる範囲で約1,800億ドル規模に拡大。みてねがインド市場で稼働・成長する場合、データ所在地と国内DR、72時間/CERT-In 6時間の報告体制が政策的前提として課される。[25][21]
E 経済

1件のインシデントでも数十億〜数千億円規模の損失が現実化。巨大地震のマクロ被害は数十〜数百兆円で、事業停止コストがBCP投資の閾値を引き上げる。

  1. 🇯🇵 アサヒグループは2025年9月29日のランサムウェア(Qilin)攻撃で国内30工場の生産・出荷が停止し手作業対応に追い込まれ、約50億円の売上影響に加え、最終調査(2025年11月)で最大約192万人分(顧客約152万人)の個人データへの影響、うち漏えい確認115,513件が判明。復旧は12月まで長期化した——『DX基盤の喪失=事業停止』を象徴。[4]
  2. 2024年7月19日のCrowdStrike障害は単一のソフト更新で約850万台のWindowsをダウンさせ、米Fortune 500だけで直接損失が約54億ドルと推計された。自社が無過失でも、外部ベンダー1社の不具合が世界規模の停止を生む。[13]
  3. 🇺🇸 米Change Healthcare(UnitedHealth傘下)への2024年2月のランサムウェア(ALPHV/BlackCat)は決済・請求処理を約2か月停止させ、対応コストはUnitedHealthで約24.6億ドルに達し、約1.93億人分のデータが影響、身代金2,200万ドルを支払ってもなお漏えい。単一の基幹処理事業者の停止が業界全体を麻痺させた米国の教訓。[26]
  4. 🇯🇵 巨大地震のマクロ被害は南海トラフで経済被害約292兆円、首都直下で約83兆円と試算。首都直下の83兆円は直接被害45兆円+発災後1年の生産・サービス低下38兆円で、本社・取引網の同時停止という前提を突き付ける。[1][2]
S 社会

パンデミックは国際枠組みとして制度化が進む一方、巨大災害では『災害関連死』が初めて数万人規模で試算され、帰宅困難者は最大約840万人と見積もられた。従業員安全・要員確保・社会的信頼がBCPの中核に。

  1. WHOパンデミック協定が2025年5月20日に第78回世界保健総会で採択(賛成124・反対0)。次なる健康危機への国際協調・備えが制度化され、リモート稼働や要員確保といった事業継続前提を再び問う。発効には60か国の批准が必要。[10]
  2. 🇯🇵 2025年の新被害想定は『災害関連死』を初試算し、南海トラフで最大約5.2万人、首都直下で最大約4.1万人と推計。避難生活下の支援不足が直接死に迫る規模の人的被害を生む——安否確認・従業員支援・コミュニティ信頼がBCPの社会的責務に。[1][2]
  3. 🇯🇵 首都直下地震の新想定(2025年12月、平日昼想定)では帰宅困難者が最大約840万人、避難者も最大約480万人に達すると見積もられた(前回想定の約800万人を上回る)。本社・要員が東京に集中するMIXIにとって、発災直後の安否確認・帰宅抑制・施設内待機(一斉帰宅の抑制)と従業員の安全配慮義務が初動BCPの最優先課題になる。[29][2]
  4. 2026年の主要健康脅威分析では、H5N1鳥インフルが哺乳類・酪農牛へ拡大し『Disease X』のパンデミック化リスクとして警戒されるほか、診断能力が『備えの最弱点』、保健ODAは2023年比3〜4割減と指摘。次の健康危機は前回より備えが薄い状態で訪れ得るため、リモート運用・要員多重化・国際出張ポリシーの常設化が継続性の前提になる。[28][10]
T 技術

ランサムウェアは6年連続でIPA脅威1位、サプライチェーン攻撃が2位。AWS・Cloudflareの世界規模障害が示す通り、クラウド・第三者依存の集中が最大の技術的急所。

  1. 🇯🇵 IPA『情報セキュリティ10大脅威2026』はランサム攻撃を6年連続1位、サプライチェーン攻撃を4年連続2位とし、AI利用のサイバーリスクが初の3位。2025年は事業停止に発展する事例が相次いだと明記——ゲーム・SNS事業の常時稼働を直撃する。[7]
  2. 🇯🇵 2026年に入っても日本企業のランサム被害は連鎖し、村田製作所(3/6不正アクセス)やワシントンホテル(2月)等が相次いで被災。製造業が国内被害の約28%を占め、委託先・サプライチェーン経由の侵入が急増。復旧の『長い尾』が常時稼働サービスの前提を脅かす。[19]
  3. 2025年10月20日のAWS us-east-1障害はDNSのレースコンディションを起点に140超のサービスを約15時間ダウンさせた。DynamoDB制御プレーンがus-east-1から分離されておらず、単一リージョンの障害が世界へ連鎖——『マルチリージョン前提』の不在を露呈。[5]
  4. 🇺🇸 AWS us-east-1(米バージニア北部)は世界の制御プレーンの実質的な要で、2025年10月の障害は全世界へ波及した。みてねの海外主力市場である米国を含むグローバル配信が米リージョンの稼働に依存する構造は、地理分散とフェイルオーバー設計の見直しを迫る。[5][14]
  5. 2025年11月18日にはCloudflare(世界のWeb通信の約2割を処理)が内部設定変更で生成された過大ファイルにより約5時間46分(11:20〜17:06 UTC)の大規模障害。攻撃ではなく自社の構成ミスが原因で、ChatGPTやX等が同時停止——エッジ/CDN依存の集中リスク。[6]
  6. 🇮🇳 インドのデータセンターは2025年に新規供給が倍増(約387MW増)し総容量が約1,520MWに到達、ムンバイが需要・供給とも最大拠点(吸収量の約48%)で国際海底ケーブルの主要陸揚げ地。一方でバックアップをディーゼル発電に依存する構造的弱点も残る。みてね等のグローバル基盤がアジア新興拠点へ広がる際の容量機会と、電力・接続リスクが併存する。[25]
  7. 🇯🇵 モンストはオンプレミスのデータセンターとAWSのハイブリッド構成と報じられ、『サーバー機器故障』に起因する緊急メンテが2023年・2025年・2026年と再発。自社ハードとクラウドの双方が単一障害点になり得ることを示す、MIXI固有の継続性課題。[15]
L 法規制

個人データ漏えいは個情委への速報・確報と本人通知が義務。能動的サイバー防御、米SEC、印DPDP、EU DORAの報告義務とISO22301/内閣府ガイドラインが、開示と継続性の法的期待を多管轄で押し上げる。

  1. 🇯🇵 改正個人情報保護法では、要配慮情報や不正目的のおそれ等の漏えい時に個人情報保護委員会への『速報』(概ね3〜5日以内)と『確報』(原則30日以内、不正アクセス等は60日以内)、および本人通知が義務。インシデント時の法的時計が極めて短い。[18]
  2. 🇯🇵 能動的サイバー防御法は重要インフラ15分野に重大インシデントの政府報告を義務付け、接続する民間システム提供者やITベンダーにも連携を求める可能性がある。MIXIは直接対象でなくとも取引・委託網を通じて間接的な対応が要る。[8]
  3. EUのデジタル・オペレーショナル・レジリエンス法(DORA)が2025年1月17日に適用開始。金融機関に重大ICTインシデント報告とICT第三者(クラウド・データセンター等)への監督を課し、『重要な第三者プロバイダ』の指定と集中リスク是正を求める——グローバル標準としてベンダー集中ガバナンスの基準を押し上げる。[20]
  4. 🇺🇸 米SECのサイバー開示規則は、重要と判断したインシデントをForm 8-K(Item 1.05)で原則4営業日以内に開示することを上場企業に義務付ける。2025年には金融業界団体が撤回を請願する動きもあり制度は流動的だが、投資家のインシデント開示期待の事実上の基準となっている。[23]
  5. 🇮🇳 インドのDPDP規則2025は、個人データ侵害をデータ保護委員会へ遅滞なく初報し72時間以内に詳細報告すること、本人通知を義務付ける。加えてCERT-In指令は『6時間以内』のインシデント報告を課す——みてねがインド市場で稼働する以上、複数の即応時計を同時に満たす体制が要る。[21]
  6. 🇯🇵 金融庁はオペレーショナル・レジリエンス(重大事象下でも最低限の重要業務を継続する能力)を監督指針に取り込み、FISC安全対策基準は2025年3月に第13版へ改訂、DORAとの国際整合も進む。MIXIは公営競技という資金取扱・許認可事業を抱えるため、金融準拠水準の継続性が問われ得る。[24]
  7. 事業継続の国際標準ISO22301とBCMS認証市場はアジア太平洋が最速(2025-33年CAGR約17%)で拡大。日本では内閣府『事業継続ガイドライン』(令和5年3月)がBCMの基準を示す——B2B・IRの信頼担保として認証・準拠の重みが増す。[16][17]
E 環境

首都直下・南海トラフの新被害想定が2025年に更新、富士山噴火の降灰計画も改定。東京本社とデータセンターが地震・火山多発地帯に集中する地理リスクが、BCPの最大かつ不可避の前提。

  1. 🇯🇵 内閣府は2025年3月に南海トラフ巨大地震の新被害想定を公表。最悪で死者約29.8万人、全壊・焼失約235万棟、経済被害約292兆円。政府は2025年7月1日に基本計画を改定し、今後10年で死者8割減・全壊5割減を目標に施策を48から205へ拡充した。[1][3]
  2. 🇯🇵 首都直下地震の新被害想定(2025年12月19日、12年ぶり改定)は死者最大約1.8万人、全壊・焼失約40万棟、経済被害約83兆円。耐震化100%なら全壊9割減とされるが、東京一極の本社・人材・通信が同時被災する前提を直視させる。[2]
  3. 🇯🇵 富士山噴火の降灰は最悪で東京都心に最大30cm規模、噴火後1〜2時間で関東に到達し交通・電力・通信を麻痺させ得る。内閣府は2025年11月にCG映像で『国家危機級』と警告し、東京都も2025年9月に降灰対応計画を改定。地震に加え火山灰がデータセンター冷却・通勤・物流を直撃する新たな前提。[22]
  4. 🇯🇵 MIXIは情報セキュリティのマテリアリティで『緊急時にもサービスを継続するためのBCPの整備と対策の徹底』を掲げる。東京本社とモンスト基盤を抱える以上、本社・DCの地理分散と被災時の運用継続が開示済みの責務として問われる。[14][15]

タイムライン

  • 2024-02-21 米Change Healthcareがランサムウェア被害、決済・請求が約2か月停止
  • 2024-06-08 KADOKAWA/ニコニコがランサムウェア被害、約2か月の停止
  • 2024-07-19 CrowdStrike障害、約850万台のWindowsが世界規模でダウン
  • 2025-01-17 EU DORAが適用開始(ICT第三者の監督・集中リスク是正)
  • 2025-03 FISC安全対策基準が第13版へ改訂(金融のITレジリエンス強化)
  • 2025-05 WHOパンデミック協定を世界保健総会が採択
  • 2025-05-16 日本の能動的サイバー防御関連法が成立(5/23公布)
  • 2025-07-01 南海トラフ防災対策推進基本計画を改定(死者8割減目標)
  • 2025-09-29 アサヒGがランサムウェアで国内30工場の生産停止/東京都が富士山降灰計画を改定
  • 2025-10-20 AWS us-east-1障害、140超サービスが約15時間停止
  • 2025-11-14 内閣府が富士山降灰のCG映像を公開、『国家危機級』と警告
  • 2025-11-18 Cloudflare大規模障害で世界のWebが約5.8時間混乱
  • 2025-12-19 首都直下地震の新被害想定を公表(12年ぶり改定、帰宅困難者最大840万人)
  • 2026-01-29 IPA『情報セキュリティ10大脅威2026』公表(ランサム6年連続1位)
  • 2026-03 村田製作所など日本企業へのランサム被害が連鎖
  • 2026 H5N1鳥インフルのパンデミック化リスクと診断ギャップが顕在化(Disease X備え)
  • 2026 能動的サイバー防御の段階施行・官民協議会の設置(予定)
  • 2026 インドDPDP規則の漏えい報告(72時間)運用が本格化(予定)

関連エンティティ

  • 内閣府 防災担当 / 中央防災会議政府/公的
  • IPA(情報処理推進機構)政府/公的
  • 個人情報保護委員会(PPC)規制
  • NISC / 能動的サイバー防御規制
  • 金融庁(FSA)/ FISC政府/公的
  • EU DORA規制
  • 米SEC サイバー開示規則(Item 1.05 8-K)規制
  • インドDPDP法 / CERT-In規制
  • Amazon Web Services (AWS)技術
  • Cloudflare技術
  • ISO 22301規制
  • Qilin / BlackSuit(ランサムウェア集団)技術
  • ALPHV / BlackCat技術
  • 村田製作所企業
  • Change Healthcare / UnitedHealth企業
  • モンスト / Monster Strike製品
  • みてね / FamilyAlbum製品
  • TIPSTAR / 公営競技製品
  • ムンバイ データセンター集積市場
  • TSMC企業
  • WHO 緊急・パンデミック管理部門政府/公的
  • 帰宅困難者対策(東京都/中央防災会議)政府/公的

出典

  1. [1] 【詳細】地図で見る南海トラフ巨大地震の被害想定(2025年版) — 時事通信社(時事ドットコム), 2025-03
  2. [2] 「首都直下地震の被害想定」の見直しの概要と前回想定との比較 — 東京海上ディーアール, 2025-12
  3. [3] 南海トラフ地震、インフラ・建築対策の新項目 死者数8割減へ政府計画改定 — 日経クロステック, 2025-07
  4. [4] Asahi confirms 2025 cyberattack led to leak of 115,513 sets of personal data — The Japan Times, 2026-02
  5. [5] AWS Outage Analysis: October 20, 2025 — ThousandEyes (Cisco), 2025-10
  6. [6] Cloudflare outage on November 18, 2025 — Cloudflare, 2025-11
  7. [7] プレス発表「情報セキュリティ10大脅威 2026」を決定 — IPA(情報処理推進機構), 2026-01
  8. [8] 能動的サイバー防御の導入による基幹インフラ事業者への影響 — PwC Japan, 2025
  9. [9] BlackSuit ransomware gang claims attack on KADOKAWA corporation — BleepingComputer, 2024-06
  10. [10] World Health Assembly adopts historic Pandemic Agreement — PAHO / WHO, 2025-05
  11. [11] 相次ぐ海底ケーブル切断事件(2025年9月)|台湾海峡・「見えない戦争」の攻防 — キヤノングローバル戦略研究所(CIGS), 2025-09
  12. [12] Why Taiwan Fears 'America First' Risks Eroding Its 'Silicon Shield' — Stimson Center, 2025
  13. [13] CrowdStrike disruption direct losses to reach $5.4B for Fortune 500, study finds — Cybersecurity Dive, 2024-07
  14. [14] 情報セキュリティとプライバシー(マテリアリティ/サステナビリティ) — 株式会社MIXI, 2025
  15. [15] ミクシィ、『モンスト』で緊急メンテ…サーバー機器の障害対応のため — gamebiz, 2025-05
  16. [16] 事業継続ガイドライン -あらゆる危機的事象を乗り越えるための戦略と対応-(令和5年3月) — 内閣府(防災担当), 2023-03
  17. [17] Best Practice Business Continuity with ISO 22301 — SGS, 2025-04
  18. [18] 個人情報保護法の基礎と企業対応・改正動向(漏えい等報告義務) — BUSINESS LAWYERS, 2026
  19. [19] Japanese Firms Suffer Long Tail of Ransomware Damage — Dark Reading, 2026
  20. [20] Digital Operational Resilience Act (DORA) — EIOPA (EU), 2025-01
  21. [21] Data Breach Notification Obligations Under the DPDP Act & DPDP Rules — King Stubb & Kasiva, 2025
  22. [22] Vivid portrayal of ash fall damage in Tokyo from Mt. Fuji eruption: Cabinet Office releases CG video — Science Japan (JST), 2025-11
  23. [23] SEC Adopts Rules on Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure — U.S. Securities and Exchange Commission, 2023-07
  24. [24] Dialogue between the FSA and FISC (operational resilience, FISC Security Guidelines) — Financial Services Agency (Japan), 2025-12
  25. [25] India data centre capacity more than doubled to 387 MW in 2025, total stock 1,520 MW — DD News (India), 2026-01
  26. [26] The complete story of the 2024 ransomware attack on UnitedHealth (Change Healthcare) — Kaspersky, 2024
  27. [27] Japan Cyberattacks 2026: Russia, China, and the Reallocation — CybelAngel, 2026
  28. [28] Six major health threats that could shape 2026: here's what experts are watching — Gavi, the Vaccine Alliance, 2026
  29. [29] 【詳細】地図で見る首都直下地震の被害想定(2025年版) — 時事通信社(時事ドットコム), 2025-12