サイト内の現在位置
コラム
BCP対策とは?
策定手順や企業の取り組み事例をわかりやすく解説
UPDATE : 2023.06.16
BCP対策とは、緊急事態発生時に事業の継続や早期復旧が可能になるように、事業継続計画(=BCP)を策定して平時から備える取り組みです。BCPは、新型コロナウイルス感染症によるパンデミックなど、不確定要素の多い現在のビジネス環境において、特に重要度を増しています。
そこで本記事では、BCPの基礎知識から、BCP対策の具体例、BCP策定・運用のポイントまでわかりやすく解説します。
INDEX
- BCP対策とは
- BCPと防災の違い
- BCPとIMP、BRPの違い
- BCPとBCMの違い
- BCP対策が求められる理由
- 介護施設および事業所におけるBCP策定の義務化
- 企業がBCP対策で得られるメリットとは
- 緊急事態に対応できる経営体制を構築できる
- ステークホルダーからの信頼を獲得できる
- 自社の中核事業や強み弱みを可視化できる
- BCPで対策すべき緊急事態とは
- BCP対策の具体例
- BCPの策定手順
- 【STEP①】方針の策定
- 【STEP②】分析・検討
- 【STEP③】事業継続戦略・対策の検討と決定
- 【STEP④】計画の策定
- BCP策定時のポイント
- BCP運用時(BCM)の注意点
- BCP対策に関わる補助金や助成金
- BCPに欠かせないIT
- まとめ
BCP対策とは
BCP対策とは、災害や事故など不測の事態による損害を最小限に抑えて事業の継続や早期復旧ができるように、組織のBCP(Business Continuity Plan:事業継続計画)を策定して準備する取り組みを指します。BCP対策には緊急時に取るべき対応手段だけでなく、事前訓練(BCP訓練)など平時に行っておくべき対策も含まれます。
計画であるBCPでは、下図のように復旧までにかかる時間と重要業務の復旧レベル(操業度)を軸に、それぞれの「許容限界」を設けます。許容限界よりも早い復旧時間と、許容限界を上回る復旧レベルでの事業継続を目指し、行動方針や組織体制、対応手順などを整備した計画がBCPです。
BCPに基づき、緊急時の速やかなアクションの実行を目指すBCP対策は、従業員の生命と雇用、顧客からの信頼、企業の事業および売上を維持するために欠かせない取り組みとなります。
● BCPと防災の違い
「防災」とは、自然災害などに備える活動全般を示します。基本的に拠点レベルで推進される防災活動は、特に現場の復旧に関して、BCP対策と共通する部分があるでしょう。しかし、防災活動とBCP対策では、「目的」「取り組みの主体」「重視される目標」など、前提とする方針やアプローチが異なります。
| 防災活動 | BCP対策 | |
|---|---|---|
| 目的 | 人命の安全確保と物的被害の軽減 | 人命の安全確保を含む、重要業務・事業の継続または早期復旧 |
| 対象となる脅威 | 拠点のあるエリアで発生が想定される災害 | 事業継続の疎外原因となり得るあらゆるリスク |
| 対策の検討範囲 | 被害の想定される拠点・地域ごと(本社、工場、データセンターなど) | 全社および関係主体(調達先、委託先など) |
| 取り組みの主体 | 防災部門、施設管理部門、総務部および防災関連部門が中心に取り組む | 経営層を中心に、各部門で横断的に取り組む |
| 重視される目標 | ・死傷者数や損害額を最小限にする ・従業員の安否確認と被災者の救助支援を行う ・被災拠点の早期復旧 |
・死傷者数や損害額を最小限にする ・従業員の安否確認と被災者の救助支援を行う ・目標とする重要業務の復旧時間と復旧レベルを達成する ・経営やステークホルダーへの影響を許容範囲に抑える ・収益を確保する |
| 計画や対策の種類 | ・損害の抑制 ・早期復旧対策 |
・代替戦略の策定(代替拠点の確保やバックアップなど) ・現地の早期復旧対策 |
BCP対策は、防災活動の延長としてとらえず、上表のような違いを理解したうえで、防災活動と並行して推進する必要があります。
● BCPとIMP、BRPの違い
BCPに関連する用語に「IMP」と「BRP」があります。IMPは「Incident Management Plan」の略で、日本語では「初動対応計画」と言われます。BRPは「Business Recovery Plan」の略で、日本語では「事業復旧計画」や「事業回復計画」などと訳されます。BCP、IMP、BRPの関係は、下図の通りです。
一般的にBCPは、インシデント発生直後の対応計画となるIMPと、代替手段などによる事業の維持・継続を目指す“狭義”のBCP、インシデントや被災前の水準への事業回復を図るBPRの3つのフェーズで構成されます。つまり、IMPとBRPは“広義”のBCPの一部分という関係性になります。
● BCPとBCMの違い
BCMとは、「Business Continuity Management」の略で、日本語では「事業継続マネジメント」と訳されます。BCM は、BCPの策定・導入・改善のほか、実際の運用も含む、包括的なマネジメント活動を指す言葉です。そのため、BCPが浸透し機能するための教育訓練や、定期的・客観的なBCPの見直しなどが、BCMに含まれます。
なお、BCMのマネジメントプロセスを仕組み化する活動はBCMS(Business Continuity Management System:事業継続マネジメントシステム)と呼ばれ、ISO(国際標準化機構)による体系的な規格(ISO 22301)も策定されています。
BCP対策が求められる理由
昨今、BCP対策がより強く求められるようになった背景には、地震や台風など大規模自然災害に関する脅威の高まりが挙げられます。地震については『関東から九州の広い範囲で強い揺れと高い津波が発生するとされる南海トラフ地震と、首都中枢機能への影響が懸念される首都直下地震は、今後30年以内に発生する確率が70%』(内閣府「防災情報のページ」より)とも言われています。
また、気候変動による大型台風や大雨・洪水のリスクの高まりも多くの人が感じていることでしょう。
さらに近年では、新型コロナウイルス感染症の世界的流行によってパンデミックのリスクが顕在化したほか、サイバー攻撃などによる情報セキュリティリスクも問題視されています。加えて、政治不安や戦争などの地政学的リスクも対策が必要な脅威です。こうしたビジネスに与える影響の大きいリスクに対して、迅速かつ適切な対応を徹底するため、大企業を中心に平時からの取り組みとしてBCP対策を進める企業が増えています。
拡大する● 介護施設および事業所におけるBCP策定の義務化
昨今は、さまざまなリスクが顕在化しているものの、災害拠点病院の指定要件とされている以外では、BCP策定の義務はありませんでした。国策として、一般企業に対するBCP策定の推奨や公的支援はなされていますが、義務化はされていなかったのです。
そうした中、2021年に公表された厚生労働省『令和3年度 介護報酬改定における改定事項について』において、介護施設および介護事業所における、BCP・BCMの義務化が告示され、話題となりました(3年間の経過措置期間を設けているため、完全義務化は2024年4月からです)。この義務化の背景には、要介護者とその家族を支える社会インフラとして介護サービスが不可欠な存在となっている状況に加え、感染症および自然災害リスクの高まりがあるとされています。
企業がBCP対策で得られるメリットとは
企業がBCP対策を実行することで得られるメリットには、以下の3つが挙げられます。
- 緊急事態に対応できる経営体制を構築できる
- ステークホルダーからの信頼を獲得できる
- 自社の中核事業や強み弱みを可視化できる
【緊急事態に対応できる経営体制を構築できる】
BCPを適切に策定済みの企業は、緊急事態が発生した場合に速やかな復旧アクションが可能です。事業の維持および早期復旧が実現すれば、顧客が離れてしまう事態も防げるため、経営に与えるダメージも最小限にできます。
また、事前に自社のリスクとなるポイントを把握できるため、BCPで想定していない事態が発生したとしても、柔軟かつ臨機応変な対応を取りやすくなります。一方で、非常時に迅速で柔軟な対応ができないでいると、従業員の解雇や事業の縮小、さらには廃業につながってしまう恐れがあります。
【ステークホルダーからの信頼を獲得できる】
BCPに基づいた、非常時における事業の維持および早期復旧が可能な体制の構築は、取引先や株主からの高評価につながり、企業価値向上の効果が見込めます。また、BCP対策が徹底できていると、従業員を含む人命の安全確保、被災者の救助支援活動などを素早く実行可能です。
さらには、環境汚染などの二次災害防止、地域の雇用確保、地域経済の維持につながり、地域における社会的責任を果たすことにもなります。そのため、BCP対策は、取引先・株主・従業員・地域社会など、ステークホルダーからの信頼獲得が期待できます。
【自社の中核事業や強み弱みを可視化できる】
BCPを策定する際には、優先して維持すべき事業や業務を可視化します。加えて、組織体制や業務フローにおいて、緊急事態発生時にリスクとなるポイントも明らかにする必要があります。
そのため、BCPを策定する過程で、自社において優先すべき中核事業や補強すべきポイントが明確になり、平常時からビジネスの優先順位を付けやすくなります。経営資源の投入やリソース配分の判断など、中長期的な経営戦略の立案にも役立つでしょう。
BCPで対策すべき緊急事態とは
BCPで対策すべき緊急事態は、自然災害と自然災害以外のリスクに大別できます。しかしながら、火災や交通障害など、自然災害に伴って発生するリスクもある点には留意が必要です。
また、時代や環境の変化により、新しいリスクが生まれる場合もあります。例えば、従業員が職場での不適切な行為をSNSなどで拡散してしまうバイトテロや、外食店で利用客が迷惑行為をアップロードするというようなケースが、近年では社会問題となっています。こうした新しく登場するリスクも含め、企業が対応すべきリスクは多岐にわたって見出せるでしょう。
そのため、BCPを策定する際には、下表のようにリスクを洗い出して、それぞれを評価しなければなりません。発生頻度と事業に与える影響の大きさからリスクを評価して対策の優先度を見極め、リスクに対する共通認識を全社で持てるようにします。
| 自然災害のリスク | |
|---|---|
| 地震、津波、台風、大雨、大雪、洪水、竜巻、土砂災害、噴火 など | |
| 自然災害以外のリスク | |
| 企業の外的要因による緊急事態 | 企業の内的要因による緊急事態 |
| 感染症のパンデミック、停電、交通障害、通信障害、危険物の流出、営業妨害、為替変動、景気変動、戦争、テロ攻撃、サイバー攻撃、サプライチェーンの途絶、取引先の倒産、利用客の迷惑行為 など | 事故、火災、労働災害、違法行為(製造物責任法、知的財産基本法、独占禁止法など)、人権侵害、ストライキ、情報漏えい、組織におけるキーマンの退職、オペレーションのミス、バイトテロ など |
BCP対策の具体例
BCP対策の具体的な施策として、「地震」「感染症のパンデミック」「情報セキュリティ」の3つのリスクを例に解説します。いずれの場合でもITシステムの導入、仕組みづくり、教育訓練が重要な役割を果たしていることに注目してください。
| 地震に対する取り組みの具体例 |
|---|
| ・本社機能を代替可能な拠点の設置 ・施設の耐震補強 ・保険への加入 ・被災時の緊急通信機器やコミュニケーションツール、接続回線の確保 ・備蓄(資材や電源など)の整備 ・避難所や救護スペースの確保 ・データバックアップシステムの導入 ・従業員安否確認システムの導入 ・設備備品の固定による転倒防止 ・災害時のマニュアル策定と訓練の実施 など |
| 感染症のパンデミックに対する取り組みの具体例 |
| ・オンライン会議やテレワークの導入 ・シンクライアント端末の導入 ・代替要員となる従業員の多能工化強化 ・衛生関連備蓄の充実 ・保険への加入 ・オンラインなど非対面型のビジネスモデルへの転換 ・感染予防および感染拡大防止のルール策定とガイドラインの共有 など |
| 情報セキュリティに対する取り組みの具体例 |
| ・情報セキュリティの教育訓練実施 ・IoT機器に関するセキュリティ対策の強化 ・攻撃メールによる抜き打ち訓練の実施 ・社内システムにおける認証基盤の強化 ・マルウェアを検知および阻止するシステムの導入 ・保険への加入 ・自社の別拠点や外部のデータセンターを活用したデータバックアップシステムの構築 ・社内サーバやネットワークを監視するシステムの導入 など |
BCPの策定手順
自社に合ったBCPを策定するための手順については、内閣府が公表するガイドラインが参考になります。ここでは、内閣府の『事業継続ガイドライン -あらゆる危機的事象を乗り越えるための戦略と対応-(令和5年3月)』におけるBCMのプロセスを基に、BCPを策定するまでの手順を解説します。
【STEP①】方針の策定
BCPの策定は、経営者が自社の事業継続に向けた方針を定めることから始まります。BCPの策定にあたって経営者は、事業環境および自社に求められている社会的役割と責任を理解する必要があります。それらを踏まえて、何のためにBCPを策定し、BCMを推進するかの方針を固め、企業としての意思決定を行います。
この際、並行して進めていくのがBCP策定・BCM推進のための組織体制づくりです。現場の実態を把握した人員や、社内業務に深い理解のある人員、プロジェクトマネジメントの能力に秀でた人員、BCMに精通している人員などが適任でしょう。部門横断的に人員を選出し、プロジェクトチームを構築します。
【STEP②】分析・検討
方針が定まった後は、BCMで優先的に取り組むべき重要な事業および業務を選ぶ段階です。緊急事態発生時に、全ての事業を維持・復旧することは現実的ではありません。そのため、この段階で「事業影響度分析」と「リスク分析(アセスメント)」という手法を用いた、優先順位付けと優先事業の特定を行います。
事業影響度分析とは、事業が停止した場合の影響を時系列で評価する分析で、BIA(Business Impact Analysis:ビジネスインパクト分析)とも呼ばれます。事業影響度分析により、BCPの遂行に必要な目標復旧時間および目標復旧レベルの決定と、業務の実施に不可欠な経営資源(ヒト・モノ・カネ・情報など)の特定が可能です。
リスク分析(アセスメント)とは、「想定されるリスクの洗い出し」「リスクの影響度および発生頻度による優先順位付け(リスクマッピング)」「優先して対策するリスクの詳細な分析」で、リスクを事細かに分析するプロセスです。リスクの詳細な分析では、事業影響度分析で明らかにしたリスクが経営資源に与えるダメージを検討します。そのため、事業影響度分析とリスク分析を繰り返しながら、優先する重要業務を明らかにすることになります。
【STEP③】事業継続戦略・対策の検討と決定
重要業務およびリスクの詳細を把握できた後は、重要業務における目標復旧時間・目標復旧レベルを達成するための戦略を検討する段階です。災害によりダメージを受けた状態(例えば「地震により〇〇拠点が使用不能になっている」状態など)を想定した戦略の立案が重要となります。なお、戦略を練る際のポイントとして、以下の観点からの検討が推奨されています。
- 重要製品やサービスの供給継続、早期復旧
- 企業、組織の中枢機能の確保
- 情報および情報システムの維持
- 資金確保
- 法規制等への対応
- 行政・社会インフラ事業者の取組との整合性の確保
【STEP④】計画の策定
最後は、これまで検討してきた情報を整理し、BCPとして計画を文書化する段階です。具体的には、「緊急時の体制」「緊急時の対応手順」「事前対策の実施計画」「教育・訓練の実施計画」「見直し・改善の実施計画」などの項目で整理します。なお、対応手順に関しては、初動対応のフェーズと事業継続(および復旧)のフェーズに分けて、実施事項を整理する必要があります。
文書化は全社共有に欠かせない取り組みです。必要に応じて、部門や拠点、役割別にマニュアルを作成することも検討します。
BCP策定時のポイント
BCP策定時は、以下のポイントに留意して進めていきましょう。
- 自社の環境に合う実現可能な計画を目指す
- 成功事例やチェックリストを上手く活用する
BCPは自社のための計画書となるため、自社で実現可能かつ具体的なものでなければなりません。自社の環境を考慮せず、他社の施策や事例を流用するだけのBCPでは機能不全になる恐れがあるでしょう。BCPは、常に変化する事業規模、事業内容、拠点立地、経営資源など、自社の最新情報を踏まえて策定するべきです。そのため、継続的にアップデートすることを前提にして、BCPを策定する必要があります。
しかしながら、知見や情報が全くない状態でBCPを策定することは極めて困難です。先行事例をただ真似するのは推奨されませんが、自社なりのBCPに落とし込むためのヒントとして、情報を役立てることは可能です。そのほか、BCPやBCMの実績がある専門家が公表しているチェックリストを活用すると、策定したBCPで不足しているポイントを見つけられる可能性があります。
関連資料
BCP運用時(BCM)の注意点
策定したBCPを正しく機能させ、BCMを推進するためには、BCPの策定をゴールにしてはいけません。BCPを運用する際には、以下の取り組みが必要となります。
- BCPの周知と教育訓練
- BCPの見直しと改善
BCPに基づく教育訓練の実施は、組織にBCPの意図(事業継続)を定着させるために欠かせません。例えば、教育訓練では「BCPおよびBCMの必要性と全体のプロセス」「想定される緊急事態の概要と最新の動向」「緊急事態発生時の対処手順」「各個人に求められる役割」などへの理解促進を図ります。訓練では、「避難訓練」「バックアップシステムの稼働訓練」「災害の模擬演習とロールプレイング」など実践的な内容を組み込むと良いでしょう。
引用:経済産業省「「工業用水道事業におけるBCP策定ガイドライン」を取りまとめました」内『図 事業継続マネジメント(BCM)を用いたBCP策定イメージ』より
もう1つのポイントが、継続的にBCPの見直しや改善を実施することです。BCPは、時代や環境の変化に伴い、内容が陳腐化してしまう場合や、有効でなくなってしまう場合があります。そうした事態を防ぐには、定期的な点検や外部の監査機関によるチェックが効果的です。
また、BCPプロジェクト担当者であれば、BCP教育訓練の現場や公的機関から得られる情報に対して常にアンテナを張り、最新情報を積極的に改善に活かす姿勢も重要となります。いつ起きるか分からない、起こらないかもしれない緊急事態に備えるのは簡単ではありません。だからこそ、BCPのプロジェクト担当者には、BCPを形骸化させないためにプロジェクトを改善し続ける積極性と責任感が求められます。
BCP対策に関わる補助金や助成金
設備投資などを伴うBCP対策には、相応のコストが発生するため、補助金や助成金の活用が推奨されます。そこで、企業のBCP対策に関連する助成金や補助金について解説します。
【BCP実践促進助成金】
- BCP実践促進助成金は、都内の企業や企業団体のBCP対策を助成するための制度で、東京都および公益財団法人東京都中小企業振興公社により実施されています。中小企業者は助成対象経費の1/2以内、小規模企業者は助成対象経費の2/3以内で、最大1,500万円の助成を受けられます。具体的な助成対象経費としては「安否確認システム」「耐震診断」「クラウドサービスによるデータバックアップ」「従業員用の備蓄品」「感染症対策の物品」「基幹システムのクラウド化」などがあります。
【テレワーク促進助成金】
- テレワーク促進助成金は、公益財団法人東京しごと財団による助成金制度です。東京都内に本社や事業所を設けている企業を対象に、テレワーク導入で必要となるソフトウェアやクラウドサービス、端末機器の経費を助成します。なお、同公財は「小規模テレワークコーナー設置促進助成金」「サテライトオフィス設置等補助金」という遠隔勤務用就業施設の整備を支援する制度も設けています。
なお、BCPに関連する公的な支援施策としては、中小企業強靭化法に基づく「事業継続力強化計画認定制度」もあります。この認定制度は、事業継続に関する計画について経済産業大臣からの認定を受けた企業が、税制措置や金融支援などのサポートを受けられるというもの。同制度による認定は、BCP実践促進助成金の助成対象要件の1つでもあります。
そのほか、東京都江戸川区の「事業継続計画(BCP)の策定にかかる助成金」、新潟県長岡市の「BCP・事業承継・経営改善補助金(事業継続・事業承継計画策定推進補助金)」など、自治体によるBCPの助成金・補助金制度も積極的に活用すべきでしょう。
BCPに欠かせないIT
前段で紹介した助成金・補助金がIT投資を対象としていることからもわかるように、ITの活用はBCPに欠かせません。「ヒト・モノ・カネ・情報」からなる経営資源において、情報は言うまでもなく、BCPで求められるヒト・モノ・カネの管理においても、ITは効率化・高度化をもたらします。
例えば、先に例示した安否確認システムやデータバックアップシステム、テレワーク・オンライン会議のシステム、サイバーセキュリティ対策ツールなどは、既に多くの企業が取り入れています。さらには、抜本的な事業の継続性獲得を目指して、オフライン型からオンライン型へビジネスモデルを転換するというDX(デジタルトランスフォーメーション)に成功した事例も現れています。
BCP対策は、相応なコストが掛かる取り組みです。自社の業務や環境にフィットするツールや機能を見極め、無駄なく安全にITを活用するためには、BCP支援の実績があるITベンダーに相談すると効果的でしょう。
まとめ
緊急事態における企業の事業継続を左右するBCP対策は、不確定要素の多い現在のビジネス環境において重要度を増しています。BCP対策を徹底できると、緊急時に臨機応変な対応ができる組織体制を築けるほか、ステークホルダーからの信用獲得につながるというメリットもあります。
しかし、BCP対策には、BCPの策定や教育訓練、IT投資など、それ相応のコストが発生するのも事実です。BCP対策の費用対効果を高めるためにも、BCPやリスクマネジメントに実績のあるパートナー企業と協働することも検討すると良いでしょう。
