JP
■BCPの基本からご覧になりたい方はこちら
BCP(事業継続計画)とは?約76.4%の大企業が策定する重要性
1.サプライチェーンの4つのリスク
冒頭でも触れたように、サプライチェーンの主なリスクには、下記の4つがあります。
| リスクの種類 | リスクの例 |
|---|---|
| 環境的リスク |
|
| 地政学的リスク |
|
| 経済的リスク |
|
| セキュリティリスク |
|
この4つのリスクはそれぞれ単発で発生するだけでなく、連鎖的に影響を及ぼすことがあります。
例えば、環境的リスクである地震が発生したせいで、工場の稼働が停止したとしましょう。
その後に、地震が原因で不景気となり、経済が停滞して、原材料が高騰する経済的リスクが誘発されることも十分あり得ます。
自社のサプライチェーンを上流から下流まで通じて考えたときに、それぞれのリスクがどのように連鎖的に起こり得るのかを意識するため、まずはリスクについて解説いたします。
1-1.サプライチェーンのリスク1:環境的リスク
環境的リスクとは、自然災害や気候変動、感染症などの環境が要因となり、サプライチェーンに悪影響を与えるリスクのことです。
2011年に発生した東日本大震災では、サプライチェーンの寸断が大きな課題となりました。
震災により一部の生産工程が止まり、製品の製造ができなくなる、部品が届かなくなるなどの被害が続出したのです。
【東日本大震災の事例】
東日本大震災時は関東圏を中心に、牛乳類の供給不足が発生。工場が正常に稼働できなくなり、元の供給を取り戻すまでに時間を要しました。
参考:一般社団法人日本乳業協会「震災による牛乳類の供給不足について」
また、2024年に発生した能登半島地震でも、約4割の企業が仕入・調達に影響が出たと回答しています。
参考:東京商工リサーチ「“能登半島地震” 事業に影響ある企業が2割 サプライチェーンや取引先被災の影響が大きく」
このように、環境的リスクを機に、サプライチェーンが寸断すると、納期の遅延や材料不足などに陥る可能性があるのです。
参考:
内閣府「第1節 生産の立て直しとサプライチェーンの再編成」
関西大学社会学部「東日本大震災による製造業とサプライチェーンへの影響とその対応」
内閣府「企業の防災対策・事業継続強化に向けて」
1-2.サプライチェーンのリスク2:地政学的リスク
地政学的リスクとは、戦争やテロなどの政治的や経済的、軍事的な国際情勢がサプライチェーンに与えるリスクのことです。
例えば、2023年に起きた紅海危機では、スエズ運河経由の世界貿易ルートが打撃を受けて、サプライチェーンにも下記のような影響が出ました。
※紅海危機とは:イスラエルとハマスの軍事衝突を契機に紅海のバーブ・ル・マンデブ海峡周辺でイスラエル関連商船が攻撃され世界貿易ルートが打撃を受けた危機のこと
国内だけではなく、海外にも生産拠点がある場合、国内の情勢は変わらなくても、生産拠点に関する範囲でテロや戦争などが起こると、長期間工場が停止するかもしれません。
また、紅海危機のような状況が起こると、生産はできても、製品が届かない可能性があります。
このように、自社だけではなく、関連する企業も意識して危機管理をしないと、国際情勢により突然サプライチェーンが分断してしまうリスクがあります。
参考:三井物産戦略研究所「紅海危機とトルコ ―欧州サプライチェーン強化の可能性と課題―」
1-3.サプライチェーンのリスク3:経済的リスク
経済的リスクとは、経済の停滞や通貨価値の変動など、経済的な背景がサプライチェーンに与えるリスクのことです。
実際に、1997年に発生したアジア通貨危機では、タイの通貨バーツの為替相場が暴落したことを機に、マレーシアやインドネシアなどの通貨が暴落しました。
このときは材料や部品の輸入コストが高騰して、サプライチェーンに大きな影響を及ぼしました。
それだけでなく結果として、タイやマレーシアなどの現地工場の資金繰りが悪化して、稼働の停止、廃業に追い込まれ、サプライチェーンが分断するケースもありました。
このように、各国の経済状況が悪化すると、部品不足やコストの高騰などに陥り、サプライチェーンの安定した運用が難しくなる可能性があります。
企業によっては大きなリスクとなり得るでしょう。
参考:
経済産業省「第2節 サプライチェーンリスクと危機からの復旧」
内閣府「第2章 第4節 アジア通貨・金融危機の世界経済への影響」
1-4.サプライチェーンのリスク4:セキュリティリスク
セキュリティリスクとは、サプライチェーンのつながりを悪用して脆弱性のある部分を見つけて、情報漏えいやマルウェア(悪意のあるソフトウェアの総称)感染が起こり得るリスクです。
独立行政法人情報処理推進機構が公表している「情報セキュリティ10大脅威 2025」では、組織がランサムウェア※の次に留意する脅威として2位にランクインしています。
※ランサムウェア:暗号化によりファイルを利用不可能な状態にして、そのファイルを元に戻すことと引き換えに金銭(身代金)を要求するマルウェアのこと
サプライチェーンを狙った攻撃では、委託先や子会社などのサプライチェーンを狙い攻撃をして、その先にあるセキュリティが強固な大手企業を最終的に狙うのです。
2024年4月には、以下のようなサプライチェーンを悪用した大規模な情報漏えいが起きています。
【サプライチェーンを悪用したウイルス感染の例】
情報処理サービスなどを行うS社は、VPN経由の不正アクセスを受けて端末やサーバーなどがランサムウェア攻撃を受けました。
S社は自治体や大手企業の個人情報を管理しており、少なくとも約150万件もの情報が流出しました。その一部は攻撃者グループのリークサイトに掲載されていたことも確認できています。
直接大手企業、自治体を狙うのではなく、脆弱性のあるサプライチェーン企業を狙い、情報を搾取した事例です。
参考:
独立行政法人情報処理推進機構「情報セキュリティ10大脅威 2025」
日本経済新聞「京都のイセトー、サイバー攻撃で約150万件の個人情報流出」
いくら自社が強固なセキュリティ対策をしていても、協力企業や関連工場などのセキュリティに問題があると、その隙が狙われます。
とくに、サプライチェーンは、互いの企業が連携しているからこそ被害が拡大しやすく、工場の生産ラインの停止や、大規模な情報漏えいなどにつながるのです。
参考:
独立行政法人情報処理推進機構「実務者のためのサプライチェーンセキュリティ手引書」
独立行政法人情報処理推進機構「情報セキュリティ10大脅威 2025組織編」
▼マルウェアの種類は、下記の記事で詳しく解説しています。
【2025年版】マルウェアの種類13選|各特徴や事例を徹底解説
2.サプライチェーンの安定性を確保するための
一環として、近年BCPが注目されている
ここまで、サプライチェーンに起こり得るリスクについて解説しました。
サプライチェーンのリスクはさまざまな側面に潜んでおり、自社だけが対策をしてもサプライチェーンの安定性を保つことは困難でしょう。
そこで、近年では、サプライチェーンの安定性を維持するために、サプライチェーンを含めたBCP(Business Continuity Plan)の策定が注目されていることをご存知でしょうか。
| コラム:BCP(事業継続計画)とは? |
|---|
|
BCP(Business Continuity Plan)とは、自然災害や大規模感染、テロなどの非常事態が発生した場合に、重要な事業を継続する方法や手段を取りまとめた計画のことです。 
内閣府の「令和5年度 企業の事業継続及び防災の取組に関する実態調査」によると、中堅企業の45.5%がBCPを「策定済み」と回答しており、策定する企業が増えています。 詳しく知りたい方は「BCPとは」の記事もご参照ください。 |
ここからは、サプライチェーンのリスク管理の鍵となる「サプライチェーンを含めたBCP」とは、どのようなものか簡単に解説します。
サプライチェーンとBCPの関連性が分かれば、難しくない内容です。リスクに備えるためにも、ぜひ熟読ください。
2-1.サプライチェーンを含めたBCPとは?
サプライチェーンを含めたBCPでは、自社だけのBCPを考えるのではなく、サプライチェーンを構成する企業と一緒にBCPを考えて策定します。
自社中心のBCPには限界が来ており、足並みが揃っていないと、どこかで分断が発生します。
例えば震災で協力工場の稼働が停止するなど、サプライチェーン内で何かが起きたときに、他社の備えも同水準でないと自社に影響が及んでしまいます。
サプライチェーンを含めて緊急事態時の計画を策定できると、サプライチェーンが分断されることなく、被害を最小限に抑えられるのです。
【サプライチェーンを含めたBCPの内容例】
- 緊急事態時に代替工場で生産をする
- 緊急時に相互協力をする同意書を交わす
- 同基準の防災対策、緊急時のマニュアルなどを策定する
このように、不測の事態に備えるには、サプライチェーンの取引先との信頼関係を基盤に、サプライチェーン全体を見据えたBCPを構築することが不可欠になってきているのです。
2-2.サプライチェーンを含めたBCPが注目されたのは2011年頃から
サプライチェーンを含めたBCPが注視されるようになったのは、2011年に発生した東日本大震災でした。
一部の生産工程が止まり、製品の製造ができなくなる、部品が届かなくなるなどの被害が続出しました。
過去の震災経験をもとに自社中心のBCPの策定割合は高かったものの、サプライチェーンを含めた対策まではできておらず、サプライチェーンの分断が大きな課題になったのです。
また、2013年に発生したフィリピンの台風では、物流や工場の稼働などに混乱が起こり、サプライチェーンの分断が課題になりました。
このような災害を目の当たりにして、サプライチェーンを含めたBCPが整備できていないと、結果的に事業継続が難しくなると認識されるようになったのです。
より注目されるようになったのは、新型コロナウイルスの流行や世界各地での震災、テロなど、危機感を煽る状況が立て続けに起きた2023年頃です。
NTTデータ経営研究所が公表している「企業の事業継続に係る意識調査」によると、製造業や商業・流通・飲食などでは、サプライチェーンを意識したBCP策定意欲が拡大しています。
参考:NTTデータ経営研究所「企業の事業継続に係る意識調査」
このような経過を経て、さまざまなリスクがいつ何時起こり得るか分からない現代では、サプライチェーンを含めてBCPを策定し、サプライチェーンの安定した運用を維持することが重要になっています。
3.サプライチェーンのリスクを軽減するには
オールハザード型BCPの策定が必要
これからサプライチェーンを含めたBCPを策定しようと感じたあなたに、お伝えしたいことがあります。
これからの時代は、ぜひ「オールハザード型BCP」を意識してください。
なぜなら、オールハザード型BCPなら、どのような緊急事態でも事業継続ができる計画を立てているため、被害の規模を問わず迅速な対応ができる可能性が高まるからです。
以下の、従来のBCPとオールハザード型BCPの比較図をご覧ください。
従来のBCPは、緊急事態の原因を想定して、計画を立てることが中心でした。
例えば、地震の場合で考えてみましょう。
「マグニチュード8の地震が起きたら、この対応をする」
とBCPで策定していた規模の地震であれば、BCPは問題なく機能します。
しかし、BCPでは全く想定していなかった緊急事態が起きると、
「マグニチュード◯の地震のときは対応できるけれど、今回はBCPにないから対応できない」
となってしまい、その場で対応を考えることになります。
そのため、東日本大震災では、下記のように事業継続が難しくなるケースが出てしまいました。
【東日本大震災を経験した企業の声】
- 予定されていた代替生産ができないことが分かり、震災翌日の午後には一旦発注を停止されてしまった。
- 詳細なBCPが策定されておらず震災当日は「明日は来れる人は来てください」という指示だけで解散した。3日後にやっと仕事を再開できたものの、無計画で従業員に負担をかけてしまった。
参考:高知県「南海トラフ地震に備える企業のBCP(事業継続計画)策定のための手引き」
一方で、オールハザード型BCPでは、従来のBCPの前提条件であった非常事態発生の「原因(例:地震やテロなど)」ではなく、緊急事態によって起こる「結果(例:停電や断水)」に着目します。
結果として、どのような非常事態が起きたとしても、あらゆるリスクに対応できるようになるでしょう。
このように、非常事態発生の「原因」だけでなく、「結果」に着目したオールハザード型BCPの策定をぜひご検討ください。
▼オールハザード型BCPについては、下記の記事でも詳しく解説しています。
サプライチェーンまでを視野に入れたBCP対策未着手の中小企業はどこから手をつけるべき?
| コラム:すでに従来型のBCPを策定しているならブラッシュアップを! |
|---|
|
すでに従来型BCPを策定している企業は、これらを廃止して一から作り直す必要はありません。 オールハザード型の考え方を付加して、これまでのBCPをブラッシュアップしましょう。 その際重要となるのが、避難誘導や安否確認など人命に関わる「初動対応」と、重要な業務の継続、復旧を優先する「事業継続・復旧対応」を分けて整理することです。 「4.サプライチェーンを含めたオールハザード型BCPの策定のステップ」で詳しく解説しているので、参考にしてみてください。 |
4.サプライチェーンを含めた
オールハザード型BCPの策定のステップ
オールハザード型BCPが理解できたところで、ここではサプライチェーンを含めたオールハザード型BCPの策定ステップをご紹介します。
全体の流れを知っておくと、意外と簡単に策定できることが分かるので、ぜひ参考にしてみてください。
4-1.ステップ1:共通の目的を決める
まずは、サプライチェーンを含めた共通の目的を決めます。
共通の目的、指針を持って策定しないと、足並みが揃わないためです。
各企業が自由に目的を決めると「その計画は知らない」などいざという時に機能しなくなるでしょう。
共通の目的は、緊急事態が発生したときに、サプライチェーンが連携して何をしなければならないのかをベースに、考えてください。
【共通の目的の例】
- 緊急事態時に早期生産復旧できる協力体制を整える
- 緊急事態時に最重要顧客向けの生産を最優先して復旧させる
例えば、サプライチェーン全体で、緊急事態時にはまず重要顧客の生産ラインを復旧させる共有認識を持っておけば、協力体制を整えやすくなります。
このように、自社中心のBCP方針を持っていたとしても、それとは別に、サプライチェーン全体のBCPの目的を明確にしておきましょう。
【BCPの成果を可視化するためにも共通の目的が必要】
共通の目的は、サプライチェーンを含めたBCPの課題や成果を可視化するためにも必要です。
共通の目的がないと、同じチェックシート、BCPスコアなどで評価ができません。
その結果、一部の企業のBCPが機能していなくても正しく評価できず、サプライチェーンの分断などにつながる可能性があります。
4-2.ステップ2:責任の範囲を明確にする
続いて、サプライチェーンを構成する企業の責任の範囲を明確にしましょう。
緊急事態が発生したときに、どの企業がどの範囲の責任を持つのか明確にしないと、トラブルになる可能性があるためです。
例えば、災害時に工場が停止したときに、誰が責任を持ち、代替体制を整えるのか決めておかないと、復旧に時間がかかります。
また、共同で使用している機器やツールがある場合は、どの企業がどの範囲のセキュリティに責任を持つか決めないと、ハッカーが侵入する隙を作る原因になるでしょう。
このように、サプライチェーンを含めたBCPは多くの企業が関わるからこそ、責任の所在を明確にすることを念頭に置いてください。
4-3.ステップ3:業務ごとにリスクを洗い出す
続いて、緊急事態時に起こり得るリスクを洗い出します。
リスクが曖昧だと、策定するべき計画や事前対策が明確にならないためです。
サプライチェーンに潜む場合はリスクが多岐に渡ります。下記のように、関連会社や協力工場などを一覧化して、緊急事態時に起こり得るリスクを可視化しましょう。
| 取引先名 | 住所 | 役割 | 起こり得るリスク | 代替案・リスク軽減対策 | |
|---|---|---|---|---|---|
| A工場 | 一次 | 〇〇市~~ | プレス |
|
今のところなし 耐震補強検討中 |
| B社 | 二次 | 国外~~ | 部品仕入 |
|
ほかの仕入先検討中 |
| C社 | 二次 | 〇〇市~~ | 部品仕入 |
|
今のところなし |
起こり得るリスクは、現場を知らないと把握しきれない部分もあります。サプライチェーンの各担当者と連携しながら、現実的なリスクを抽出してください。
【起こり得るリスクを細分化することもおすすめ】
起こり得るリスクのイメージが持てない場合は「1.サプライチェーンの4つのリスク」に立ち返り、それぞれのリスクに当てはめながら起こり得るリスクを洗い出してみましょう。
災害時に想定されるリスクやセキュリティ上のリスク、テロや戦争のリスクなど、1つずつ考えていくことでリスクがより鮮明になります。
4-4.ステップ4:リスクに優先順位をつける
サプライチェーンで起こり得るリスクが明確になったら、緊急時に限られたリソースを効果的に投入できるように、リスクに優先順位をつけます。
ここで重要なのは「4-1.ステップ1:共通の目的を決める」で決めた目的を踏まえて、優先順位を決めることです。
例えば、「緊急事態時に最重要顧客向けの生産を最優先して復旧させる」が共有の目的の場合を考えてみましょう。
この場合は、最重要顧客向けの生産ラインが確保できるように、生産ライン、材料、人員を確保することが最優先リスクとなります。
優先順位に迷うときには、下記のような視点で数値化をすることも、1つの方法です。
【優先順位を決める視点】
- 発生頻度
- ステークホルダーへの影響
- 最大許容停止時間
例えば、遅延なく納品先に製品を届けなければならない場合は、最大停止時間が短く、遅延するとステークホルダーへの影響が大きい工場、ラインの復旧の優先度が高いと言えるでしょう。
【リスクに優先順位をつけるときはBIA(ビジネスインパクト分析)が活用できる】
リスクに優先順位をつけるときは、BIA(ビジネスインパクト分析)が活用できます。BIAは、緊急事態に業務が停止したときに、事業に与える影響度を評価する手法です。
評価基準(リスクが業務にもたらす影響)と時間軸(復旧にかかる時間や最大許容停止時間)の2軸で、優先度の高いリスクを抽出します。
▼BIAについては下記の記事で詳しく解説しているので、参考にしてみてください。
BIA(ビジネスインパクト分析)とは?事業影響度をBCPに活用する手順
4-5.ステップ5:実現可能な具体策を決める
優先するリスクが決まったら、リスクに対して実現可能な具体策を策定します。
具体策は、初動対応・事業継続・復旧対応の3段階に分けて、5つの視点で考えていきます。
例えば、「緊急事態時に最重要顧客向けの生産を最優先して復旧させる」が優先リスクの場合は、下記のような計画が策定できるでしょう。
【初動対応】
| 人的リソース |
|
|---|---|
| 施設・設備 |
|
| 体制・指示系統 |
|
| 情報 |
|
| 資金 |
|
【事業継続】
| 人的リソース |
|
|---|---|
| 施設・設備 |
|
| 体制・指示系統 |
|
| 情報 |
|
| 資金 |
|
【復旧対応】
| 人的リソース |
|
|---|---|
| 施設・設備 |
|
| 体制・指示系統 |
|
| 情報 |
|
| 資金 |
|
オールハザード型BCPの策定後はサプライチェーンを巻き込み訓練、対策会議などを実施して、いざという時に機能する状態にしておきましょう。
| ポイント!サプライチェーンの連携体制を整えておこう |
|---|
|
オールハザード型BCPを策定して緊急事態時のみサプライチェーンで連携しようとしても、なかなかうまくいきません。 定期的にBCP委員会で検討会を開催する、共通のツールを使用して情報共有をするなど、いつでも連携できる体制を整えておくことが重要です。 |
5.サプライチェーンのリスクは自社だけでなく
自社を取り囲む環境を俯瞰して捉えよう
自社だけではなく関連企業や協力工場などサプライチェーンを構成する企業を取り巻く環境、リスクを俯瞰して捉えることが、重要だとお分かりいただけたでしょうか。
自社のBCPならイメージできても、サプライチェーンまで範囲を広げると「どのようなリスクがあるのか」「どのように連携すればいいのか」ピンと来ない担当者様も多いでしょう。
自社のみではサプライチェーンを含めたBCPの策定が難しいと感じたら、ぜひNTTドコモビジネスにご相談ください。
私たちは、自社のノウハウや実績にもとづき、災害やリスクに強い組織づくりに貢献するBCPサポートや安否確認などの防災ソリューションを提供しています。
サプライチェーンを含めたBCPの初動対応では、とくに多くの従業員の安全を素早くスムーズに確認することが求められます。
NTTドコモビジネスが提供している代表的なソリューション「Biz安否確認」は、安否状況を自動で配信・集計して、サプライチェーン全体で同じ水準の安否確認が実現できます。
Biz安否確認/一斉通報 サービス概要
【Biz安否確認の特徴】
- 通信事業者ならではの安定した通信環境
- スマートフォンアプリやメール、電話などの手段に対応
- 組織階層ごとに権限設定ができて最適な管理を実現
- 協力会社にIDを割り当てるとサプライチェーンの稼働状況確認が可能
「Biz安否確認」は、下記のようにグループ会社を含めて数万人規模の導入実績があります。
深刻な被害を受けた時も、迅速に事業を立て直せる安否確認システムの導入・強化を図る
サプライチェーンの安定した運用は、いざという時に機能する計画、ソリューションの導入が欠かせません。
サプライチェーンを含むBCPの策定にお困りの場合は、お気軽にお問い合わせください。
計画策定から運用までトータルでサポートし、いざという時に強い組織づくりを支援
BCP対策ソリューション
BCPに関する研修の実施や、演習・訓練の企画~レポート作成、防災ハンドブックの提供を行う「BCPサポート」と、Biz安否確認に必要な登録作業の支援や、緊急地震速報を活用するための環境構築を行う「導入サポート」を提供します。
6.まとめ
この記事では、サプライチェーンのリスクとリスクを抑えるための施策について解説しました。
最後に、この記事の内容を簡単に振り返ってみましょう。
〇サプライチェーンのリスクとは、企業が製品やサービスを提供するためにサプライチェーンを構成する関連会社、協力工場などに起因するリスク
〇サプライチェーンのリスクは下記の4つ
- 環境的リスク:自然災害・気候変動・感染症など
- 地政学的リスク:テロや戦争の勃発・輸出入の制限など
- 経済的リスク:経済の停滞・通貨価値の変動・需要と供給のバランスの変動など
- セキュリティリスク:マルウェアの感染・情報漏えい・サイバー攻撃など
〇サプライチェーンの安定性を確保するための一環として近年BCPが注目されている
〇サプライチェーンのリスクを軽減するには従来のBCPではなくオールハザード型BCPの策定が必要
〇サプライチェーンを含めたオールハザード型BCPの策定のステップは下記のとおり
- ステップ1:共通の目的を決める
- ステップ2:責任の範囲を明確にする
- ステップ3:業務ごとにリスクを洗い出す
- ステップ4:リスクに優先順位をつける
- ステップ5:実現可能な具体策を決める
サプライチェーンのリスクは自社中心のBCPでは限界があり、サプライチェーンを含めたBCPの策定が必要です。
サプライチェーンを構成する企業と足並みを揃えながら、いざという時に機能するBCPを策定しましょう。BCP策定時のソリューション選定などに課題を抱えた場合は、NTTドコモビジネスにお気軽にご相談ください。
