BCP(事業継続計画)
BCP(事業継続計画)とは?
BCP(Business Continuity Plan:ビジネス・コンティニュイティ・プラン)とは「事業継続計画」のことです。近年増加している自然災害や感染症などの影響で「事業継続」に注力する企業が増えています。事業継続は自社だけの問題ではなく、重要なインフラの確保や地元企業の存続など、地域社会の復興に影響を及ぼす問題です。また、近年のITの普及によって企業を狙ったサイバー攻撃は高度化し、その裾野は大企業だけでなく、中小企業まで広まっています。テレワークやサプライチェーンを狙った攻撃も後を絶ちません。
BCPは自然災害対策だけと思われがちですが、上述の通り事業活動を取り巻くリスクは多方面にわたるため、リスク分析を行い、あらゆる事態に備えることが重要です。
1.BCPとは
近年、自然災害やサイバー攻撃、感染症のパンデミックなど、事業活動を取り巻く環境は予測が難しくなっています。BCPとは、こうした有事に備えて、優先して継続すべき事業や指揮命令系統などを明確にすることです。
計画やマニュアルを作成するだけでなく、防災訓練や机上訓練などを行って社内での定着を図り、有事に対応できる体制を整えます。この一連の取り組みをBCM(Business Continuity Management:ビジネス・コンティニュイティ・マネジメント)と呼びます。BCPを策定し運用することで、災害などが起こった際の復旧期間を短縮でき、結果として事業を継続できるのです。
また、事業を守り早期の復旧と再開を実現するための国際規格として「ISO 22301」もあり、企業価値の向上や競合優位性を求めて取得する企業が増えています。グローバル企業の取引要件になっていることもあります。
(1)BCPの現状
帝国データバンクが全国の企業に対し2020年5月に行った調査では、すでにBCPを策定済みの企業は16.6%であり、近年は増加傾向にあります。企業規模別で見ると大企業では30.8%、中小企業では13.6%と大きな開きが見られます。
想定している事業継続リスクは、「自然災害」が1位、次いで「感染症」です。「感染症」については2019年調査では24.9%でしたが、2020年調査では69.2%と大きく増加しました。新型コロナウイルスのパンデミックによって、感染リスクに対する危機感が高まっている結果でしょう。
2.BCPが重要視される背景
(1)予想し得ない外的リスクの増加
<1>東日本大震災
2011年3月に発生した東日本大震災は、津波などによる甚大な被害をもたらしました。東京商工リサーチが発表したデータによると、2020年2月29日時点で東日本大震災の関連倒産は、累計で1,946件となっています。被害パターン別に見ると、取引先・仕入先の被災による「間接型倒産」が構成比で88.4%と多数を占めており、自然災害が事業活動やサプライチェーンに大きな被害をもたらすことがわかります。
東日本大震災ではネットワークやサーバーといったICT機器への影響も大きなものでした。IT化が進む中、事業に必要なデータ管理の重要性も増しています。事業継続を考える上でも、データの保護とリスクマネジメントは上位の検討事項です。
出典
震災から9年「東日本大震災」関連倒産状況(2月29日現在)|東京商工リサーチ
東日本大震災と事業継続|総務省
<2>新型コロナウイルス感染症
2021年1月、政府は新型コロナウイルスの感染拡大を受けて二度目の緊急事態宣言を発令し、飲食店に対する営業時間短縮要請や、外出自粛、テレワークの徹底などが発表されました。
帝国データバンクが2021年2月8日に発表したデータによると、「新型コロナウイルス関連倒産」は全国で1,007件。「飲食店」や「建設・工事業」、「ホテル・旅館」などが上位を占めています。予測し得なかった感染症のパンデミックは、今なお暮らしや企業の事業活動に大きな影響を与えています。
(2)ITの普及と、巧妙さを増すサイバー攻撃
<1>テレワークを狙った攻撃
新型コロナウイルス感染症の拡大によって、テレワークが急速に普及しました。総務省が2020年7~8月に実施した調査によると、28.9%の企業がリモートワークを導入しており、実施企業の40.5%が新型コロナ収束後も引き続きリモートワークを活用すると回答しています。
一方でテレワークの普及を逆手にとり、社員が自宅で使っている端末を狙ったクラッキングが増えています。情報漏えいには今まで以上に気を配る必要があるでしょう。情報処理推進機構(IPA)が2021年1月に発表した「情報セキュリティ10大脅威 2021」には、「テレワーク等のニューノーマルな働き方を狙った攻撃」が新たに3位にランクインしました。ITの普及によって消費者や企業の利便性は向上しましたが、新たなリスクも生まれていることがわかります。
テレワークの場合、社内ネットワークではなく自宅のインターネット回線やカフェなどのWi-Fi接続を利用して業務を遂行します。自宅で使用しているインターネット機器などにセキュリティー的な弱点(脆弱性)がある場合は、サイバー攻撃のリスクが高まります。在宅勤務時は、設備の点検、ガイドラインなどの整備と徹底が必要になります。
●個人情報の取扱いに注意
特に個人情報を扱う社内のサーバーに外部から接続している場合は、細心の注意が必要です。情報漏えいが自社事業に関するものだけであれば、社内対応で再発防止策を講じることで済む場合もありますが、顧客情報となると社会的信用にかかわります。
マルウェアに感染したかもしれない場合は、即座にサーバーへの接続を切断してシステム部門に連絡するなど、対応をマニュアル化して徹底することが重要です。
個人情報は暗号化して管理。情報が漏えいした場合も、データファイルは開けないようにするなどの対策を講じる方法もあります。
出典
テレワークセキュリティに関する実態調査|総務省
情報セキュリティ10大脅威 2021|IPA
<2>サプライチェーンの弱点を悪用した攻撃
サプライチェーンとは製品の開発工程(調達、開発、運用)の一連の流れを指します。事業活動においては、これら全てを自社でまかなうのではなく、関連企業や子会社などに一部を委託することがあります。
セキュリティーが弱い関連企業や委託会社を狙ったサイバー攻撃が2019年には増加しました。ビジネス構造が複雑化する中で、自社のみを想定したBCPではなく、関連企業や取引先と連携したBCPが求められるようになっています。
関連企業であればグループ会社全てのシステムを一括管理する部門を設置し、パソコンや情報機器の購入・廃棄、社内ネットワークへのアクセス権限などを一元管理することでセキュリティーを強化できます。
取引先には専用パソコンを配布し、仕様書や報告書、見積書、請求書など、全ての書類の作成や保存を専用パソコンのみで行うといった対策も可能でしょう。
また、こういった対策はサイバー攻撃に対する社員の意識向上にもなります。ウイルスへの感染を狙うメールなどを安易に開封するリスクも提言していけば、万一開封してしまったときにも社内ネットワークからパソコンを切り離すなど、迅速に対応できるでしょう。
3.BCPを策定する目的
BCPは主に、次の五つの目的のために策定します。これらの目的は、事業継続計画策定のステップともいえます。
(1)直接的な被害を最小限に抑える
BCPを策定する目的は、事が起こった際の被害を最小限に抑えることです。災害時のリスクをあらかじめ想定し、避難経路や安否確認システム、意思決定や伝達のルールなどを整備することで、被害を抑えます。
BCPのルールが定まった段階で、災害が発生したと仮定した対応訓練を机上で行います。関係者が集まり、緊急時の情報連絡などを机上でシミュレーションするのです。この机上訓練の時点で実施が困難なものは、実際の訓練でも成功しませんし、運用ルールとしても絵に描いた餅になってしまいます。
災害時にも慌てず、「正常な意志決定」ができることは、防災訓練などをしっかり行うことで培われます。机上・実地の両方の訓練をあわせて実施することが重要です。
(2)間接的な影響を最小限に抑える
BCPで想定すべきリスクは、直接的な被害だけにとどまりません。直接被害は受けないものの、間接的な影響によって事業継続が困難になることもあります。
例えば、上述のサプライチェーンを狙ったサイバー攻撃の場合、関連会社や取引先、仕入先の工場がサイバー攻撃に遭い、稼働できなくなるといったリスクが考えられます。これは自社内で防ぐことができない問題です。
代替できる生産体制や調達先をあらかじめ検討しておく必要があります。また、主要な取引先のBCPを確認するなどの対策も有効でしょう。
(3)中核事業を継続する
企業には複数の事業、あるいは複数の商品・サービスが存在します。BCPでは災害などが起こった際にどの事業を優先して継続、復旧させるのかを、あらかじめ決めておきます。
緊急時は「ヒト、モノ、カネ」といった事業継続に必要なリソースが限定されるため、社会貢献性や収益性などさまざまな観点から優先順位を決めておくことで、早期に体制を復旧できます。
災害の状況によって、優先する中核事業が変わってきます。第一優先事業の被害が大きく復旧に時間がかかる場合や、今後予測される社会情勢の変化により復旧後の収益見込みが厳しいケースなどです。特定地域に天災の被害が集中して、中核事業の生産拠点がその地域にある場合、被害の少ない地域に拠点を持つ第2順位の事業にシフトするといった対応が考えられます。
中核事業の選定は、いくつかの被害ケースをシミュレーションして、第3順位くらいまで想定するとよいでしょう。
(4)復旧までの時間を短縮する
緊急事態では、あらかじめ方針などを明確にしておくことで、スムーズな対処が可能です。リソースが不足し、十分な事業活動が行えない中でも、代替案や代替措置を用意できれば、復旧までの時間を短縮することができます。
例えば、企業内のデータを特定のサーバーのみに保存するのではなく、クラウドなど複数の環境(物理的に分散された環境)に保存することなどが対策として考えられます。
また、災害発生地域に部品の生産工場などが一極集中していると、中核事業の生産活動に使う部品が入手できない可能性があります。一極集中している場合は、ほかの地域の工場でも生産できる体制にするなど、事業選択とあわせて、復旧時間を短縮するための施策を講じておくことも重要です。
(5)天災や感染症だけでなくあらゆる事態に備える
事業活動におけるリスクは地震や津波、感染症といったものだけではありません。例えば、現代の企業活動においてITは必要不可欠のものであり、システムが停止することは事業活動に多大な影響を与えます。
IT以外にも、中核事業によってさまざまなリスクが想定されます。小売業では、取引先の不祥事によって仕入れた商品に対するイメージが悪化し、販売不振になることもあります。金属加工業では、国際情勢の変化による原材料の高騰が経営を圧迫し、事業継続が困難になる場合もあります。医療であれば、大規模停電などのインフラ停止は人命にかかわります。このように起こり得るリスクは、個々の企業によって異なります。そのため、BCP対策では事業活動におけるリスクの洗い出しから始め、あらゆる観点からリスクを分析する必要があります。
リスクアセスメントの手法を取り入れ、リスク特定・リスク分析・リスク評価のプロセス全体をマニュアル化して運用してもよいでしょう。
4.BCPを策定し運用するための七つの手順
BCPを策定し社内に定着させ運用するためには、立案から運用後の定期的な見直しまでの七つのステップがあります。ここでは中小企業庁が発行している「中小企業BCP支援ガイドブック」をもとに、具体的な手順を解説します。
参照:中小企業 BCP 支援ガイドブック|中小企業庁
※p29〜45を参照して構成・記載
(1)基本方針の立案
BCPにおける基本方針とは、何のためにBCPを策定するのかという目的を明確にすることです。例としては下記のようなものが挙げられます。
- 従業員や顧客の安全を守る
- 自社の経営を維持する
- 製品供給の責任を果たし、顧客からの信用を守る
- 従業員の雇用を守る
- 地域経済に貢献する
企業の役割は、売上を上げることだけではありません。関係するステークホルダーに対して与える影響を洗い出し、企業として守るべきものを定義して、BCPにおける基本方針を定めます。
具体的には、スーパーであれば「災害時には、利益よりも、地元住民のために食料や生活必需品を提供することを第一とする」、建設業であれば「地元の災害復興にできる限りの協力をする」、製造業であれば「倒壊した工場の再建よりも地元住民の生活安定を優先し、工場の敷地を仮設住宅用地として提供する」などといったことです。
実際にこうした取り組みを行っている企業もあり、株式会社ナガワでは、東日本大震災の際に仙台工場の敷地内に応急仮設住宅を設置して、災害復興に協力しました。
参照:株式会社ナガワ|復興支援
(2)重要商品(中核事業)の検討
災害時においては、人、物、金など事業継続に必要なリソースの多くが制限されます。限られたリソースをどの事業に集中させるのかを、あらかじめ取り決めておく必要があります。この際の観点は下記のようなものです。
- 最も売上に貢献している事業
- 納期の遅延などによって、自社の損害が最も大きくなる事業
- 法的または財務的な責任がある場合、それを満たすために必要な事業
- 市場シェアや信頼を維持するために必要な事業
- 人、物、金などのリソースが3分の1になった状態で最も継続させたいと思う事業
引用:中小企業 BCP 支援ガイドブック p.32
※『日本の人事部』編集部で表記修正
あらかじめ決めた中核事業が、災害などの状況によって変化することもあり得ます。その際に備えて、「中核事業や重要商品の見直し」という選択肢を用意しておくとよいでしょう。
また、中核事業を見直した場合の指揮命令系統なども作成し、可能であれば資金面でのシミュレーションも行います。優先順位が変わることで、企業の経営に及ぼす影響は少なからずあるでしょう。
事業継続は財務基盤を確保しつつ行うことで、安定して進められます。事業規模が大きくない場合や、特定の地域を地盤としている地元密着型の企業であれば、なおさら検討漏れのないようにしなければなりません。
中核事業や重要商品の選定について説明してきましたが、企業にとってはどの事業も大切であり、選ぶことが難しいこともあるかもしれません。自社の実情を無視して中核事業、重要商品を定めてしまうことが合理的でないケースでは、型通り無理矢理に選定することがBCPの本質に反することもあるので、注意が必要です。
(3)被害状況の想定
災害や感染症の拡大によって、どのようなことが起こり得るのか、またどの程度、事業継続に影響を与えるのかをあらかじめ整理し、備えておくことが重要です。その際に使える分析手法としてBIA(ビジネスインパクト分析)があります。BIAは、ISO22301という「事業継続マネジメントシステム(BCMS)」に関する国際規格でも求められます。
BIAでは環境分析や業務分析を行い、事業活動に内包されるリスクを網羅的に洗い出すことから始めます。具体的には、「建物」「設備」「周辺施設」「社会インフラ」などが抱えるリスクなどを洗い出すことです。リスクを明確にすることで、どのような対策をとるべきかを検討できます。
例えば、A工場が震度6弱の地震の被害に遭えば、インフラはどの程度影響を受けるのか、従業員の居住地分布とハザードマップから3日後に再稼働した時点で出勤可能な従業員はどの程度見込めるのか、といったことです。中小企業 BCP 支援ガイドブックでは震度6弱の地震がインフラに及ぼす影響は電気1日・水道7日・ガス15日が目安となっています。
(4)事前対策の実施
事前対策とは、緊急事態に陥る前にあらかじめ準備しておく仕組みやルールのことです。具体的には、安否確認のルールや安否確認システムの導入、データのバックアップ、防災用品の整備などが該当します。
災害時には現地での復旧までに時間がかかる場合も想定されます。そうしたケースに備え、代替生産や代替調達の方法も方針としてまとめておく必要があるでしょう。場合によっては、取引先や関連企業、あるいは同業他社との連携も必要です。
実際のビジネスでも、取引先や関連企業から災害時の緊急対応の説明を求められることがあります。製造業では部品の調達の遅れにより、災害被害に遭っていない工場の生産ラインが止まることのないように、BCPを契約の必須事項とする企業もあります。
(5)緊急時の体制の整備
BCPの策定においては、緊急時の指揮命令系統や責任者を明確にしておくことが重要です。責任者や指揮命令系統が明確でないと、いざというときに迅速な意志決定ができなくなるためです。また、責任者が被災して対応できない場合に備え、代理責任者も定めておかなければなりません。
人事異動や定年などで、責任者がいなくなることもあります。そのため期首には、その期の緊急時の体制を周知することが重要です。社内にも掲示することで、社員全員が緊急時の体制を共有できるように配慮します。
(6)BCPの定着(BCM活動)
BCPを策定しても、周知徹底ができていなければ、緊急時に迅速な対応ができません。特に新入社員や中途採用者には、自社の緊急時の体制を説明し、万一の場合の対応を共有しておくことが重要です。従業員がBCPの重要性を理解しないままでは、その効力を十分発揮できません。理解促進のための研修など、継続的な啓もう活動も必要です。
また、BCPを定着させるためには、さまざまな訓練が有効です。代表的なものを五つ紹介します。
消防訓練、避難訓練
消防訓練の種別には、消火訓練、避難訓練および通報訓練があります。消防法において、避難訓練の実施は義務で、消防計画を作成することから始めます。社内で定めた防火管理者の指揮の下、訓練日を消防に届け出て、初期消火・通報から実際の避難まで、組織的な訓練を行うとよいでしょう。
- 【参考】
- 石巻地区広域行政事務組合消防本部|消防訓練について
机上訓練(図上訓練)
DIG(ディグ)とも呼び、参加者が災害時に想定される危険などを自ら地図上に書き込んでいく訓練です。災害をイメージしながらリスクを可視化し、避難経路や避難場所などを確認して、災害対応や事前対策の検討を行います。
連絡訓練
緊急連絡先への連絡や、緊急連絡網での連絡を訓練します。安否確認システムを導入している場合、登録しているメールアドレスでメール受信できるかどうかを確認することも含みます。安否確認メールは一度目の災害直後は自動発信されますが、二度目以降は利用者の設定次第という場合もあるでしょう。一度目のメールで安否が確認できない社員に向けて8時間後に再送するなど、マニュアルを作成して実施します。
参集訓練
通常勤務時間帯以外の緊急事態に対応するための訓練です。災害が勤務時間外に発生した場合の職員の参集体制の検証や参集ルートの確認、非常時優先業務の遂行上の問題点や課題などの洗い出しを行った上で、対策を検討します。
地域での防災訓練
地元の自治体や各町会、自治会が実施する防災訓練に参加します。消火器の操作などの実体験ができるとともに、災害時における地域との連携に役立つでしょう。企業が自治体および住民団体と「地域防災協定」を結び、避難所やヘリコプターの緊急離着陸場所を提供することもあります。
(7)BCPの見直し
BCPは関連するマニュアルやガイドラインを含め、定期的に見直す必要があります。企業の体制変更や事業領域の変更、取引先や仕入先の変更など、状況は常に変化しています。とはいえ、何かあるたびにBCPを策定し直すことは大きな負担となります。そのため、BCPを見直す基準をあらかじめ明確にしておくとよいでしょう。例えば、生産ラインの組み替えや管理職・責任者の人事異動があった場合など。毎期「○○年度BCP」などとして策定する方法もあります。
また、優先する中核事業や重要商品についても、定期的に見直すことが大事です。昨今は事業のサイクルも短くなりつつあります。今は稼ぎ頭の事業でも、数年後に同じ環境であるとはいえません。中核事業の選択は事業継続にとって重要です。マニュアルやガイドラインといった枝葉だけの見直しにならないように注意が必要です。
5.具体的なBCPの取り組み事例
新型インフルエンザやコロナウイルスのパンデミックをきっかけに、BCPに取り組む企業が増えています。
(1)新型インフルエンザのパンデミックをきっかけにBCPマニュアルを作成
株式会社生出は東京都に本社を置く、包装資材や緩衝材の製造事業を展開する企業で、ハイテク精密製品の包装を得意分野としています。
同社は2009年に起きた新型インフルエンザのパンデミックをきっかけに、BCPを策定しました。従業員が出勤できずに製造が止まってしまうリスクを懸念して、得意先から事業継続体制の構築要請があったためです。同社は事業継続マネジメントシステム(BCMS)を取得し、有事の際にも事業継続する体制を整えました。
同社ではBCPの目的として、下記の三つを策定しています。
- 安心して働ける職場をつくる
- 安心して取り引きしてもらえる会社をつくる
- 継続的改革が進む組織風土をつくる
立川断層の付近という地理的状況をふまえ、地震による被災を想定したBCPを策定しました。自社が被災した場合でも代替生産ができる体制を整え、同業者5社で「相互委託加工契約」を締結し、万が一自社が被災しても顧客に製品を確実に届けられる体制を整えています。
(2)社員のモチベーションをどう維持するか
熊本市の工務店、新産住拓株式会社は命を最優先するというBCPを掲げています。そして災害のたびに内容を見直して、実状にあったBCPを運用しています。
BCP対策を始めたきっかけは、1999年の大型台風被害でした。2016年の熊本地震においては、事前に整備していた風水害対応マニュアルを地震用に作り替えて対応にあたりました。
熊本地震の際は、災害が起こった際に顧客から届いた約3,000軒の修理・点検依頼を、初動段階でドクターのトリアージのように、対応する優先順位別に五つのレベルに分類しています。これによって二次災害の可能性がある修理依頼や、優先すべき点検にリソースを集中させるのです。
また、自身が被災者であるにもかかわらず、対応に追われる社員の気持ちに配慮して、いつまでに復旧活動を終えるかという「出口」を「復興ビジョン」というかたちで可視化して共有しています。「復興ビジョン」では当期の事業計画を白紙にしてでも、顧客の復興を最大限優先することと、社員とパートナーの安全と生活の安心を守ることが明言されています。
(3)体験をもとにBCPマニュアルを改善。次に生かす
株式会社藤崎は、文政2(1819)年創業という長い歴史を誇る仙台の老舗百貨店です。これまでの地震の経験から、平常時から防災訓練に力を入れています。
東日本大震災の発生時にも、買い物客が約3,500人、従業員も約1,000人、合計約4,500人もの人が店内にいたにもかかわらず、従業員が適切に案内することで誰一人として負傷者を出すことなく、屋外に避難誘導できました。
顧客の安全確保がうまくいった一方で、従業員の帰宅対策については課題も残りました。遠方から通う一部の従業員は交通機関が利用できず、避難所や社員食堂の一角に非難することになったのです。
この経験から、BCPマニュアルを改訂し、社内に帰宅困難者を収容する場所の確保や非常用の食料や寝具の備蓄、徒歩での帰宅に備えてロッカーに運動靴やリュックを常備するなどの対策をとっています。
6.BCP策定に役立つ書式やマニュアルのテンプレート
中小企業庁が開設している「中小企業BCP策定運用指針」のウェブサイトでは、BCPの取り組み状況チェックやマニュアル、様式などのテンプレートなどがダウンロードできます。
テンプレートはチェック方式で記入がしやすくなっており、各項目を埋めることでBCPが策定できます。難しく考えず、現状で対応可能な人を責任者にするなど、実際に運用できる方法を記入していきます。
また製造業や小売りなど、業種ごとの記入例もあるので参考にするとよいでしょう。例えば避難訓練は、不特定多数の人が出入りする劇場や百貨店などには消防法で年2回以上の訓練が義務付けられ、オフィス事務所とは求められる要件が異なります。自社の業種の記入例を参考にすると取り組みやすいでしょう。
事業継承計画を兼ねたBCPの策定をすることも可能です。例えばプラスチック製品の形成加工・印刷・塗装・組み立てを一貫して行う協和ACI株式会社では、BCPに後継者への事業継承の目標を盛り込んでいます。
ガイドラインとテンプレートを活用してスムーズに作成
先述の中小企業庁のもの以外にも活用できるものは多くなっています。体制構築には外部サービスの活用も検討しましょう。
今からできるBCP(事業継続計画)策定と準備しておきたいツール~平時からの取り組みが「非常事態に強い」企業をつくる|日本の人事部
用語の基本的な意味、具体的な業務に関する解説や事例などが豊富に掲載されています。掲載用語数は1,400以上、毎月新しい用語を掲載。基礎知識の習得に、課題解決のヒントに、すべてのビジネスパーソンをサポートする人事辞典です。
