BCP(事業継続計画)とは緊急事態においても事業を継続するための計画です。近年では業界を問わずIT化が進み、IT-BCPも注目されるようになりました。
リモートワークを導入している企業が増加し、ネットワーク環境の見直しをす企業が増えたことなどから、ファイルサーバの多重化、ネットワーク回線や機器の冗長化など災害などで不通となってしまった場合でも事業が継続できる仕組みを準備する企業が増加しています。
この記事ではBCPの概要や策定手順、BCP対策の具体例を分かりやすく解説します。併せて、ITシステムを守るIT-BCPにも触れるため、BCPへの対応を検討している企業はぜひ参考にしてください。
BCP(事業継続計画)の概要
BCP(事業継続計画)の概要について、まずは解説していきます。
BCPとは緊急事態においても事業を継続するための計画
BCPは「Business Continuity Plan」の頭文字を取った言葉です。直訳すると「事業継続計画」となります。企業が緊急事態時に事業継続して、ダメージを受けないための手段を決定するための計画です。
緊急時はいつ発生するか不明です。万が一に備えて被害を最小限に抑えるためにも、BCPが必要とされています。
BCPにおける「緊急事態」とは?
BCPで想定されている緊急事態とは、
- 自然災害
- 事故
- 戦争・テロ
といった事業継続を脅かす要素を指しています。上記のような事態では、通常通り業務をこなすことが難しくなります。
最近ではコロナ禍によるオフィスワークの継続困難といった事象が、緊急事態として発生しているのがポイントです。
BCPの目的
BCP対策を行う目的としては、
- 事業の継続を行い売上被害を減らす
- CSRを維持する
- 従業員の安全性確保
などが挙げられます。
事業の継続を行うことで、緊急事態時でも売上への被害を最小限へ抑えられます。たとえばコロナ禍でも事前にBCPとしてテレワークを推奨していた企業では、被害が最小限に抑えられているケースも複数見られました。BCPを策定しておくと、被害を受けても復旧が早くなるでしょう。
また企業の社会的責任、つまり「CSR」を維持するためにも必要です。取引先や起業拠点周囲のユーザーといったステークホルダーへ商品・サービスを継続供給するためにも、BCPが必要になっています。
さらに従業員の安全を確保して事業が続けられるようにするのも目的です。従業員の安心を確保して起業への信頼を上げるのにも、BCPは役立ちます。
BCPの必要性
日本では主に台風や地震、豪雨といった自然災害がBCPの事案として挙げられます。災害が頻発する災害大国の日本では、まず災害に関してBCPを考えて計画を策定する必要性があるでしょう。
最近では日本を始めとした国で、新型コロナウイルスの拡大などが起こりました。今後も同じような緊急事態が起きないとは限りません。企業としては非常事態に備え事業が継続できるよう事前に対策を行っておくことが重要です。
BCPと防災対策の違い
防災対策という言葉はBCP対策によく似ている言葉として取り上げられます。
まず防災対策というのは台風・地震などの自然災害に特化した対策の総称です。人や資産などを災害時も維持・確保するのが目的です。
対してBCP対策では事業継続全体に重きが置かれており、災害を含めた非常事態の際にステークホルダーのリスクまで考えて継続のための対応を行うかがポイントとなってきます。ビジネスへ特化した緊急事態への対策がBCP対策と言えるでしょう。
この2つは完全に相反するものではなく、たとえばBCP対策の一環として防災対策を入れ込む、というのもできます。ぜひ両者を上手く併用してみてください。
BCPとBCMの違い
BCMとは「Business Continuity Management」の略称です。BCPが対策を行うことを指すのに対して、BCMはその対策を活かすために行われるのがポイントです。BCMではBCPをベースとした事業継続マネジメントを行います。
- BCP各工程の管理
- BCPの事前対策の実施
- BCP浸透への取組
といった活動によってBCPが機能するように調整するのがBCMを行う目的です。
BCPを動かすにはBCMが必要になってきます。その関係性から、BCPをBCMの1つとして扱う場合も多いです。
BCP対策の基本的な策定手順
BCPの策定手順について解説していきます。
手順1.会社の存続に関わる中核事業を特定
まずは利益や顧客関係などに大きく関わってくる、中核事業を特定していきます。すべての事業にBCPを実施するのが難しい場合は、この中核事業の特定がスムーズな計画策定に大きな影響をおよぼします。
- 売上に最も貢献している事業はどれか
- 企業の評判や市場シェアなどに大きく影響している事業はどれか
- 納期等が一番迫っている事業はどれか
といった性質のある中核事業は、支障が出ると企業自体の存続が危ぶまれるのがポイントです。業務に必要なものや代替方法、目標復旧時間なども可視化して計画へ落とし込んでみましょう。
手順2.中核事業が受ける被害を想定
次に中核事業が受ける被害を特定していきます。起こりうる被害としては、
- 自然災害による拠点損壊
- システムのエラー、停止
- 従業員の事故
- サイバー攻撃による情報漏洩
- 法律的な違反・抵触
- 安全衛生
などが挙げられます。
被害を考えてリストアップする際は、目標時間内に機能が完全に回復するもの、しばらくはしないものを区別しながら記載すると重要度等が把握しやすくなるでしょう。
手順3.具体的な損失を計算
次に具体的な損失を計算していきます。
- 拠点の復旧工事費
- 情報システムの資源回復費
- 法律的な罰金
といった各損失事項や、具体的な想定額などを分析していくのがポイントです。
場合によっては金融機関や保証協会などから、緊急事態時に金銭面でサポートを受けられるケースもあります。各制度を確認しながら計画へ活用できないか検討してみてください。
手順4.事業継続のための代替案や事前対策の検討
緊急事態でもその環境で事業を続けられるように、代替となる設備等を考えて事前に確保しておく必要があります。
- 情報連絡の拠点
- 臨時従業員
- 情報システムのバックアップデータ
- PC等のテレワーク設備
など、中核事業の代替を確保する手段を検討して計画へ記載しておきましょう。
ちなみに対策方法は
- 避難計画といったソフトウェア面
- サーバーの二重化といったハードウェア面
に区別できます。意識しながら対策を行うと可視化された際、より誰にでも把握しやすい計画内容となるでしょう。
手順5.従業員への教育や社外への周知
計画が策定できたら、次はそれを基に従業員への周知・教育を行っていきます。
継続的に訓練を実施しながらスムーズな実施へ備えるのがまず重要です。また顧客や取引企業等のステークホルダーへBCPを周知させておき、協力体制について事前にミーティングを行うのも重要になってきます。
最終的に運用と改善を繰り返して更新を行うのが、BCPをより有効に活用するためのポイントになってくるでしょう。
IT-BCP(情報システム運用継続計画)が必要に?
ここからは「IT-BCP(情報システム運用継続計画)」について説明していきます。
IT-BCPとは?ITシステムにおけるBCP対策
BCP対策とともに近年注目を浴びているのがIT-BCPです。IT-BCPはBCPの中でも、ITシステムの運用維持・復旧等に特化した内容になっています。
ITシステムはどんな企業にとっても重要なインフラになりつつあります。そういったITシステムの特有的なリスクを回避して事業損害を防ぐためにも、IT-BCPも含めた計画策定が重要になってきているのがポイントです。
IT-BCPが重要視される理由
IT-BCPが必要とされているのには、この数年間で事業停止を招きかねないシステムリスクが増加しているという背景があります。
たとえば
- サイバー攻撃の巧妙化
- テレワークによるセキュリティホールおよびリスクの増加
- DX化・ITシステム活用促進によるセキュリティリスク増加
などがシステムリスクの事例です。
ITシステムが停止すると損害が増えますし、BCP全体の環境構築にも障害が出ます。よってシステムがなるべく緊急事態でも維持できるように、またすぐ復旧できるようにIT-BCPが重要視されてきているのがポイントです。
IT-BCPについての詳細は「IT-BCPとは?中小企業はどこまで対策するべきか?」の記事で紹介しています。
ITシステムを守るためのBCP対策例
ここからはITシステムを守るためのBCP対策例について説明していきます。
データ保管・データバックアップの準備
社内の基盤システム運用を継続するには、重要なデータ消失は避ける必要があります。企業にとって顧客情報や取引データ・分析済みデータなどは大きな資産です。
仮にバックアップデータをメインデータが保管されているサーバーと同じ場所に保存すると、サーバーが使えなくなった際にデータがすべて消失するので意味がありません。そのためバックアップデータはメインサーバー以外のハードウェアに保存することをおすすめします。
社内の保存媒体にバックアップデータを保存したりして管理するとよいでしょう。ただしいつでも取り出せるように計画を作っておかないといけません。
代替機やテレワークの準備
テレワーク環境で事業遂行に最低限必要な設備が整っていれば、事業継続リスクを抑えることができます。拠点が損壊していても自宅等で業務が受けられるため、安全性確保にも役立ちます。
またテレワークはDX化にもかかわるため、BCP計画へ落とし込むためだけでなくデジタル化推進のための手段として通常の業務計画でも活用することが求められるでしょう。テレワーク環境の整備や勤務制度の実施などは、企業にとって義務になりつつあります。
緊急時の安否確認や連絡体制の準備
災害が起き企業サーバーやネットワークに被害があれば、電話やメールなどの連絡手段が使えないことも想定されます。実際災害時に電話・メールサービスが停止して混乱を招いた事例もすでに発生しているのがポイントです。
そこで安否確認や一斉メール機能などが使えるツールを準備するだけでなく、そのツールが使えない際の代替ツールまで準備しておくと安心です。また緊急時の指揮責任者やシステム復旧担当者などをあらかじめ決めておき、指揮系統が連絡ツールも使いながら上手く機能する仕組みを策定しておくことも重要です。
社内にCSIRTを設置
社内に「CSIRT」を設置しておくと、よりIT-BCPが実現しやすくなります。CSIRTとは「Computer Security Incident Response Team」の略称で、セキュリティインシデントへ対応するための組織・部門です。
セキュリティリスクへいち早く対応して被害を防ぐのが目的となる組織なので、セキュリティに関する知識・スキルのある人材を用意して設置する必要があります。このため設置が難しい企業もあるかもしれませんが、人材不足の場合は外部企業へCSIRT業務を依頼してセキュリティインシデントへ備える、というのも対策として考えられます。
まとめ
この記事ではBCPの概要や策定手順、対策の具体例などを解説してきました。
BCPは企業活動を行っていく上で必ず策定しておくべきです。事業継続を緊急事態時にも実施することでCSRが実現できますし、売上への被害も最小限に抑えられます。
またITへ特化したIT-BCPも重要です。BCP策定の際はセキュリティインシデントまで考えて、ぜひIT-BCPも入れ込みながら内容を作ってみてください。
大きな災害が発生してしまうと、事務所に出入りができなかったり、事務所に設置しているファイルサーバにアクセスできなかったりと、業務を継続することが困難な状況になってしまう企業も多いと思います。もしもを想定して、重要なデータを分散化しておいたり、環境を多重化しておいて、万が一の時でも事業を継続できる体制を整えておきましょう。
コストが多く発生してしまいますが、突然事業を継続できないといった状況になってしまった場合のリスクを考えると、IT-BCP対策をしておくことの重要性にお気づきになるかと思います。
