BCP対策とは?必要性やメリット、運用のポイントを徹底解説
目次
緊急時における中核事業の継続や早期復旧を目的とするBCP対策は、全ての企業が取り組むべき活動です。東日本大震災の失敗も教訓とし、計画を文書化するだけでなく、迅速にBCPを発動して目的を達成する必要があります。
新型コロナウイルス感染症やウクライナ侵攻の影響などで多数の企業が経営不振に陥る中、BCP対策の理解を深めたい方もいるのではないでしょうか。そこでこの記事では、BCP対策の必要性・メリットや運用のポイントについてご紹介します。
BCP対策とは?
BCP対策は企業経営の持続性にフォーカスした、リスクマネジメントの一種です。BCPとBCP対策は厳密には意味が異なり、BCP対策と防災対策は対策の対象や目的が異なります。また「BCM」はBCPの運用プロセスを管理し、「BCMS」はBCM自体を改善する活動です。
「BCP」と「BCP対策」を整理
BCP(Business Continuity Plan/事業継続計画)とは、災害・感染症・テロなどの緊急事態が発生しても中核事業の継続と早期復旧を可能とするために、平常時および緊急時の対応をまとめた計画です。
東日本大震災や新型コロナウイルス感染症など、社会を震撼させる事態は企業活動にも多大な影響を及ぼします。企業生命を脅かす緊急事態に対し、組織的かつ計画的に、いかに備えていくかという活動がBCP対策です。BCPの策定(計画の文書化)だけでなく、後述するBCMやBCMSも含めて総合的な対策を講じます。
なお、BCP対策と防災対策は似て非なる概念です。防災対策は、地震・津波・洪水などの災害を想定し、従業員や自社設備の保全を目的として実施します。評価基準は死傷者数や物的損害額などです。
対してBCP対策は、災害・感染症・テロ・サイバー攻撃など事業継続を困難にさせるあらゆる緊急事態を想定し、事業の継続や早期復旧を目的として実施します。評価基準は復旧の度合いやかかった時間、経営・取引先・顧客への影響などです。
また防災対策は基本的に自社を対象としますが、BCP対策は自社の経営に関連する取引先やパートナー企業などとの連携も重視します。
BCPの運用プロセスを管理する「BCM」
BCM(Business Continuity Management/事業継続マネジメント)とは、中核事業の継続能力を維持・改善させるためのマネジメント活動です。
BCPが単に「文書化した計画」になってしまうと、平常時にも緊急時にも高い実効性は望めません。そこでBCMの一環として、事業継続に必要な成果物であるBCPを策定し、緊急時に備えて運用プロセスを管理します。
BCMの具体的な活動は、BCPで取り決めた事前対策の実施や、BCP文化形成のための教育・訓練などです。BCPの継続的な改善もBCMのPDCAサイクルに含みます。
BCM自体を改善する「BCMS」とは
BCMS(Business Continuity Management System/事業継続マネジメントシステム)とは、BCPを最新で有効に維持・管理するために、BCM自体を改善していく組織的活動です。
内部監査やマネジメントレビューなどにより、BCMを組織的かつ継続的に改善し続け、緊急時に迅速かつ適切な対応ができる体制を維持します。
なお、「事業継続マネジメントシステム適合性評価制度」などの第三者認証を受けるには、BCPの策定やBCMだけでなくBCMSを適切に実施することが必要です。
BCP対策の必要性
BCP対策はコンピュータシステムの台頭により、1970年代に欧米で、1980年代に日本で議論が始まった概念です。2001年のアメリカ同時多発テロにおいて、メリルリンチ社のBCP対策に基づく迅速な対応が世界的な注目を浴びました。日本でBCP対策の必要性が叫ばれたのは、2011年の東日本大震災からです。
ここでは、東日本大震災での失敗を踏まえ、計画を文書化するだけではないBCP対策の必要性を解説します。
BCP対策が注目される背景
国内でBCP対策が大きな注目を集めるようになったきっかけは、2011年に起こった東日本大震災です。BCPを文書化していた企業も想定外の事態で初動対応が遅れ、「BCP対策が十分に機能しなかった」という企業が大半を占めます。結果的に、多数の企業が倒産に追い込まれました。
また近年では新型コロナウイルス感染症の影響を受け、東日本大震災に関連するものよりさらに多くの企業が倒産したとみ見られています。ウクライナ侵攻が長期化する中、全国的にBCP対策への意識が高まっている状況です。
立地や企業規模を問わず重要である理由
緊急事態による倒産や事業縮小は、自社の直接的な被災が原因とは限りません。例えば東日本大震災の関連倒産は、取引先や仕入先の被災による販路縮小などを原因とした「間接倒産」が多数を占めると見られています。
自社が直接保有する経営資源だけを対象とするのでなく、事業継続に関連するサプライチェーンなどとも連携した、包括的なBCP対策が必要です。
この対策は従来の防災対策の範疇では考えにくいでしょう。しかし大企業に比べ、中小企業はBCP対策に後ろ向きな傾向があります。企業規模を問わず、BCP対策は重要なリスクマネジメントです。
手順の策定だけでは機能しない
BCP対策の主な目的は、従業員や顧客の生命と健康を守り、自社の中核事業の継続と早期復旧を達成することです。しかし東日本大震災で多くの企業が経験したように、BCP対策は緊急時対応の手順だけを定めても十分に機能しません。初動段階での対策だけでなく、以下のようなポイントを押さえることが重要です。
1.優先して継続・復旧すべき中核事業を特定する
2.緊急時における中核事業の目標復旧時間を定める
3.緊急時に提供できるサービスのレベルについて顧客とあらかじめ協議する
4.事業拠点や生産設備、仕入品調達などの代替策を用意する
5.全ての従業員と事業継続についてコニュニケーションを図っておく
BCP対策のメリット
BCP対策は倒産や事業縮小の回避に有効で、経営戦略の見直しにも効果的です。適切な緊急時対応ができれば、市場からの信用獲得と企業価値向上にもつながります。
なお、ここでいうBCP対策は、計画を文書化すること(BCPの策定)だけを意味しません。迅速な初動対応や早期復旧がかなう準備体制を整えておけば、平常時にも緊急時にもさまざまな恩恵を享受できます。
倒産や事業縮小の回避に有効
BCP対策は、緊急事態発生時の倒産や事業縮小の回避に有効です。地震や感染症などの緊急事態発生時、インフラへのダメージや出社制限などにより操業率は大きく低下します。
BCP対策を講じていない企業は初動対応が遅れるため、従業員の解雇や事業縮小を余儀なくされるケースは珍しくありません。経営基盤の脆弱な中小企業だと倒産に追い込まれる恐れもあります。
迅速かつ適切な初動対応ができれば、緊急時にも中核事業の継続と早期復旧ができ、事業縮小や倒産を回避できます。事前対策や代替策なども入念に計画しておけば、操業率を早期に100%に戻すことも可能です。
経営戦略の見直しにも効果的
BCP対策にとって重要となるBCMやBCMSは、経営マネジメントの一環です。中核事業の特定や事前対策・代替策の検討などを進める中で、自社の強みや弱みが明らかになるでしょう。
伸ばすべき部分や補うべき部分が明確になることで、平常時にも緊急時にも自社の事業を維持・成長させる経営戦略を立てやすくなります。この「地に足の着いた」経営戦略に基づき、経営基盤強化や事業拡大の計画を継続的に改善することが可能です。
市場からの信用獲得と企業価値向上
BCP対策は自社だけでなく顧客・取引先・地域といった全てのステークホルダーを対象とします。緊急時に経営を立て直せない企業は、事業継続が困難になるだけでなく、ステークホルダーからの信用を失うでしょう。
社会が混乱する中で事業の継続と早期復旧を達成すれば、取引先や投資家から信用を得られ、むしろ事業拡大につながることも期待できます。
また生活に密着したサービスの継続、災害支援活動による地域への貢献などは、CSR(企業の社会的責任)を果たすという意味でも企業価値向上につながるでしょう。
BCP対策の策定・改善や発動方法
BCP対策は、「平常時のBCPサイクル」「緊急時のBCP発動」という2段階で準備を進める必要があります。ここで解説するのは、あくまで一般的なプロセスです。個別具体的な対策は企業によって異なるため、自社の中核事業の性質やステークホルダーとの関係性などに応じて、最適な対策を準備しましょう。指針となるガイドラインも紹介します。
平常時のBCP対策プロセス
BCP対策の平常時における基本的な取り組みは、以下の3ステップからなります。
1.BCP基本方針の立案
2.BCPサイクルの運用体制確立
3.BCPサイクルの継続運用
BCPサイクルは以下5つのステップを繰り返し、より精度の高いBCP体制を整えます。
1.事業理解と中核事業の特定
2.BCPの準備と事前対策の検討
3.BCPの作成(文書化)
4.BCP文化の定着
5.BCPのテスト・維持・更新
緊急時のBCP発動プロセス
緊急事態が発生したら、以下の手順でBCPを発動します。
1.緊急事態の種類に応じた初動対応を実施
2.ステークホルダーへ被災状況を連絡するとともに、中核事業の継続方針を立案し、その実施体制を確立
3.中核事業継続方針に基づき、顧客・協力会社向け対策、従業員・事業資源対策、財務対策を併行して進める(場合によっては地域貢献活動も実施)
4.緊急事態の進展・収束に応じて、応急対策、復旧対策、復興対策を進める
BCP対策に役立つ3種類のガイドライン
BCP対策のアプローチは企業によって千差万別です。BCPやBCMは国家レベルで重視されているため、複数の政府機関がガイドラインを策定・公表しています。
| 中小企業BCP策定運用指針 | 中小企業庁による、中小企業向けBCP策定運用指針。入門・基本・中級・上級のレベル別で解説 |
| 事業継続計画策定ガイドライン | 経済産業省による、BCP対策全体の流れをまとめたマニュアル。システム障害・サイバー攻撃・情報漏えいなどの対策方法も解説 |
| 事業継続ガイドライン | 内閣府の防災担当がまとめたマニュアル。BCMの概要や事前対策・教育訓練・見直し・改善などを解説 |
BCP対策の対象とすべきリスク要因
BCP対策の対象とすべきリスク要因は、まず地震・津波などの自然災害です。災害大国の日本でいつ起こってもおかしくない自然災害の他、全世界的に影響を及ぼす経済危機、全ての企業の潜在リスクといえるサイバー攻撃や情報漏えいも対策の対象とすることが求められます。
自然災害
日本は災害大国です。地震や津波の他、台風・大雨による河川の氾濫や土砂災害など、全国的にさまざまな自然災害のリスクがあります。
自然災害について対策すべきは、本社オフィスの機能が停止することです。データセンターや通信インフラが損害を受け、デジタル関連の事業が停止する恐れもあります。
生産拠点や物流へのダメージも想定されるため、拠点の分散化などの代替策を準備することは重要です。また事業復旧までのキャッシュフローをコントロールする計画も求められます。
経済危機
感染症やテロなどによる社会的混乱と、それに伴う経済危機もBCP対策の対象です。新型コロナウイルス感染症やウクライナ侵攻のような、世界的に多大な影響を与える緊急事態も想定する必要があります。
自社が直接被害を受けなくとも、取引先やサプライチェーンなどが大きな影響を受け、間接的に緊急事態を引き起こすケースもあるでしょう。
こういった緊急事態のBCP対策として、ステークホルダーとのコミュニケーション体制の強化、全従業員が当事者意識を持つことも重要です。場合によっては中核事業の見直しも必要になるでしょう。
サイバー攻撃や情報漏えい
サイバー攻撃や情報漏えいといった、情報セキュリティ上の脅威もBCP対策の対象です。多種多様なデバイスやクラウドサービスをビジネス利用することが増える中、スパムメールや偽サイトによるフィッシング詐欺など、特定の従業員が思いがけず無差別型攻撃の搾取対象となるケースは珍しくありません。
取引先を偽装したビジネスメール詐欺、オーダーメイド開発したマルウェアなど、標的型攻撃のリスクも高まっています。産業スパイや人為ミスによる機密情報・顧客情報の大規模漏えいなども、企業生命を揺るがすリスクです。
これらの対策として、安全なクラウドストレージなどによるファイルの一元管理とアクセスログの監視を取り入れる企業が増えています。
【関連記事:サイバーセキュリティとは?サイバー攻撃の具体例、対策の施策例を解説】
BCP対策に最適な「Box」によるクラウドコンテンツ管理
情報を紙資料や自社管理のサーバに保存していると、自然災害やサイバー攻撃などで散逸・流出し、事業の継続・早期復旧を困難にする恐れがあります。ペーパーレス化およびクラウドストレージでのファイルの一元管理は、BCP対策にとって重要です。
各国の政府機関も採用する「Box」なら、容量無制限のクラウドストレージであらゆるファイルを安全に一元管理できます。7段階のアクセス制限や70種類以上の監査ログなど充実したセキュリティ機能に対応する上、取引先やパートナー企業とのオンライン共同編集も容易です。
1,500以上の業務アプリと連携でき、緊急時に本社機能が停止しても、リモートワーク環境で事業継続がかないます。イッツコムならファイル移行や運用体制構築など、Box導入運用のトータルサポートが可能です。
まとめ
BCP対策は中核事業の継続と早期復旧を目的に、自社だけでなくステークホルダーと連携して、平常時・緊急時の準備を総合的に進めていくものです。東日本大震災やコロナ禍での失敗を教訓とし、緊急時の初動対応を文書化するだけでなく、事前準備や代替策にも注力する必要があります。
多くの企業にとって基本かつ肝要な対策といえるのが、「Box」など安全なクラウドストレージによる情報の一元管理とリモートワーク環境の訓練です。BCP対策の一環としてクラウド環境の活用をお求めなら、関連サービスを総合的にサポートできるイッツコムにご相談ください。
