近年、BCP対策が注目されています。地震や水害などの大きな災害や、コロナ禍による外出自粛などで、ビジネス環境に大きな変化が起こっていることが背景にあります。

経営者としては、災害や疫病などの社会的に大きな問題が起こっても、自社にトラブルがあっても、事業を安全に継続させることがもっとも重要といえるでしょう。そのため、平時からの準備としてBCP対策が必要とされています。

BCP対策にはさまざまな内容があります。デジタル化が進んだ現在では、サイバー攻撃への対策も重要です。ここでは、BCP対策の概要と、策定や運用のポイントを説明します。

BCP(事業継続計画)対策とは

BCP(Business Continuity Plan)とは日本語で「事業継続計画」と訳されます。緊急事態に陥っても事業への損害を最小限にとどめ、事業を継続させる、またはできるだけ早期に復旧させる計画のことです。

BCPを策定し、緊急事態に備えることをBCP対策といいます。緊急事態に備えていつでも素早く的確な行動をとれるように、平時からBCP対策をしておくことが必要です。

緊急事態とは

BCPのいう「緊急事態」とは、企業の操業率が大幅に落ち、事業の継続が困難になるような事態のことです。たとえば、次のような状況があります。

  • 地震や水害などの自然・環境災害
  • 火災や大規模停電
  • パンデミック(世界的大流行)やテロ
  • 大規模なリコール
  • 大規模なシステム障害やサイバー攻撃

緊急事態は時代によって変わるものです。これからも、時代の変化とともに新しい緊急事態が出てくるでしょう。

BCP対策の目的

BCPの目的は、緊急事態が発生しても速やかに的確な対応ができるようにすることです。ポイントは次の2点です。

  • 事業への損害を最小限にとどめ、事業を継続させること
  • かりに事業を中断しても、できるだけ早期に復旧すること

BCP対策を策定するときにはすべての事業内容に優先順位をつけ、コア事業を選定します。コア事業選定のプロセスは、これからの経営戦略に生かすことも可能です。

BCP対策のメリット

BCP対策を行うことには、次のようなメリットがあります。

  • 緊急事態が発生しても、速やかに適切な対応ができる
  • 緊急事態が発生しても、事業停止による機会損失を低減できる
  • 緊急事態発生時に工場の操業が緊急停止しても、機器の事故を防ぎ、従業員の安全を確保できる
  • 緊急事態に速やかな対応ができることで、顧客や取引先からの信用を得られる
  • 緊急事態が発生しても安全に事業を継続できる、もしくは早期復旧できることで、中長期的な経営戦略を立てやすくなる

なぜBCP対策が注目されているのか

近年、日本では、東日本大震災、豪雨災害、コロナ禍など、大規模な緊急事態が次々に発生しました。そのため、企業が経営活動を行っていくうえでも、体系的なリスクマネジメントが求められています。

必要なのは、地震や水害などの個別のリスクへの対策ではありません。どのような緊急事態が発生しても的確な行動をとれるような包括的な対策として、BCP対策が求められているのです。

BCP策定は法的に必要か

BCP対策に法的な義務はありません。実際に、BCP対策をしっかりと行っている企業はまだ少ないようです。

帝国データバンクの調査によると、2021年5月の段階でBCPを「策定している」または「現在策定中」と回答した企業の割合は25.5パーセントとなっています。

しかし、そのままで大丈夫でしょうか? たとえば緊急事態のひとつでもあるサイバー攻撃を受けてしまうと、自社が被害にあうだけでなく、従業員や顧客に影響がおよぶこともあります。その場合、企業側に安全配慮義務違反や損害賠償が発生する可能性も少なくありません。また、トラブルへの対処を誤れば、事業が中断するだけでなく、倒産に追い込まれる可能性すらあるのです。

あらかじめBCPを策定しておけば、トラブルの発生を最小限に抑えて、すぐに対処することが可能です。

BCP・BCM・災害対策の違い

BCPと合わせてよく使われる言葉に、 BCMや災害対策(防災)があります。

BCM(Business Continuity Management)は経営戦略のひとつで、BCPの 策定や維持のために必要なマネジメントです。BCPの策定、代替拠点の準備、訓練などが含まれます。つまり、BCP対策はBCMの一部です。平時はBCMによってBCPを策定・維持・周知し、緊急事態にはBCPをもとに対処を行います。

災害対策は、「防災」「防災対策」ともいいます。自然・環境による災害を未然に防止し、人や建物、資産への被害拡大を防ぐことです。主に⾝体・⽣命の安全とその他物的被害の軽減が目的で、事業の維持という観点はありません。

BCPを策定する流れ

BCPの策定は次のような流れで行います。

  1. 方針を決める
    BCPの基本的な方針を決定します。具体的には、次のような部分です。
    • 最優先で守るコア事業を選定する
    • 災害、事故、サイバー犯罪など、緊急事態として想定するのはどのようなリスクかを書き出す
  2. プロジェクトチームを編成する
    BCP対策はほぼすべての部署を横断して作成します。そのため、情報収集という意味でも、BCPを周知するためにも、全社横断的な体制づくりが必要です。
    各部署から集めたメンバーでプロジェクトチームを結成し、体制を整えます。
  3. 被害を予測し、分析する
    被害の内容と程度を具体的に予測します。たとえば、次のような部分です。
    • コア事業がどの程度被害を受けるか
    • コア事業に必要なリソースがどの程度影響を受けるか
    • 目標時間内に復旧可能な被害か
    • 復旧費用はどの程度かかるか
    • 災害復旧貸付制度や保証制度などは使えるか
  4. 事前対策、代替案などBCPの内容を策定する
    次のような内容を決定します。
    • BCPの発動基準、発動時の指示系統
    • 緊急事態に対応するメンバーを明確にする
    • ソフトウェア面(避難計画、連絡拠点や代替となる拠点の準備、連絡手段の準備、勤務体系の変更など)
    • ハードウェア面(建物の耐震化、サーバーの二重化、データの分散保管、システムのバックアップなど)
    • 作業手順や担当を決めておく
  5. 計画の共有、周知
    策定したBCPをすべての従業員へ周知します。
    また、緊急事態にはすぐに対処できるように手順をマニュアル化し、作成したマニュアルを共有しておきます。避難訓練のように、内容によっては定期的な訓練も必要です。
    必要に応じて、顧客や協力会社、会社の所在地域の自治会などへも周知します。

BCP対策のマニュアル化については、「BCPマニュアルとは? BCP対策の一部としても重要なアイテム」の記事もご参照ください。

BCP策定と運用のポイント

BCPを効果的に策定・運用するためには、以下のポイントに注意します。

  • 運用と実践、改善を繰り返して完成に近づけていく
    BCPはリスクの想定から始まるため、最初から完璧なものはできません。策定しては訓練や改善を繰り返し、完成に近づけていきます。
  • 主な対策はコア事業に絞る
    大規模な緊急事態が起きたときは、すべての事業を継続することはできません。どの事業を残すのかを見極め、コア事業を守りきることを優先しましょう。
  • 抽象的な方針だけでなく、行動は具体的に決めておく
    緊急事態では、冷静な判断ができないこともあります。BCPには具体的な行動を決めておきましょう。
  • アクションの必要な部分は定期的に訓練する
    火災時の避難訓練など、従業員のアクションが必要な場合は、定期的に訓練を繰り返します。

日ごろからBCP対策を行うことで、緊急事態でも適切な対処ができる

災害やサイバー犯罪などの被害にあったときは、事業の継続を維持し、被害を速やかに復旧することが重要です。そのためにはBCP対策が欠かせません。

BCP対策は企業のあらゆる面で必要な措置です。特に、最近はビジネスの多くの部分がデジタル化されており、企業規模にかかわらず、サイバー攻撃の被害を受けることも多いでしょう。そのため、BCP対策として、サイバーセキュリティ対策も必要です。

サイバー攻撃に対するBCP対策としては、「サイバーレジリエンス」という考え方が重要になります。

サイバーレジリエンスについては「サイバーレジリエンスとは?その必要性や導入ポイントについて解説!」をご覧ください。

サイバー攻撃に対するBCP対策は、さまざまなセキュリティツールを組み合わせて実現するのが適切です。たとえば、「Webroot® Business Endpoint Protection」で自社のエンドポイントやWebサイトのフロントエンドを、「Webroot® DNS Protection」で自社端末やWebサイトの入り口を保護します。データの保護には「Carbonite® Endpoint」「Carbonite® Backup For Microsoft 365」を利用するとより効果的です。