BCPマニュアルとは、災害やトラブルへどう対処するかの手順を規定した文書で、BCPに従って緊急事態に対処するために重要な存在です。
BCPを策定しても、方針を抽象的に決めただけでは、緊急時にどのように動けばよいかがわからず、うまく対処ができません。そのため、BCPマニュアルを作成して、より具体的に行動内容を提示しておくと効果的です。
ここでは、BCPマニュアルの作成方法や、作成や運用のポイントについて説明します。
目次
BCPマニュアルはなぜ必要なのか
BCPマニュアルとは、自然災害や火災、サイバー犯罪などの緊急事態が発生したときに、企業がどう対処するか、復旧の方針、手順などをまとめたものです。
BCP マニュアルは、自社で策定したBCP(Business Continuity Plan、事業継続計画)にもとづいて作成します。BCPと同様に、事業継続のために被害を最小限に抑えて速やかに回復することが作成の目的です。
BCP対策については、「今すぐBCP対策に取りかかろう!何から始めればいい?策定と運用のポイント」で詳しく解説していますので、ぜひご参照ください。
なぜBCPマニュアルを作成するのか
BCPだけでなく、より細かい復旧手順をマニュアル化しておけば、緊急事態が発生した際に迅速に対処できます。手順が明確に決められていれば、迷わずに適切な対応ができるからです。
緊急事態にうまく対応できなければ、事業継続ができず、企業の存続も危うくなる可能性があります。そのような事態に陥らないよう、BCP策定の目的を確実に果たすためにBCPマニュアルを作成するのです。
BCPマニュアルと災害対策マニュアル
BCPマニュアルと災害対策マニュアルは同じもののように聞こえますが、両者は異なります。
BCPマニュアルは、あらゆる原因による緊急事態へ対処し、事業継続と、より速やかな復旧を目的に作成されます。
災害対策マニュアルは、自然災害や震災の被害へ対処し、被害を防いで安全を確保することを目的に作成されます。災害対策マニュアルの作成では、事業継続は視野に入れていません。
| 何に対処するものか | 何のために作成するものか | |
| BCPマニュアル | あらゆる原因による緊急事態自然災害、火災、パンデミック(世界的大流行)、サイバー攻撃など | 事業継続、もしくは速やかな復旧と事業再開 |
| 災害対策マニュアル | 自然災害や震災 | 人的被害の防止、安全確保設備の破損防止 |
BCPマニュアルの策定手順
BCPマニュアルは、次のような手順で作成します。
- 想定されるリスクをすべて書き出す
想定されるリスクをできるだけ細かく、具体的に書き出します。 たとえば、災害、パンデミック、事故、火災、サイバー犯罪、人的ミス、法務上のトラブル、人事・労務上のトラブル、労働安全衛生上のリスクなどです。
できるだけ多く書き出すことで、想定外の事態を少なくすることができます。
災害やパンデミックのように社会全体にかかわるリスクと、サイバー犯罪や人的ミスのように企業単位で起こりうるリスクの両方を書き出しましょう。 - 緊急事態としてBCPの対象にするリスクを決める
書き出したリスクのすべてに対処することは不可能です。そのため、リスクに優先順位をつけて、優先順位の高いものだけに対処を作成します。順位を決めるポイントは次の3つです。- 発生の可能性はどのくらいか
- 発生の頻度はどのくらいか
- 発生した場合の損害額はどの程度か
- BCPを発動する基準を決める
BCPの対象であるリスクが発生しても、影響が小さければ対処しないことも多いでしょう。たとえば、震度2程度の地震などです。
そこで、地震の場合は震度5以上で発動するといったように、BCPを発動する基準となる最低レベルを決めておきます。
すべてのリスクに対して、このように発動基準を決めておきます。 - コア事業を決める
緊急事態で事業停止した場合、もしくは事業停止しそうな場合、優先して復旧する事業を決めておきます。そうすることで混乱を減らし、効率的な復旧が可能です。
たいていは企業の中核事業(コア事業)が対象となりますが、コア事業を決めるには、次のようなポイントがあります。- 収益の多い事業
- 他社との関係により重要な事業
- 社会的に重要な事業
- 復旧の目標を決める
復旧の目標、どこまで復旧できれば稼働可能なのかという目安を決めます。これは、速やかに復旧を終えるためです。目標を決めておかなければ、完全にもとの状態まで復旧させようとして大量のリソースが必要になってしまうこともあるでしょう。
復旧の目安には、次のような指標があります。- RTO(目標復旧時間):いつまでに復旧させるかという期限
- RLO(目標復旧レベル):どのレベルまで復旧させるかの割合
- 復旧の段階と、段階ごとの行動を決める
復旧に必要な行動は、復旧段階に合わせて変わります。そのため、復旧の段階ごとに具体的な行動を決めることが必要です。- 初期対応:緊急事態発生直後~数日程度
安全を確保し、被害状況を把握します。従業員の安否確認、2次被害の防止、コア業務の環境を確認 - 業務仮再開:緊急事態発生から数週間程度
代替拠点などで業務を再開させます。代替拠点や代わりの担当者なども定めておきます。 - 本格的復旧:緊急事態発生から数週間後
会社施設や設備も復旧し、平常の業務へ戻ります。
- 初期対応:緊急事態発生直後~数日程度
- 責任者や代行者を決める
非常時でも、全体の方針を決めることができる責任者や代行者を明確にしておきます。これによって、復旧作業中の混乱を防ぎ、スムーズな復旧が可能です。 - 行動の指針を決める
復旧作業中に、作業者自身がなんらかの判断をしなければならない場合もあります。地震ならば、大きな余震の発生などです。その場合に優先すべきポイントや、作業を止めて避難する基準などを決めておきます。
これは、安全な復旧作業や2次被害を防ぐためにも必要です。 - BCP対策やBCPマニュアルを改訂する基準を決める
BCP対策や、BCPマニュアルは一度作成して終わりではありません。内容は、時代や事業の現状に合わせて変わっていくため、定期的に改訂して改善する必要があります。
あらかじめ確認リストや見直しの間隔などを決めておきます。
BCPマニュアルのテンプレート
BCPマニュアルをゼロから作成するのは、大きな手間と時間がかかります。中小企業庁や商工会議所でテンプレートを配布しているので、参考にするとよいでしょう。
BCPマニュアルの運用のポイント
BCPマニュアルを運用するときには、次のようなポイントに注意が必要です。
- 従業員にBCPに関する教育を行う
マニュアルを作成して配布するだけでなく、内容を共有し、理解してもらえるように研修や講習を行います。
これによって、属人的な作業も減らすことができます。 - 定期的に必要な訓練を行う
マニュアルにあっても、読んだだけではできない作業もあります。避難訓練やシステム復旧などは、訓練で実際にやってみるとより効果的です。訓練は定期的に行いましょう。 - 応援要員を確保しておく
指示系統や作業担当者はBCPマニュアルで規定しています。しかし、緊急事態時に指示者や担当者が休暇や出張で不在のことがあるかもしれません。
その場合でもマニュアルどおりの作業や行動ができるように、社内に応援要員を確保しておきましょう。 - BCPマニュアルの内容は常にアップデートしていく
大きな災害の発生、事業内容の変更、新種のサイバー攻撃の登場など、事業の環境は常に変化しています。BCPマニュアルも、変化に合わせて常に修正が必要です。
BCPマニュアルは作成するだけでなく運用がポイントになる
BCP対策を行うなら、BCPマニュアルの作成は必須といえるでしょう。方針だけでなく、具体的な行動を示すマニュアルを作成することで、策定したBCPをより円滑に実行に移すことができるからです。
しかし、BCPマニュアルは一度作成して終わりではありません。社会情勢の変化やデジタル技術の進歩を受けて、企業を取り巻く環境は常に変化しています。また、デジタル化や事業内容の変更などによって、企業自身が大きく変化することもあります。
そのため、BCPマニュアルも常に最新の状況に合わせて変化しなければなりません。特にサイバー攻撃の分野での変化は大きく、ひんぱんな情報更新が必要になります。
サイバー攻撃に対するBCP対策としては、「サイバーレジリエンス」という考え方が重要です。
サイバーレジリエンスについては「サイバーレジリエンスとは?その必要性や導入ポイントについて解説!」で詳しく解説していますので、ぜひご一読ください。
サイバー攻撃に対するBCP対策は、さまざまなセキュリティツールを組み合わせて実現するのが適切です。たとえば、「Webroot® Business Endpoint Protection」で自社のエンドポイントやWebサイトのフロントエンドを、「Webroot® DNS Protection」で自社端末やWebサイトの入り口を保護します。データの保護には「Carbonite® Endpoint」や「Carbonite® Backup For Microsoft 365」を利用するとより効果的です。
人気資料ランキング
人気記事ランキング
新着記事
