あらゆる企業や組織にとって災害などの緊急事態に際し、損害を最小限に抑え、事業の継続や早期復旧を図ることは非常に重要です。そのためには事前に事業継続のためのBCP(事業継続計画)を策定しておく必要があります。

では、BCPを策定するにあたり具体的に何から着手し、どう対応すればよいのでしょうか?

ここではBCPに関する基礎知識、BCP策定の手順や注意点を紹介します。

BCPとは?その意味と目的を振り返る

BCPとは災害などの緊急事態における企業や団体の事業継続計画(Business Continuity Planning)のことです。このBCPの目的は自然災害やテロ、システム障害など危機的な状況に遭遇した時に損害を最小限に抑え、重要な業務を継続し早期復旧を図ることにあります。特に日本では2011年の東日本大震災をきっかけにその重要性がますます注目されています。

では、事業継続のためにBCP策定がなぜ必要になるのでしょうか?

それは、BCPが単なる防災対策と異なり、目的を「事業の継続」に明確に置いて、具体的な行動指針を示していることにあります。緊急時にも事業を途切れずに継続し、途切れたとしても早期の復旧を実現できれば、顧客の信用を維持できます。株主や市場からも高評価を得て、それが企業価値の維持と向上につながり、社会的な信頼を得ることもできます。

内閣府では、2005年公表の「事業継続ガイドライン」でBCP策定を強く推奨しています。この「事業継続ガイドライン」は2013年に改訂された「第三版」が公式サイトからダウンロードできます。

一方で、策定した内容に不備があるか、策定して時間が経過していたためにBCPが有効に機能しなかった例もしばしば見受けられ、現状の大きな課題として挙げられています。これらの例を検証すると、BCPが従業員に周知徹底されていなかった事例や、適切な代替戦略が定まっていなかったために実際の場面で行動に移せなかった事例、復旧目標が現実に即しておらず実行不能であった事例などが見受けられます。

つまり、BCPは策定することがゴールではなく、日々変化を遂げる現状の把握し分析した上で、次の戦略に結びつけていく継続的な改善が極めて重要です。これら一連の流れを踏まえ、まずは計画書を一通り作成することがBCP対策の第一歩となるのです。

リスク確認から始まるBCP策定のステップ

では、実際にBCPを策定する場合の具体的な手順を見ていきましょう。BCPを初めて策定するときは、段階を踏んで順に進めていく形を取ります。

STEP1:策定の目的設定、STEP2:重要な業務とリスクの洗い出し、STEP3:リスクに優先順位をつける、STEP4:実現可能な具体策を決める

STEP1:BCP策定の目的設定

まず、企業や団体が目指すものは何であるのか経営理念や基本方針を振り返り、原点に立ち返って見直します。従業員の人命を守るため、供給責任を果たしクライアントからの信用を守るためなど、経営者の念頭にある基本方針を確認します。

STEP2:重要な業務とリスクの洗い出し

次の段階で取り組むのは、企業や団体にとって最も大事な業務が何であるかを明らかにする作業です。

災害時、事業を継続するに当たって最も優先すべき事業を、BCPでは「中核事業」と呼びます。例えば「売り上げが最もある事業」「納期などの遅延が及ぼす損害が甚大な事業」「市場の評価や企業・団体への信頼を維持するために重要な事業」などが中核事業として挙げられます。

あるいは、人手や情報、物資などのリソースが平常時より極めて少ない状況で、なお優先して継続すべき事業は何かという視点で洗い直す作業を行います。一つの目安として、平常時の3割程度のリソースしか得られない場合を想定して、それでも続けるべき事業は何かを考えてみましょう。

例えば、製造業の場合なら、物資の仕入れルートを確保し、遅延が許されない納品先に供給し続けるサプライチェーンの堅守が最も優先すべき中核事業と考えられます。コンビニやスーパーなど地域密着型の小売業やサービス業なら、食品や生活必需品の販売継続などが挙がってくるでしょう。災害時の限られたリソースはこれらの中核事業から優先的に選ばなければなりません。

次の段階で行うのは「リスクの洗い出し」です。企業や団体にとって「起きたら困ること」「リスク」が何であるのかを明確に言語化しておかないと、具体的な対策や対処法を導き出すことはできません。ですから、この段階では、想定されるリスクをすべて書き出す作業が重要です。

リスクの例としては地震・台風・火災などの災害や、事件・事故、インフルエンザなど伝染病の流行、システム障害やサイバー攻撃などがあります。洪水や地盤沈下など立地による特有のリスクも検討すべき事柄です。これらの災害を想定し、事業に及ぼす被害を具体的な形で洗い出していきます。

STEP3:リスクに優先順位をつける

想定されるすべてのリスクに対処するのは現実的とは言えません。災害時の限られたリソースを効果的に投入するために、リスクに優先順位をつけ、優先度の高いリスクに絞って、BCPを策定します。

優先順位をつけるときのポイントは、リスクの発生頻度と深刻度です。月に1回、年に数回、数年に1回などどれぐらいの頻度で発生しうるのか、実際に起きた場合にどの程度の損失が発生するか、という2通りの軸で総合的に判断することが大切です。

また、STEP2と3では、「BIA(ビジネスインパクト分析)」の導入も、より精度の高いBCPを策定する上で効果的です。BIAは、災害時に優先させる業務を洗い出すための具体的な基準や指針となるもので、「評価軸」と「時間軸」で被害のリスク分析を行います。詳しくは 「BCP策定時に必須のビジネスインパクト分析(BIA)の⽅法」をご参照ください。

STEP4:実現可能な具体策を決める

BCPでは誰が「コマンド」として指揮を執り、誰がその指示を受けて実際に行動するのかなど細かいところまで具体的に決める必要があります。個々の災害に対して細かく具体的な内容を策定しておかないと、緊急時に咄嗟の対応が難しくなります。実際には災害発生から平常時に戻るまでのタイムスパンを大きく3段階に分け、「人的リソース」「施設・設備」「資金調達」「体制・指示系統」「情報」の5つの視点で細かい内容を決めていきます。

災害発生時の復旧までの流れを意識して必要なことを把握する

BCPをより具体的で実践しやすいものにするためには、災害が発生したときにどのような流れで事業を平常状態に戻すかをイメージすることが大切です。ここでは、問題が発生してからの対応方法を3段階に分けて説明します。

災害発生 -> 平常時へ 1.被害状況の確認、2.代替手段での応急処置、3.平常操業に戻す復旧作業

第1段階 被害状況の確認

第1段階ですべきことは「確認」です。どのような被害が発生しているのか現状を正しく把握し理解することが肝心です。この段階で最優先させるべき行動に従業員の安否確認があります。自動で安否確認の連絡を配信できるシステムがあれば、災害時の初動を素早く実行できます。安否確認システムには従業員から状況の登録があるまで発信を続ける機能や、収集した安否状況を自動集計する機能があり、情報を組織内で素早く適切に共有するためには極めて有用なツールです。また、安否確認システムはスマートフォンのGPSと連動して従業員に避難指示を出す、支援が必要な拠点へ誘導するなど緊急時の連絡ツールとしても有効です。

このように、緊急時にどのような連携手順を踏んで、どのような手段で情報を共有するのかを事前に取り決め、全社的な協力体制を整えるようにします。

第2段階 代替手段での応急処置

次の第2段階で行うことは「代替」です。災害の規模が甚大な場合でも、不足している人員や設備などをある程度代替できる仕組みを事前に構築しておくことが重要です。そのために、業務に必要な資材や設備を前もって把握し、緊急時の代替手段を確認しておきます。

例えば、工場などの物理的破損に備えるのであれば、機能を確保しておき、切り替えのタイミングや手順を決め、体制を整えておくなどの方策が考えられます。

また、緊急時に人的リソースを確保するための手段の一つとして、普段から「リモートワーク環境」を構築しておく方法があります。外部から安全にアクセスできるリモートワークの環境が整っていれば、従業員が出社しなくても安全な場所から業務を継続することが可能になります。

第3段階 平常操業に戻す復旧作業

第3段階が「復旧」です。被害を受けた部分を復旧し、平常操業に戻していく手順を整えます。全面復旧のためには施設や設備などハードウェアと、サーバーやネットワーク機構などソフト面の復旧が喫緊の課題となります。復旧を行うためには、平常時より、元々の設備やシステムの設計や設定、稼働状況などを正確に確認し、稼働ログなど重要な情報を緊急時でも取り出せるようにするためのデータ保護やデータバックアップの対策を行う必要があります。

現代の事業継続においてはインターネット回線を確保し、リモートからアクセスできるデータセンターやサーバーを維持することが極めて重要です。以前は、バックアップ回線の確保やネットワークの二重化を行ったり、遠隔地に複数のデータセンターを確保したりするなどの通信インフラ整備は災害時の大きな課題でした。しかし、現在は、信頼性が高く安全なクラウドサービスが登場し、通信インフラ維持の実現性が高くなっています。

BCP策定の注意点とは?最初から完璧を目指さない適切な計画を

BCP策定では、最初から完璧な計画を目指さないことも大事です。不意に起こるのが災害というもの。最初からあらゆる事態を想定して、起こりうる全てのリスクを網羅した完璧な計画を立てることは、ほぼ不可能です。完璧を目指すあまりBCPの完成が遅れ、肝心の災害時に準備が間に合わず使えないようでは意味がありません。自社にとって必要なものから優先し、できる範囲から少しずつでも策定を進めていくのが賢明です。

また、BCP策定で特に盲点になりやすいのが「情報の確保」。多くの企業・団体の現場では今なお電話を使った音声コミュニケーションが大きな役割を果たしており、電話の維持は意外に重要なポイントです。

従来のPBX(社内電話交換機)を使った内線電話システムでは、オフィスの建物が被災した場合に電話が利用できなくなることもありました。この対策としてPBXをクラウド化するサービスも新たに注目を浴びています。

インターネット環境さえ確保できれば、クラウドPBXを使用してオフィス外からでも電話が利用できるので、電話不通による業務遅延を防ぐことができます。加えて、従業員や取引先、顧客などの連絡先や各端末の発着信履歴をクラウド上で一元管理するWeb電話帳は、災害時のデータ保持やセキュリティーリスク軽減の観点からも非常に有用な手立てといえます。社内電話機能のクラウド化による電話連絡網の確保はスムーズな事業復旧に大きく貢献すると考えられます。

Before:オフィスが被災するとPBXや固定電話が利用できない、After:クラウド上にPBXがあれば、オフィスが被災してもスマホで代表番号・内線が使える

同時に、BCPを活用して組織に浸透させ、戦略的に活用を図るBCM(Business Continuity Management=事業継続マネジメント)を行っていくことも大事です。従業員が自らBCPに基づいて判断し行動するためには、内容を従業員に十分に理解してもらい、平常時でも常にリスクを意識できるような社内のムードを作り上げることが必要です。

事業の状況や社会の状況は常に変化を続けているので、BCP策定内容がビジネスの実情と乖離することもあります。一度用意した備品や施設も時間とともに劣化したり、耐用年数を超えてしまったりすることもあります。防災備蓄品の点検や避難訓練を定期的に行い、策定したBCPの内容も定期的に見直し、改善していくことが大切です。特に、病院など、常に人間の生命に関わる仕事環境においては、二重、三重のチェック体制も必要です。

BCPは、緊急時においてビジネスを守るための砦になる計画です。深刻なリスクに直面しても冷静に対応できるよう、BCP策定に積極的に取り組み、継続的に見直すようにしましょう。

関連サービス