自然災害やテロなどといった非常事態が起こった際、事業を継続できるか否かは「BCP(Business-Continuity-Plan)対策」にかかっています。
本記事では、BCP対策を実施する目的や必要性に加え、一般的な防災対策やBCM(Business-Continuity-Management)との違いを解説します。あわせて、BCP対策の策定手順や具体的な対策内容もご紹介します。
目次
BCPの概要
そもそもBCPは何のために講じる計画・対策なのか、その概要と重要性についてまとめました。
BCPとは緊急事態においても事業を継続するための計画
BCPとは、「事業継続計画」のことです。「Business-Continuity-Plan」の頭文字からきています。自然災害をはじめとする緊急時の被害を最小限に抑え、なおかつ事業を継続できるよう対策をまとめることを、「BCP対策」と呼びます。
コアとなる事業を早急に復旧させ、継続することがBCPの目的です。BCP対策が不十分だと万が一の事態が起きた際の人的被害や金銭的被害が大きくなるだけでなく、顧客・取引先からの信頼も損なわれていまいます。その結果、事業継続が困難になり倒産に至ることも十分に考えられます。
BCPにおける「緊急事態」とは?
BCPが定義する「緊急事態」とは、自然災害・テロ・事故・戦争など、突発的に生じる事業継続を脅かす事態です。新型コロナウイルスの流行も企業にとっての緊急事態として捉えられています。
例えば、日本は大型の台風や地震の被害を受けることが多い災害大国です。東日本大震災以降、その余震とされる強い地震が、東北地方を中心に続いています。また、集中豪雨や洪水などの水害も深刻です。2020年7月には熊本県を中心に甚大な被害をもたらした集中豪雨により、洪水や土砂崩れといった災害が発生しています。2021年7月にも、関東・東海地方を中心に豪雨による被害が拡大しました。
大規模な情報漏洩、テロ攻撃、国家間の紛争・緊張状態などの影響も無視できなくなりました。このように、BCPにおける緊急事態とは主に対外的な要因で発生する事態を指します。
BCPが注目されている背景にあるもの
BCP対策が日本で注目されはじめたのは、1980年代頃です。当時は、システム分野におけるBCP対策が主流でした。改めてBCP対策が注目されるようになったのは、2011年の東日本大震災以降です。多くの企業が被災し、人的・金銭的被害を受けたことをきっかけに改めてBCP対策の重要性が注目されるようになりました。
BCPと防災対策の違い
BCP対策と混同されやすいのが「防災対策」です。両者の違いは、対策範囲にあります。BCPが自然災害のみならずパンデミック・テロ・情報漏洩などの緊急事態に備えたものであるのに対し、防災対策は地震や台風、洪水など自然災害のみを対象とした対策です。また、BCPでは事業の早期復旧及び継続性にも重きを置いていますが、防災対策は人命や実物資産を保護することを重視しています。
企業が行うべき取り組みとしては、災害時の対処法を常に従業員に周知することや避難訓練の実施、防災用品の取り揃えなどが挙げられます。
「防災用品サポート」詳細はこちら
BCPとBCMの違い
防災対策と同様、BCPと混同されやすいのが「BCM」です。BCMとは「Business-Continuity-Management」の略語で、BCP体制をマネジメントすることを指します。BCPのゴールは策定することではなく、適切に運用することにあります。そのために必要な体制を構築し、マネジメントするのがBCMです。BCPは、BCMの一部であると捉えておくと良いでしょう。
BCPの基本的な策定手順
BCP対策の策定手順をご紹介します。各工程ですべきことや注目すべき点を記載しておりますので、自社のBCP策定にお役立てください。
手順1.会社の存続に関わる中核事業を特定
はじめに、企業の存続に大きく関わる中核事業を特定します。同時に、中核事業を存続させるために必要な設備や人材、システム、復旧の目標時間も決定しておきましょう。中核事業に絞り込んでBCPを行うことで、事業の早期復旧や収益の安定化が期待できます。
中小企業の場合、中核事業を洗い出すことは比較的容易でしょう。対して大企業の場合は、利益の割合や財務、ステークホルダーなど複数の要素を加味したうえで慎重に中核事業を特定しなくてはなりません。「売上に大きく寄与している事業」「市場シェアを維持するうえで不可欠な事業」「納期遅れによる損害が最も大きくなる事業」などの要素を判断軸にして、中核事業を絞り込んでいくと良いでしょう。
手順2.中核事業が受ける被害を想定
緊急事態が発生した際、中核事業にどのような被害・リスクが及ぶかを具体的に想定します。そのうえで、どのような対応策がとれるかを検討しましょう。特に発生しうるリスクとしては、自然災害やシステムエラー、情報漏洩、法律・コンプライアンス違反などがあげられます。リスクアセスメントを実施していれば、その内容が参考になるでしょう。
例えば中核事業が製造業であり、地震による被害を想定したとします。このケースでは、以下のような点を考慮する必要があるでしょう。
- 地震によって工場設備にはどの程度の損傷が及ぶか
- 人手を確保できるか
- 電力の供給は維持できるか
- 原料供給は維持できるか
こうした要素を踏まえたうえで、応急処置や想定復旧時間を分析・決定していきます。同時に、被害を受けた設備やシステムの復旧にかかる費用についても具体的に算出することが重要です。金銭被害については、政府の金融機関や保証協会などが設けている各種貸付制度・補償制度を活用することも検討しておきましょう。
手順3.事業継続のための事前対策/代替案の検討
ソフトウェア面(情報伝達の拠点となる場所の決定・避難計画の策定・臨時従業員の確保)とハードウェア面(システムのバックアップ・予備システム及び設備の導入)に分けて対策を講じると良いでしょう。システムのバックアップや情報伝達の拠点となる場所の決定、避難計画の策定など、事業継続のための事前対策を検討します。同時に、臨時従業員の確保や予備システム・設備の導入といった被災後の代替案を明確にすることも大切です。
手順4.従業員への教育や社外への周知
対策や代替案の策定が完了したら、全従業員に対しBCP教育を施し、定期的な訓練を実施します。各従業員やチームに役割を与え、BCP発動時の組織体制も整えておきましょう。「財務管理担当」「復旧対応担当」「外部対応担当」「後方支援担当」などのように、役割ごとのチームを編成したうえで、それぞれのチームに沿った訓練を定期的に実践して、いざという時に備えます。
また、顧客や会社が所在する地域の自治会、提携企業にもBCP対策を周知しておきましょう。いざというとき、自社・顧客・地域を守れるような協力体制を構築しておきましょう。
企業が行うべきBCP対策例
BCPにおいてとるべき対策は多岐にわたります。ここでは、BCP対策に盛り込むことの多い項目例をまとめました。あくまで一般的な例なので、リスクアセスメントを通して自社に必要な対策が何かを洗い出すことが重要です。
データの定期的なバックアップ・保護
顧客情報や財務情報、サービスに関する全てのデータは、企業にとって重要な情報資産です。データが消失してしまえば、事業の継続はもちろん企業の存続も危うくなってしまいます。したがって、定期的にデータのバックアップをとっておくことはBCP対策の基本だといえるでしょう。くわえて、データの保管先も、自社内のサーバのみに留めず、遠隔地のデータセンターやクラウドサーバーサービスの利用を検討しましょう。バックアップ先が複数あることで、自然災害による物理的なサーバ破壊やサイバー攻撃といった驚異からデータを守れます。また、情報漏洩のリスクを考慮して、適切なデータの保護ができるようセキュリティ体制の構築も必須です。
非常用電源・蓄電池による電力供給
停電が起これば、社内設備や業務、通信手段、従業員の健康に悪影響が及びます。そうした事態を想定して、どの程度の電力が確保できればよいか算出しておき、必要な電力を確保できる非常用電源や蓄電池を用意しておきましょう。緊急事態の規模に応じて、社内設備や通信手段など、どこに優先して電力を供給するか決めておくと、限られた電力をムダなく利用できます。
テレワークの準備
政府が打ち出した働き方改革や新型コロナウイルス感染拡大の影響で、テレワークの導入が増えています。緊急事態によって、社屋に影響が合った場合でも、テレワーク環境が整備されていれば、従業員の安全を確保しつつ業務を遂行できます。全業務をカバーすることが難しくても中核業務さえカバーできる状態にあれば、企業全体としての復旧が早められ他事業への影響も抑えられるでしょう。
ここでのポイントは、BCPとしてテレワークを実施するのではなく、通常業務に取り入れることです。通常業務が行える状態のうちにテレワークを導入することで、通信環境や進捗管理などの課題も余裕を持って解消でき、予想外のタイミングで出社不可能となった際にもスムーズに業務形態を切り替えられます。
緊急時の安否確認体制の準備
安否確認システムの導入や連絡体制の統一・構築も、BCPにおいては必要な構成要素です。メールや社内SNS、チャットツールのほか、災害時に活用できる専用の安否確認システムの導入を検討しましょう。また、従業員のライフステージの変化を加味して、安否確認先の情報は定期的に更新することも大切です。従業員の安否確認は、スムーズな事業復旧のために欠かせません。また、事業停止となった場合でも、安否がわかれば復旧のための人材確保に役立ちます。
緊急時の連絡体制の準備
緊急時に従業員同士が迅速に連絡をとり合える体制を整備しましょう。整備時には、指揮系統・連絡時のルールなどを決めます。指揮系統は、経営者をリーダーに据え、部署・チームリーダー、各従業員の順が一般的です。また、緊急時にはスムーズに連絡がとれなくなる可能性も考えられます。「連絡がつかない場合は次の従業員へ連絡をする」「連絡がつかなかった場合は30分おきに連絡する」などのルールを設けて周知しておくことで、混乱を抑えられます。
社内にCSIRT(シーサイト)を設置
CSIRT(シーサイト)とは、コンピューターセキュリティの事故に対応する専門組織のこと。名称の由来は、「Computer-Security-Incident-Response-Team」の頭文字からきています。情報漏洩やサイバー攻撃、マルウェア感染といったインシデントの防止、及びインシデントの原因究明と復旧を目的に動くのがCSIRTの役割です。緊急事態において、ITシステムの早期復旧のためにも、設置しておきましょう。
CSIRTの設置方法は、社内で構築する方法、外部に委託する方法の2パターンがあります。前者は、CSIRT業務にあたるリーダーやスタッフを社内から選出してチームを形成する方法です。考えられるリスクを想定したうえで、どのように対処や対応をするか決めて、運用します。専門知識を持った人材が社内にいる場合に向いている方法です。
後者は、専門業者へCSIRT業務をアウトソーシングするパターンです。自社にCSIRT業務に対応できそうな人材が不足している場合は、外部委託という選択肢も視野に入れておくと良いでしょう。
「万が一」の事態に備えたBCP対策を徹底しよう
BCP対策は、災害や非常事態が発生した際に、業務継続ができないことによる経済的損失やイメージダウンの抑止、従業員の安全性確保の観点から非常に重要性が高い取り組みとなります。特に、近年では気候変動の影響による自然災害や、新型コロナウイルス感染症の流行など、未来が予測しづらい状況下での事業継続が求められています。
BCP対策の一環として、従業員の安否確認に関する運用体制を確立しておくことも重要となります。メールやスマートフォンアプリを利用して迅速に従業員とその家族の安否確認ができるシステムを導入しておくことで、もしもの事態にも備えることができます。従業員が安心して働ける環境を整備することで、従業員のエンゲージメント向上にもつながることが期待されます。
「Relo安否コネクト」は、安心・安全をサポートするため24時間365日迅速かつ正確に状況を伝えることのできる安否確認システムです。
地震・大雨などの災害時の従業員安否確認だけではなく、新型コロナウイルス感染症などが流行した際の、従業員の健康状態や罹患状況などを把握するツールとしても活用できます。
