BCP(事業継続計画)は、緊急事態においても事業を継続するための計画です。
近年、IT化が進む中で、業界を問わずIT-BCPが注目されるようになりました。
リモートワークを導入する企業が増加し、ネットワーク環境の見直しを行う企業が増えています。これに伴い、ファイルサーバの多重化やネットワーク回線や機器の冗長化など、災害時に不通になっても事業を継続できる仕組みを整備する企業が増加しています。
この記事では、BCPの概要や策定手順、具体的なBCP対策を分かりやすく解説します。
また、ITシステムを守るためのIT-BCPにも触れますので、BCP対応を検討している企業はぜひ参考にしてください。
□■□■IT業務のお悩みやお困りごと、コスト削減をお考えなら、解決手段があるはず!まずはITボランチへご相談(無料)ください。無料でのご相談はこちらから□■□■
BCP(事業継続計画)の概要
BCP(事業継続計画)の概要について、まずは解説していきます。
BCPとは緊急事態においても事業を継続するための計画
BCP(事業継続計画)は、緊急事態においても事業を継続するための計画です。BCPは「Business Continuity Plan」の略称で、企業が緊急時に事業継続して、被害を最小限に抑えるための手段を決定するために策定されます。
BCPにおける「緊急事態」とは?
BCPでは下記のような事業継続を脅かす緊急事態を想定しています。
- 自然災害
- 事故
- 戦争
- テロ
これらの事態では、通常通りの業務を続けることが困難になります。
最近では、新型コロナウイルスの影響でオフィスワークが困難になることも緊急事態として認識されています。
BCPの目的
BCP策定の主な目的は以下の通りです。
- 事業継続:緊急時でも売上被害を最小限に抑える。
- CSR(企業の社会的責任)の維持:取引先や顧客に対する商品やサービスの継続供給。
- 従業員の安全確保:従業員の安全を守り、安心して業務を続けられる環境を提供する。
例えば、コロナ禍でも事前にテレワークを導入していた企業は被害を最小限に抑えることができました。
BCPを策定しておくことで、被害を受けても早期復旧が可能になります。
BCPの必要性
日本では、台風や地震、豪雨といった自然災害が頻発するため、BCPの策定は非常に重要です。
また、近年では新型コロナウイルスの拡大もありました。
今後も同様の緊急事態に備えて事前に対策を講じておくことが求められます。
BCPと防災対策の違い
防災対策という言葉はBCP対策によく似ている言葉として取り上げられます。
しかし、防災対策は、台風や地震などの自然災害に特化した対策です。
一方、BCPは事業継続全体に重きを置き、災害を含む緊急事態に対応する計画です。
BCP対策の中には防災対策も含まれており、企業はこれらを組み合わせて最適な対策を講じることが望ましいです。
BCPとBCMの違い
BCM(Business Continuity Management)は、BCPを実践するための管理手法です。
BCPが計画策定を指すのに対し、BCMはその計画を運用・管理するためのプロセスを含みます。
例えば、
- BCP各工程の管理
- BCPの事前対策の実施
- BCP浸透への取組
といった活動によってBCPが機能するように調整を行います。
BCPが効果的に機能するように、各工程の管理や浸透活動を行うのがBCMの目的です。
BCP対策の基本的な策定手順
BCPの策定手順について解説していきます。
手順1: 会社の存続に関わる中核事業を特定
まず、利益や顧客関係などに大きく関わる中核事業を特定します。
全ての事業にBCPを実施するのは困難なため、中核事業の特定が重要です。
特定する際には以下のポイントを考慮します。
・売上に最も貢献している事業
・企業の評判や市場シェアに大きく影響する事業
・納期が迫っている事業
これらの中核事業は、問題が発生すると企業の存続が危ぶまれるため、業務に必要なものや代替方法、目標復旧時間などを計画に反映させることが重要です。
手順2: 中核事業が受ける被害を想定
次に、中核事業が受ける可能性のある被害を想定します。
具体的には以下の被害が考えられます。
- 自然災害による拠点損壊
- システムのエラー、停止
- 従業員の事故
- サイバー攻撃による情報漏洩
- 法律違反・抵触
- 安全衛生
被害をリストアップする際には、目標時間内に機能が回復するものとしばらく回復しないものを区別し、重要度を把握しやすくします。
手順3: 具体的な損失を計算
次には、具体的な損失を計算します。
考慮すべき項目には以下があります。
- 拠点の復旧工事費
- 情報システムの資源回復費
- 法律的な罰金
金融機関や保証協会などの緊急時に利用できる支援制度も確認し、計画に反映させます。
手順4: 事業継続のための代替案や事前対策の検討
緊急事態でも事業を継続できるよう、代替設備を確保します。
以下のような代替手段を検討します。
- 情報連絡の拠点
- 臨時従業員
- 情報システムのバックアップデータ
- テレワーク設備
対策方法はソフトウェア面(避難計画)とハードウェア面(サーバーの二重化)に分けて考慮し、計画に記載します。
手順5: 従業員への教育や社外への周知
策定した計画を基に従業員への教育と社外への周知を行います。
以下の点が重要です。
- 継続的な訓練を実施し、スムーズな実施に備える
- 顧客や取引先企業へBCPを周知し、協力体制を事前に確認
運用と改善を繰り返し、BCPを効果的に活用するために計画を更新していきます。
BCP対策事例
企業にて行われているBCP対策の事例を見ていきましょう。
1. 株式会社生出の事例
株式会社生出は、2009年に世界的に大流行した新型インフルエンザパンデミックをきっかけに、事業継続計画(BCP)の策定に着手しました。
BCP策定の目的には、
- 安心して働ける職場を作る
- 安心して取引してもらえる会社をつくる
- 継続的改革が進む組織風土をつくる
の3つを掲げ、下記のような取り組みを行っています。
施設内の危険個所の把握・商品や資機材の転倒・落下防止・備蓄の徹底
施設内の危険箇所を把握し、商品の転倒・落下を防止するための対策を講じています。
また、非常時に備えて必要な資材を備蓄しています。
自社を含む同業5社で「相互委託加工契約」を結び、代替生産ができる体制を整理
自社を含む同業5社との間で「相互委託加工契約」を結び、災害時に他社で代替生産が可能となる体制を整備しています。
これにより、災害時の生産停止リスクを軽減しています。
「BCPポケットマニュアル」「大地震初期対応カード」を制作し、全従業員に配布
従業員全員に「BCPポケットマニュアル」および「大地震初期対応カード」を配布し、緊急時の対応方法を周知徹底しています。
掲示板に災害対応の流れなどを貼りだし、常に活用できるようにしている
会社の掲示板に災害対応のフローを掲示し、従業員がいつでも確認できるようにしています。
2. 株式会社新産住拓の事例
株式会社新産住拓は、1999年の大型台風の被害を教訓に災害対策マニュアルの整備を行いました。以降、事業継続計画(BCP)について、次のような取り組みを行っています。
災害対応マニュアルを整備し、毎年見直し
災害対応マニュアルを整備し、毎年見直しを行うことで、常に最新の情報と手順を従業員に提供しています。
電話対応マニュアルの作成
災害時の混乱を防ぐため、電話対応マニュアルを作成し、緊急時の連絡体制を整備しています。
被害状況聞き取りチェックシートの整備し、対応の優先度を可視化
被害状況を迅速に把握するため、聞き取りチェックシートを整備し、対応の優先度を可視化しています。
これにより、迅速かつ効果的な対応が可能となりました。
他県の同業他社と災害協定を締結
他県の同業他社と災害協定を締結し、緊急時には協力して対応する体制を構築しています。
これにより、被害が広範囲にわたる場合でも、柔軟に対応することが可能です。
上記の企業は、これらの取り組みにより災害時における事業継続を可能にし、企業としての信頼性を維持しています。
BCPの導入と適切な対応策の策定は、企業のリスク管理において非常に重要な要素となっています。
デジタル化の進展によりIT-BCPの重要性が高くなっている
現代のデジタル化の進展に伴い、企業におけるIT-BCP(情報システム運用継続計画)の重要性が高まっています。
ここからは「IT-BCP(情報システム運用継続計画)」について説明していきます。
IT-BCPとは?ITシステムにおけるBCP対策
IT-BCPは、従来のBCP(事業継続計画)の一環として、ITシステムの運用維持・復旧に特化した計画です。
企業のITシステムは重要なインフラであり、地震などの自然災害やサイバー攻撃などのリスクから保護するために、IT-BCPの策定と実施が重要です。
IT-BCPが重要視される理由
近年、IT-BCPが重要視される理由として、以下の点が挙げられます。
・サイバー攻撃の増加:近年、サイバー攻撃は巧妙化しており、企業の情報システムに重大な影響を与える可能性があります。
・テレワークの普及:テレワークの普及により、セキュリティホールが増加し、リスクが高まっています。
・DX化の進展:デジタルトランスフォーメーション(DX)の進展に伴い、ITシステムの利用が促進され、その分セキュリティリスクも増加しています。
ITシステムが停止すると損害が増えますし、BCP全体の環境構築にも障害が出ます。
IT-BCPを効果的に策定・実施するためには、以下のポイントが重要になります。
- リスクの把握と評価:企業のITシステムに特有のリスクを明確にし、それに対する対策を講じる。
- バックアップの整備:重要なデータの定期的なバックアップを確保し、災害時に迅速に復旧できる体制を整える。
- 従業員の訓練と教育:従業員が緊急事態に適切に対応できるよう、定期的な訓練と教育を実施する。
- システムの冗長化:システムの冗長化を図り、単一障害点を排除することで、システムの信頼性を向上させる。
- 定期的な見直し:IT-BCPの内容を定期的に見直し、最新のリスクに対応できるよう更新する。
IT-BCPは、企業が自然災害やサイバー攻撃などのリスクから重要なITシステムを保護し、事業継続を確保するために不可欠な計画です。企業は、IT-BCPを策定・実施することで、緊急事態にも対応できる体制を整え、事業の安定と成長を図ることができるのです。
IT-BCPについての詳細は「IT-BCPとは?中小企業はどこまで対策するべきか?」の記事で紹介しています。
他社事例をヒントにBCP対策を強化しよう
この記事では、BCPの概要や策定手順、具体的な対策例について解説しました。
BCPは企業活動において必須の計画です。緊急事態時にも事業を継続することで、企業の社会的責任(CSR)を果たし、売上への影響も最小限に抑えることができます。
特にITに特化したIT-BCPの策定も重要です。セキュリティインシデントを含むさまざまなリスクを考慮し、IT-BCPを組み込んだ内容にすることをお勧めします。
大規模な災害が発生すると、事務所への出入りやファイルサーバへのアクセスが困難になることがあります。こうした状況に備え、重要なデータの分散化やシステム環境の多重化を行い、事業を継続できる体制を整えましょう。
コストはかかりますが、事業継続が困難になるリスクを考えれば、IT-BCP対策の重要性に気づくことでしょう。