BCPの策定が完了しても、災害時に計画書の内容を実行に移せなければ策定した意味がありません。多くの従業員がBCPの存在を知らない、あるのは認識しているが一度も読んだことがない状態ではいざというときに有効に活用できません。ここでは、従業員にBCPを周知する意義と、平常時に行うBCP運用の手順や訓練の内容について紹介します。

PDCAサイクルで備える突然の“想定外”

BCP（事業継続計画）への取り組みで陥りがちな失敗に、策定完了で満足してしまい、その後の運用や改善がおろそかになるパターンがあります。BCPでは事業継続の戦略や実際に緊急事態が発生した時の対応マニュアル、対応を行うための組織体制や指示系統などを細かく定めます。しかし、こうした具体的な指針を一度決めれば対策がすべて完了したと判断するのは早計です。

どんな事業も続けていくうちに組織の事情や周囲の環境が変化していくため、BCPも内容の定期的な見直しが必要です。また従業員に対しても、実行手順について社内で再度周知したりするなどの継続的な情報共有が求められます。

例えば、情報漏洩リスクの対策一つをとっても、情報が紙の書類で保管されていた時代に策定した内容ではデジタルデータが主流になった現代の状況に対応できません。また、業務上の連絡手段を電話やFAXに頼っていた時代と異なり、現代では社外からアクセスしてリモートワーク（テレワーク）で運用している業務も増えています。ですから、現代のBCPでは安全なネットワーク回線やデータセンターの確保などリモートワーク運用を円滑に行うための要件なども考慮して策定を行う必要があります。

このように、BCPは策定した後にも定期的な見直しを行い、事業の現在の姿に照らして不十分な点がないか、新たに導入される最新技術に対応できているかなどの観点で再点検し、改善点があれば適宜修正していくことが必要不可欠なのです。

では、実際にはどのような手順でBCPの見直しと修正を行えばよいのでしょうか。

一つの方法は、継続的改善を目指す場合の定番フレームワークである「PDCAサイクル」をBCP策定のプロセスに適用して手順を整理することです。

このPDCAサイクルの観点でBCP策定と周知、運用の流れを再定義してみると、BCP策定が完了した時点が「Plan」で、従業員への周知や教育、訓練は「Do」に該当します。その結果導き出された課題や不備を検証することが「Check」、Checkで明らかになった内容を受けて行う修正や改善が「Action」となります。この手法を使えばプロセスを切り分け課題を整理しつつ、今やるべきことを明確にしながら段階を踏んで作業を進める形を取ることができます。

このように、PDCAサイクルのフレームワークをBCP策定に適用して、新たな情報を追加で取り入れる手順を加えれば、BCPの周知や教育、訓練が、BCPの継続的な改良に直結する仕組みとなります。

計画を見直す際に特に意識したいのが、各地で発生している災害やトラブルの最新の事例です。BCPは2011年の東日本大震災をきっかけに再度その重要性が認識されてきましたが、その後の災害で必ずしも効果を発揮しなかった例もあります。

2018年6月に発生した大阪府北部地震では、多くの企業のBCPに通勤時の災害対応が定められていなかったため、従業員を出社させるか自宅待機かの判断が迅速になされず、主要ターミナル駅で人が滞留したり、阪神高速道路が全面通行止めになったりするなどの深刻な交通渋滞を招き、消防車など緊急車両の出動に大きな支障をきたしました。近い将来には南海トラフ地震や首都直下型地震などの巨大地震が懸念されている状況に加え、昨今では異常気象による大雨被害なども頻発する傾向にあります。

こうした状況において、企業や団体が従業員や工場などを不測の災害から守り、事業を継続できるように実践を伴ったBCPを作り上げていくことが重要です。

各部門に即したBCPマニュアルを作成する

BCPの計画文書の一部として、緊急時の具体的な運用内容や対応の方法などを記したマニュアル形式の資料を併せて作成することが常ですが、ただ作成しただけでは実際の緊急時に行動に移せる内容とかけ離れてしまい、かえって混乱を招く事態になることがあります。

そのため、災害発生直後で指示系統体制が発動する前の初動においては、部署ごとに対応する点を踏まえ、事業各セクションの責任や役割の範囲を明記しておくことが大切です。

また、迅速な判断を要する緊急時に参照する部分には、図や表などを主体にして視覚的に訴えるフローチャートが効果を発揮します。フローチャートをうまく組み合わせて知りたい情報に誘導する工夫なども、効果的なBCPを作成する上で考慮しておきたいポイントです。

フローチャートの例

出典元：東京商工会議所版BCP策定ガイド

なお、BCPマニュアルに関しては行政機関などもサンプルをホームページに掲載しており、中小企業庁、特定非営利活動法人事業継続推進機構、各地の商工会議所などが独自のテンプレートとその記入例を紹介しています。マニュアルの作成方法が分からない場合はこれらの情報を参考にするのも1つの方法です。詳しくは、「BCP（事業継続計画）策定につかえるテンプレート、ひな形を紹介」をご参照ください。

訓練を実施してBCPマニュアルの有効性を確認

BCPを定着させるには、従業員への教育と訓練を定期的に繰り返すことが大切です。よくあるのが防災対策と応急処置としての代替手段での事業継続や平常業務への復旧作業の区別がついておらず、従業員への教育が避難訓練や安否確認のみに終始してしまう事例です。

例えばある企業では、非常時の対策として安否確認、在宅勤務の活用、データを遠隔地にバックアップすることなどをBCPで提案していました。しかし、いざ実際に災害が発生した時には、緊急時の在宅勤務用に想定していたWeb会議システムの操作方法が分からない、遠隔地サーバーにバックアップしたデータを移行するのに時間がかかるなど、運用が各所で破綻し業務継続に支障をきたす結果となってしまったのです。これは、従業員を交えてWeb会議システムを実際に使ってみる、データの移行テストを実施し所要時間をチェックしておくなど事前に訓練を行っていれば避けられた可能性があります。

このような事態を避けるために、BCPを策定したら、全ての従業員に周知徹底し各自の意識を高めるために教育を行うことが必要です。また、教育の場を設けることで現場の観点に立ったマニュアル改善要望を得られるなど、計画に関する貴重なフィードバックを受けられます。こうした周知と教育のための活動を継続的に行い、計画内容の有効性を常に確認しながら、BCP対策に沿った行動が取れる人員の養成を進めていくことが大切です。ではつぎにBCPの従業員教育と訓練の例を紹介します。

BCP対策が上手くいかない（防災対策に終始してしまった）企業と
有効性を確認してBCP対策を高めた企業

従業員への教育

従業員への教育では、BCPの意味や目的について理解を深めた上で、必要になる対応を受け入れてもらうことが最初の狙いです。BCP策定担当者以外の従業員は、BCPの重要性や具体的な対応方法についての理解が不十分であるケースも珍しくないため、管理・総務部門など直接の担当部署だけはではない、従業員全員を巻き込んだ全体の意識の向上が肝要です。

従業員の教育方法には、BCP対策の目的や必要とされる背景、自社が策定したBCPの内容を座学形式で解説する方法があります。また、一方的に知識や情報を伝えるだけではなく、従業員が自発的にBCPの重要性を考えるためのきっかけとしてディスカッションの場を設けたり勉強会を企画したりする方法や、ごく基本的な災害対策として、心肺蘇生法をレクチャーするなど実地に即した訓練もその1つです。最初の導入段階では従業員にとって理解しやすく受け入れやすい内容から順に実施して、BCPに関する意識付けを着実に進めていく方法が有効です。

BCP訓練の種類

BCPについて周知され従業員に一定の理解が得られたら、次は訓練に移行します。BCP訓練を無理なく実行し定着させるには、現在実施している防災訓練を発展させる形で事業継続に関連する要素を追加する、BCP発動手順の一部分を抜き出して訓練するなどで着実に進めていくことが望ましいです。

訓練には様々な種類や規模がありますが、取り組みやすいものから順に紹介します。

まずは「机上訓練」です。BCPに記載された手順をなぞり、議論を重ねる形で各自の役割を確認し、実際に活動できるかどうかを検討します。

実地で行う訓練としては、BCP発動手順の一部を行う「要素訓練」と発動シナリオの全体を通して行う「総合訓練」があります。

要素訓練のうち、安否確認システムが機能するかどうか確認し訓練するのが「電話連絡網・緊急時通報診断」です。この訓練では緊急時の連絡網に従って実際に連絡を行ったり通報ルートを確認したりして、正しく機能していることを確かめます。

また、代替施設への「移動訓練」も重要です。これは災害時に代替施設となる拠点に復旧要員を速やかに移動させるための訓練で、BCPで定めた目標復旧時間（RTO）を達成するためには非常に重要な要素の一つです。RTOについて詳しくは「BCP策定時に必須のビジネスインパクト分析（BIA）の方法」をご参照ください。

なお、システム面の訓練も重要です。バックアップ先からデジタル形式のデータを移行する訓練では、平時に稼働しているシステムに障害が発生したと仮定してデータの復旧や代替システムへの起動と切り替えがスムーズに行えるかどうかを確かめます。

そして、総合訓練ではBCPの計画全体に沿って活動し、BCPの有効性を評価します。総合訓練には各要素を分解しないで訓練することによって、あらゆる場面で次の行動を想定できる対応力を合わせて身につける効果も期待できます。

効果的な運用で災害に負けない強い企業に

BCPを効果的に運用し、災害リスクに備えるには、BCPの運用確認と改善にも継続的に取り組む必要があります。

計画書を定期的に見直すことで、重要業務や顧客の変化に対応しつつ、その上で、過去事例や災害関連の報告書、他社のシナリオ例を参考にしながらリスクシナリオに厚みを持たせます。最新の情報をもって想定される災害に対応できるように絶え間なくBCP対策を進めていくことが、非常時においても事業継続が可能な企業体制の獲得につながるのです。

例えば、デジタルデータの保護やセキュリティリスクが叫ばれる現代では、自社運用のシステムを災害に強いクラウドサービスにあらかじめ移行しておいたり、外部から社内システムにアクセスし業務を行えるようなリモートワーク（テレワーク）体制を整えておいたりするなど、普段から社内体制を災害に対応できる形に改革していく方法があります。

2019年12月に神奈川県庁の行政文書が記録されたハードディスクが処分業者を経てオークションサイトで転売されデータが流出した事件が発生しましたが、このような情報流出事故の対策としては、データの記録先を自社管理のハードディスクではなく、最新のセキュリティ技術で守られているクラウド上のデータセンター利用に切り替え、ローカル環境にはなるべくデータを保存しないなどの方法も有効と考えられます。

NTTコミュニケーションズでは安否確認システムなど災害に強い通信サービスの提供を軸に、緊急連絡用端末の設置やシステムサポート、従業員向けの研修などBCPを運用に乗せるための「BCP対策ソリューション」も提供しています。BCPを第三者の視点でチェックしておきたい場合にもおすすめです。詳しくは「BCP対策ソリューション」をご参照ください。

BCPは現実の災害時に行動に移すことができて事業継続に役立つ内容でなくては意味がありません。まずはPDCAサイクルなどを活用して計画書の検証と改善を繰り返し、有効性を高めていきましょう。