BCPの訓練の種類やシナリオの作成と運用方法　教育とマニュアル改善がカギ

BCP（事業継続計画）への取り組みで陥りがちな失敗に、策定完了で満足してしまい、その後の運用や改善がおろそかになるパターンがあります。BCPでは事業継続の戦略や実際に緊急事態が発生した際の対応マニュアル、対応を行う組織体制や指示系統などを細かく定めます。しかし、こうした具体的な指針を一度決めれば対策がすべて完了したと判断するのは早計です。

どんな事業も続けていくうちに組織の事情や周囲の環境が変化していくため、BCPも内容の定期的な見直しが必要です。さらに従業員に対しても、実行手順について社内で繰り返し周知するなどの継続的な情報共有が求められます。

たとえば、情報漏洩リスクの対策一つをとっても、情報を紙の書類で保管していた時代に策定した内容ではデジタルデータが主流になった現代の状況に対応できません。加えて、業務上の連絡手段を電話やFAXに頼っていた時代と異なり、現代では社外からアクセスしてリモートワーク（テレワーク）で運用している業務も増えています。このため、現代のBCPでは安全なネットワーク回線やデータセンターの確保などリモートワーク運用を円滑に行うための要件なども考慮して策定を行う必要があります。

このように、BCPは策定した後にも定期的な見直しを行い、事業の現在の姿に照らして不充分な点がないか、新たに導入する最新技術に対応できているかなどの観点で再点検し、改善点があれば適宜修正していくことが必要不可欠なのです。

では、実際にはどのような手順でBCPの見直しと修正を行えばよいのでしょうか。

一つの方法は、継続的改善を目指す場合の定番フレームワークである「PDCAサイクル」をBCP策定のプロセスに適用して手順を整理することです。

このPDCAサイクルの観点でBCP策定と周知、運用の流れを再定義してみると、BCP策定が完了した時点が「Plan」で、従業員への周知や教育、訓練は「Do」に該当します。その結果導き出された課題や不備を検証することが「Check」、Checkで明らかになった内容を受けて行う修正や改善が「Action」となります。この手法を使えばプロセスを切り分け課題を整理しつつ、率先してやるべきことを明確にしながら段階を踏んで作業を進めることができます。

このように、PDCAサイクルのフレームワークをBCP策定に適用して、新たな情報を追加で取り入れる手順を加えれば、BCPの周知や教育、訓練がBCPの継続的な改良に直結する仕組みとなります。

計画を見直す際に特に意識したいのが、各地で発生している災害やトラブルの最新の事例です。BCPは2011年の東日本大震災をきっかけに再度その重要性が認識されてきましたが、その後の災害で必ずしも効果を発揮しなかった例もあります。

かつて発生した大規模な地震では、多くの企業のBCPに通勤時の災害対応が定められていなかったため、従業員を出社させるか自宅待機かの判断が迅速になされず、主要ターミナル駅で人が滞留、高速道路が全面通行止めになるなどの深刻な交通渋滞を招き、消防車など緊急車両の出動に大きな支障をきたしました。近い将来には南海トラフ地震や首都直下型地震などの巨大地震が懸念されている状況に加え、昨今では異常気象による大雨被害なども頻発する傾向にあります。

こうした状況において、企業や団体が従業員や工場などを不測の災害から守り、事業を継続できるように実践を伴ったBCPを作り上げていくことが重要です。

BCPの計画文書の一部として、緊急時の具体的な運用内容や対応方法などを記したマニュアル形式の資料を作成するのが一般的ですが、作成しただけでは実際の緊急時に行動に移せる内容とかけ離れてしまい、かえって混乱を招く事態になることがあります。

そのため、災害発生直後で指示系統体制が発動する前の初動においては、部署ごとに対応する点を踏まえ、事業各セクションの責任や役割の範囲を明記しておくことが大切です。

さらに迅速な判断を要する緊急時に参照する部分には、図や表などを主体にして視覚的に訴えるフローチャートが効果を発揮します。フローチャートをうまく組み合わせて知りたい情報に誘導する工夫なども、効果的なBCPを作成する上で考慮しておきたいポイントです。

なお、BCPマニュアルに関しては行政機関などもサンプルをホームページに掲載しており、中小企業庁、特定非営利活動法人事業継続推進機構、各地の商工会議所などが独自のテンプレートとその記入例を紹介しています。マニュアルの作成方法が分からない場合はこれらの情報を参考にするのも1つの方法です。詳しくは、「BCP（事業継続計画）策定につかえるテンプレート、ひな形を紹介」をご参照ください。

BCPを定着させるには、従業員への教育と訓練を定期的に繰り返すことが大切です。よくあるのが従業員への教育が避難訓練や安否確認のみに終始してしまう事例です。

たとえば、ある企業では非常時の対策として安否確認、在宅勤務の活用、データを遠隔地にバックアップすることなどをBCPで提案していました。しかし、いざ実際に災害が発生した時には、緊急時の在宅勤務用に想定していたWeb会議システムの操作方法が分からない、遠隔地サーバーにバックアップしたデータを移行するのに時間がかかるなど、運用が各所で破綻し業務継続に支障をきたす結果となってしまったのです。これは、従業員を交えてWeb会議システムを実際に使ってみる、データの移行テストを実施し所要時間をチェックしておくなど事前に訓練を行っていれば避けられた可能性があります。

このような事態を避けるために、BCPを策定したら、すべての従業員に周知を徹底し、各自の意識を高める教育を行うことが必要です。教育の場を設けることで現場の観点に立ったマニュアル改善要望を得られるなど、計画に関する貴重なフィードバックを受けられます。こうした周知と教育のための活動を継続的に行い、計画内容の有効性を常に確認しながら、BCP対策に沿った行動が取れる人員の養成を進めていくことが大切です。では、次にBCPの従業員教育と訓練の例を紹介します。

従業員への教育

従業員への教育における最初の狙いは、BCPの意味や目的について理解を深めた上で、必要になる対応を受け入れてもらうことです。BCP策定担当者以外の従業員は、BCPの重要性や具体的な対応方法についての理解が不充分であるケースも珍しくないため、管理・総務部門など直接の担当部署だけではない、すべての従業員を巻き込んだ全体の意識の向上が肝要です。

従業員の教育方法には、BCP対策の目的や必要とされる背景、自社が策定したBCPの内容を座学形式で解説する方法があります。一方的に知識や情報を伝えるだけではなく、従業員が自発的にBCPの重要性を考えるきっかけとしてディスカッションの場を設ける、勉強会を企画する、実地に即した心肺蘇生法をレクチャーする訓練などを行います。最初の導入段階では従業員に理解しやすく、受け入れやすい内容から順に実施して、BCPに関する意識付けを着実に進めていく方法が有効です。

BCP訓練の種類

BCPの周知により従業員に一定の理解が得られたら、次は訓練に移行します。BCP訓練を無理なく実行、定着させるには、現在実施している防災訓練を発展させる形で事業継続に関連する要素を追加する、BCP発動手順の一部分を抜き出して訓練するなどで着実に進めていくことが望ましいでしょう。

訓練には規模によってさまざまな種類がありますが、取り組みやすいものから順に紹介します。

まずは「机上訓練」です。BCPに記載された手順をなぞり、議論を重ねながら各自の役割を確認し、実際に活動できるかどうかを検討します。

実地で行う訓練としては、BCP発動手順の一部を行う「要素訓練」と発動シナリオの全体を通して行う「総合訓練」があります。

要素訓練のうち、安否確認システムが機能するかどうかを確認し、訓練するのが「電話連絡網・緊急時通報診断」です。この訓練では緊急時の連絡網に従って実際に連絡を行い、通報ルートを確認して、正しく機能していることを確かめます。

さらに、代替施設への「移動訓練」も重要です。これは災害時に代替施設となる拠点に復旧要員を速やかに移動させるための訓練で、BCPで定めた目標復旧時間（RTO）を達成するためには非常に重要な要素の一つです。RTOについて詳しくは「BCP策定時に必須のビジネスインパクト分析（BIA）の方法」をご参照ください。

なお、システム面の訓練も重要です。バックアップ先からデジタル形式のデータを移行する訓練では、平時に稼働しているシステムに障害が発生したと仮定してデータの復旧や代替システムへの起動と切り替えがスムーズに行えるかどうかを確かめます。

そして、総合訓練ではBCPの計画全体に沿って活動し、BCPの有効性を評価します。総合訓練には各要素を分解しないで訓練することによって、あらゆる場面で次の行動を想定できる対応力を合わせて身につける効果も期待できます。

BCPを効果的に運用し、災害リスクに備えるには、BCPの運用確認と改善にも継続的に取り組む必要があります。

計画書を定期的に見直すことで、重要業務や顧客の変化に対応しつつ、過去事例や災害関連の報告書、他社のシナリオ例を参考にしながらリスクシナリオに厚みを持たせます。最新の情報をもとに、想定される災害に対応できるよう絶え間なくBCP対策を進めることが、非常時においても事業継続が可能な企業体制の獲得につながるのです。

たとえば、デジタルデータの保護やセキュリティリスクが叫ばれる現代では、自社運用のシステムを災害に強いクラウドサービスに移行する、外部から社内システムにアクセスし業務を行えるリモートワーク（テレワーク）体制を整えるなど、普段から社内体制を災害に対応できるように改革していく方法があります。

過去に行政文書が記録されたハードディスクが処分業者を経てオークションサイトで転売され、データが流出した事件がありました。このような情報流出事故の対策としては、データの記録先を自社管理のハードディスクではなく、最新のセキュリティ技術で守られているクラウド上のデータセンター利用に切り替え、ローカル環境にはなるべくデータを保存しないなどの方法も有効です。

ドコモビジネスでは安否確認システムなど災害に強い通信サービスの提供を軸に、緊急連絡用端末の設置やシステムサポート、従業員向けの研修などBCPを運用に乗せるための「BCP対策ソリューション」も提供しています。BCPを第三者の視点でチェックしておきたい場合にもおすすめです。詳しくは「BCP対策ソリューション」をご参照ください。

BCPは現実の災害時に行動に移すことができて事業継続に役立つ内容でなくては意味がありません。まずはPDCAサイクルなどを活用して計画書の検証と改善を繰り返し、有効性を高めていきましょう。