BCP対策とは？意味や策定のステップ、成功事例をわかりやすく解説｜法人携帯とテレワークの MWPオンライン by コネクシオ

はじめに

地震や台風、それに伴う水害など、自然災害が多く発生する土地で事業活動を行っている日本企業にとっては、災害下でも事業を継続する計画を立てておくことは必要不可欠です。

そこで注目されているのが「BCP」。以前から注目されていた概念ではありますが、新型コロナウイルス感染拡大によってさらに多くの企業が対応に着手しています。

本記事では、BCPの概要や、策定のメリットとステップ、実際の運用事例について、それぞれ解説していきます。

■合わせて読みたいページ

コネクシオがお客様に提供できる価値とは？

コネクシオ株式会社は、法人向け携帯電話の導入・運用実績9,000社以上。端末調達からセキュリティ、運用、モバイルを活用したソリューションまでを最適の組み合わせで提供し、貴社の売上拡大・業務効率化に貢献します。

BCPとは

BCPとは「Business Continuity Plan」の頭文字をつなげたもので、日本語で「事業継続計画」と訳されます。企業にとっての潜在的なインシデント発生を想定して定める計画のことで、中小企業庁では以下のように定義されています。

「企業が自然災害、大火災、テロ攻撃などの緊急事態に遭遇した場合において、事業資産の損害を最小限にとどめつつ、中核となる事業の継続あるいは早期復旧を可能とするために、平常時に行うべき活動や緊急時における事業継続のための方法、手段などを取り決めておく計画のこと」

引用：中小企業庁中小企業BCP策定運用指針「BCP（事業継続計画）とは」

日本企業のBCP策定状況

BCP策定は、日本企業でどの程度まで進んでいるのでしょうか？ 2020年6月に帝国データバンクが発表した調査データによると、有効回答企業数1 1,979社のうち、「策定している」と回答した企業は16.6％にとどまっています。

画像出展：事業継続計画（BCP）の策定状況（帝国データバンク「事業継続計画（BCP）に対する企業の意識調査（2020年）」）

策定中や検討中を含めると過半数を超えており、また2018年および2019年からの経過で見てみても対応件数は年々増加している状況ではありますが、まだまだ過渡期であると言えるでしょう。

また、企業規模別で見てみると、大企業の対応状況が30.8％であるのに対して、中小企業は13.6％、小規模企業では7.9％となり、企業規模が小さくなるほど策定が進んでいない状況が明らかになりました。

一方で、新型コロナウイルス感染症拡大のように予測困難なリスクや自然災害による膨大な経済損失に陥っている企業も少なくありません。BCP対策は企業にとって喫緊の課題となっています。

防災との違い

BCP対策に似た言葉として「防災対策」がありますが、その意味するところは明確に異なります。

防災は、地震や台風、水害といった自然災害に対して、自社がとりうる事前対策を総じたものです。一方でBCPは、自然災害のみならずあらゆる緊急事態を想定したもので、自社のみならず他社も含めて、さまざまなステークホルダーへの事後対策まで考慮する計画書（マニュアル）となります。

BCP対策のメリット

次に、BCP策定のメリットについて、3つに分けてご説明します。

不測の事態でも被害を最小限にとどめ、事業を継続できる

1つ目は、不測の事態でも企業への被害を最小限にとどめ、中長期的に事業を継続できることが挙げられます。ここでいう事業の継続とは、売上の継続のみならず、従業員やその家族を守る意味も含まれます。

一般的に、企業が何かしらの緊急事態に直面すると操業率が大きく低下します。すると事業の復旧が遅れ、結果として基幹事業を縮小したり、場合によっては廃業になる可能性もあるのです。

一方でBCP対策を行っておくと、緊急事態発生時でも速やかに必要な対応ができるため、一部の事業を継続できたり、復旧も早期に実現したりと被害を最小限に食い止められます。結果として、緊急事態発生前の稼働状況への回復もスピーディーに行えるでしょう。

画像出典：中小企業庁中小企業BCP策定運用指針「BCP（事業継続計画）とは」

事業の優先順位を明確にでき、中長期的な戦略を立てられる

事業の優先順位を明確にできるため、中長期的な戦略を立てておけることもメリットです。BCP対策にあたっては、基幹事業の継続を最優先させるために、既存事業の優先順位を決める必要があります。

そのプロセスでは各事業の可視化にもつながるため、事業の現状と優先度がクリアになり、中長期的な戦略を立てやすくなるのです。

企業の信頼性やイメージの向上

BCP対策の実施を対外的に発信することで、企業の信頼性やイメージの向上に寄与します。実は有事の際の企業倒産は、企業の赤字などに起因する直接倒産よりも取引先の倒産に続く連鎖倒産の方が数が多いのです。だからこそ企業にとっては、インシデント発生時でも事業的な耐性を高める施策を講じている安心感は、取引を行うにあたり大きなアドバンテージになるといえます。

BCP策定のステップ

BCP策定の具体的なステップを見ていきましょう。ここでは、経済産業省ホームページにアップロードされている、企業における情報セキュリティガバナンスのあり方に関する研究会「事業継続計画策定ガイドライン」をベースに解説していきます。

①策定担当者の決定とプロジェクトの発足

まずはBCPを策定する担当者と、その人物を中心に据えたプロジェクトを発足しましょう。この際、プロジェクトメンバーにはさまざまな部門のメンバーを選出します。BCPという会社全体のリソースを考えるプロジェクトであるからこそ、各部門のシステムやオペレーションに明るいメンバーに参画してもらうよう、各部門長と調整してください。

②対象範囲を決める

プロジェクト発足の次は、BCPの対象範囲を決めていきます。もちろん本来は会社内のすべての事業を検討するべきですが、優先順位をつけて段階的に会社事業を復旧させていく進め方を採る企業もあるでしょう。

このタイミングでどの事業に会社リソースを集中させるかの対象範囲を決めておくとスムーズです。

③ビジネスインパクト分析

前述の対象範囲策定とほぼセットで行うべきことが、ビジネスインパクト分析です。ビジネスインパクト分析とは、有事の際に業務やシステムが停止することで、会社にどれだけの影響があるかを評価する分析手法です。BIA（Business Impact Analysis）とも呼ばれるもので、非常に重要なステップとなります。

会社の基幹事業とその業務、プロセス、およびそれに関連するリソースを特定して、事業継続に向けたボトルネックの特定や、その解消に向けた方策、そして業務が停止した場合にいつまでに復旧をするかという目標復旧時間（RTO）の設定を進めます。RTOはつまり、どの程度まで中断が許容されるかを示す指標と言えるでしょう。

④リスク分析

ビジネスインパクト分析の過程で、具体的にどのようなリスクが存在するのかも、洗い出しと分析が必要です。企業内のさまざまな過去事例はもちろん、新聞記事からSNSなどのソーシャルメディアまで、ミクロとマクロのさまざまなソースを活用して、BCP発動に至るまでのリスクを可視化していきましょう。

⑤発動基準の明確化

ここまでのビジネスインパクト分析とリスク分析により、事業へのリスクと影響度合、および目標復旧時間等が明確になったら、具体的なBCPの発動基準を決めましょう。その際、組織としての対応レベルに沿った発動基準の策定が重要であり、そのための人員やシステム的なリソースも、しっかりと考慮する必要があります。

⑥BCP策定

以上のようなプロセスを経て、それぞれの結果に応じたBCPを策定しましょう。また、BCPを策定するだけではなく、それを滞りなく実施して目標復旧時間を順守するために必要な各種リソース確保に向けた予算化も大切です。とくに情報システムについては、ホットサイト・ウォームサイト・コールドサイトなど、さまざまな対策のあり方が考えられるので、効率的かつ効果的な運用手法も考えながら検討する必要があります。

BCPはBCMとセットで考える

ここまで見てきたBCP策定プロセスですが、BCPを策定して終わりではなく、そこで描かれた計画を適切に実現するための「BCM」とセットで考えるべきです。

BCMとは「Businees Continuity Management」の頭文字をつなげたもので、日本語では「事業継続マネジメント」と訳されます。BCPで策定した計画を着実に行うためのマネジメント活動のことです。常に効果検証と改善を繰り返し、企業の実態に則したPDCAを繰り返していくことで、有事の際でもBCPが有効に機能するようになります。

参考：企業における情報セキュリティガバナンスのあり方に関する研究会「事業継続計画策定ガイドライン」

BCPの運用事例

最後に、実際のBCP対策事例をご紹介します。こちらも、前述の「事業継続計画策定ガイドライン」から2つの事例をピックアップします。

国内金融機関の事例

この銀行では、以前から自然災害およびシステム障害を念頭においたコンティンジェンシープランを準備し、非常時の意思決定体制や要員確保策などに関するマニュアルを整備していました。しかし2000年問題やグローバル規模で増加するテロなどを念頭に、災害や事故から「脅威」全般に対象を広げ、BCPの策定を進めることとなりました。

BCP策定にあたっては、地震や水害といった事業継続に関わる要因から考えるのではなく、災害が発生した場合の状況をパターン分けし、影響を極小化するための対策を考えています。具体的には以下のような状況を仮定し、バックアップおよび連絡体制、そして意思決定方法等を決めていきました。

情報システムの機能が停止している状況
オフィスの機能が停止している状況
オフィス、情報システムともに機能が停止している状況

なお銀行業務は一行だけでなく、他行とのシステム間連携が前提となるので、当該銀行だけでのBCP対策では当然ながら不十分です。金融庁も含め、金融機関全体での事業継続に向けた取り組みを進めることが、中長期的なスパンにおける課題と言えるでしょう。

IT企業の事例

グローバルにICTサービスやハード製品を提供している本企業では、早期からBCP対策に取り組んでおり、BCPを役員レベルの危機管理委員会が管轄するリスクマネジメントの一部と位置づけて運用していました。

BCP策定においては、リスクゼロを目指すのではなく、リスクは前提としてどこまで許容するかを割り切って考え、具体的な事故を想定することで、状況に応じた対策を策定していきました。

また、非常時の連絡体制については、発生確率の高低にかかわらず、上司を経由、もしくは本人から直接役員に通報され、役員が判断するように設計されました。

なお、本企業ではITセキュリティチームやBCP チーム、地震対策チーム、環境対策チームなど、複数のリスクマネジメントチームがあり、どのチームもメンバーが重複する形で、管理部門および各部署の代表という構成をとっています。

これは、日常業務を担当するメンバーがBCPフレームワークのなかで行動できるようにしないと、実効的なBCPにはならないという考え方に基づいています。