コラム
BCP(事業継続計画)とは:目的や策定・強化するためのステップを紹介
東日本大震災以降、BCPという言葉が徐々に浸透し、経営課題として取り組む企業が増えました。しかし、具体的にBCPを策定していない、時代に合わせた内容の見直しをしていないという課題をお持ちの担当者の方も多いのではないでしょうか。
この記事では、BCPの策定が求められる理由や目的、強化するためのステップについて詳しく解説します。
目次
1. BCP(事業継続計画)とは
BCPとは「Business Continuity Plan」を略した言葉で、企業や組織が災害やパンデミック、サイバー攻撃などの予期せぬ緊急事態に直面した際、中核となる事業を継続させるための対策を行うことです。
自然災害という予測不可能な事象は、企業にとって極めて深刻なリスクとなり得ます。有効な対策を講じることができなければ、その影響は顧客や取引先の信頼損失に直結します。資金繰りが悪化することで、倒産もしくは事業の縮小を余儀なくされる可能性も否定できません。
事業の存続を左右する危機を避けるためには、想定されるリスクに対して十分な備えが必要です。事前にBCPを策定し、事業存続の方策を定めておくことで、従業員は迅速かつ冷静に対応することができるようになり、被害拡大を防ぐことができます。適切なBCPを準備している企業は、顧客や取引先との信用を獲得することで高く評価され、ステークホルダーによる企業価値の評価向上も期待できます。
2. BCP(事業継続計画)が求められる理由
そもそも、なぜBCPが求められているのでしょうか。ここでは、自然災害の理由のほか、BCPが求められる理由について解説します。
(1)自然災害が頻発・激甚化しているから
BCPが求められる理由として、第一に挙げられるのは自然災害です。自然災害は予期せず突然発生するため、緊急事態の中でも迅速かつ適切な行動へ移せるよう、計画は具体的な内容にしておくことが重要です。
自然災害の発生後、BCPを発動させる条件、指揮命令系統、実施体制、普段の業務を停止し重要業務へ集中させる判断基準などを整理します。これらの対応フローをマニュアル化し、平常時に災害を想定した訓練を行い、対応方法の抜けや漏れを確認します。
BCPの最も重要な目的は、従業員の命と安全を守るという点にあります。災害により人材を失うことは事業継続に多大な影響を及ぼすためです。BCPを事前に策定しておくことで、万が一被害が発生した場合でも、従業員は迅速かつ冷静に対応することができるようになります。
(2)サイバー攻撃が増えているから
近年では、サイバー攻撃が増えている点もBCPが求められる理由として挙げられます。
企業が保有する情報資産の搾取を目的とした不正アクセスや、金銭の要求などの詐欺行為であるランサムウェアなどのサイバー攻撃は、年を追うごとに手口が巧妙化しています。
このようなセキュリティインシデントの発生により、情報漏えいなどの重大な事故へ発展してしまうと、顧客や取引先の信用を大きく失いかねません。昨今の巧妙化するサイバー攻撃を完全に防御することは難しく、セキュリティインシデントが発生した際、具体的にどのような対応をすべきか、平常時に準備しておく必要があります。
例えば、大規模なECサイトを運営しているようなケースで、サイバー攻撃によりサービスが停止してしまった場合、迅速に復旧できるよう対応フローを準備しておくことが重要です。被害範囲の調査や原因の特定だけでなく、情報漏洩が想定されるケースではマスコミへ公表も検討しなければなりません。
このようなケースで、適切な対応を行えるようあらかじめBCPを策定しておく必要があるのです。
(3)サプライチェーンリスクが顕在化しているから
サプライチェーンリスクが顕在化していることも、BCPが求められる理由として挙げられます。
サプライチェーンにおける最大のリスクは、サプライチェーン内の企業や拠点の業務が止まることで、全体の供給が停止してしまうことです。地震や津波、台風などの自然災害や感染症の流行、テロや戦争などにより取引先や仕入れ先が被害を受けることで仕入れがストップされ、それが原因で最終的にサプライチェーン内の企業が倒産してしまいます。
製造業において1つの製品を製作する場合、部品の多くは社外から調達するケースが多いです。また、その仕入れ先も、他の卸業者から原材料を調達していることもあります。しかし、サプライチェーン内で原料や部品が1つでも欠けると商品は製造できません。
東京商工リサーチの調査によると、東日本大震災に関連した倒産件数は、2011年3月~2018年2月までの7年間で累計1,857件にのぼりました。そのうち、取引先や仕入先が被災したことによる販路の縮小、受注キャンセルが要因となった「間接被害型」の倒産は9割にのぼり、連鎖型の倒産の方が深刻であったという過去の事例があります。
さらにサプライチェーンリスクは、製造業だけでなく、ソフトウェア開発でも同じような危険性が想定されます。
このようなサプライチェーンリスク対策として、BCPの策定が求められているのです。
3. BCP(事業継続計画)を策定・強化するためのステップ
ここからは、BCPを策定するためのステップを紹介していきます。
(1)現状のBCP(事業継続計画)を評価する
まずは、自社の現状のBCPを改めて確認し評価をします。
主なチェックポイントを下表にまとめました。
(2)課題を特定する
次に、前述したチェックポイントにより、BCPとして現状で不足しているポイントを洗い出し、対策すべき課題を特定します。
例えば、チェックポイントで洗い出された自社の不足ポイントが「事業影響分析の精度」と「戦略の有効性」の2点だったとします。この場合、事業影響分析の精度において着目すべきは、自社の事業プロセスの重要度や依存関係を把握しているかという点です。
BCPにおいて、災害発生時に事業継続に最も優先すべき事業を「中核事業」と表します。中核事業とは、具体的には「もっとも売上の高い事業」「市場評価や信頼の維持に重要な事業」などです。
また、人的リソースや原材料や部品数が平常時よりも少ない状況下において、最優先して継続しなければならない事業は何かを特定する必要があります。
このような視点で、自社の中核事業を特定し災害時に優先すべき事業を明確にします。
(3)改善策を検討・実行する
続いて、優先すべき課題を特定した後、改善策を検討します。
例えば、特定された課題が「有事の際に優先すべき中核事業は何か」だったとします。その場合、ひとつの目安として人的・物的リソースが、例えば平常時の30%であると想定し、継続すべき事業、継続可能な事業は何かを特定しましょう。
その上で、具体的に誰が指揮をとり、その指示を受けて誰と誰が実際に作業をするのかなどを細かく決定します。緊急事態といっても、自然災害やサイバー攻撃などケースはさまざまなので、発生する緊急事態ごとに具体的な対応フローを作成しておくと良いでしょう。
緊急事態の種類ごとに対する対策について、下表にまとめました。
(4)定期的に見直す
改善策の実行だけでなく、BCPは定期的に見直しをすることが重要です。ただし更新する頻度や実施すべき内容は、企業の規模や特性によって異なります。
BCPの見直しは、以下の条件に基づいて実施することが必要です。
このような、事業の大きな変化がないケースでも、1年ごとの見直しが望ましいとされています。
また、防災訓練が実施された直後に、BCPの見直しをセットで行うこともアイデアのひとつです。それにより、BCPの見直しを忘れることなく定期的な見直しができるでしょう。
4. BCP(事業継続計画)の具体例
ここからは、BCP策定の具体例を紹介していきます。
(1)リモートアクセス環境の整備
リモートアクセスの環境を整備することも、BCPにおける効果的な対策と言えます。
環境整備の例として、以下のような方法が挙げられます。
2020年に発生したパンデミックにより、リモートワークを採用する企業が増え、2024年現在においても継続している企業が多くあります。
東洋経済ブランドスタジオが2023年8月に実施したリモートワークの実施状況に関する調査によると、「コロナ5類移行以前/以後で変化があったか」との問いに「勤務状況に変化はない」とする回答が全体の61.2%を占めました。
このことから、従業員がリモートで仕事ができるネットワーク環境や、どこからでも社内システムへアクセス可能な業務システムのクラウド化など、リモートアクセスが可能な環境整備もBCPの重要な要素と言えるでしょう。
(2)クラウドベースのデータバックアップと普及
社内の情報資産をオンプレミス型のサーバーで管理している場合、クラウドベース型のストレージへバックアップすることも、BCPの観点で効果的といえます。
クラウド上にバックアップを作成することで、PC内のストレージや社内サーバーを利用せずにデータの複製や保管ができます。それにより、災害の発生時でも安心してデータやファイルを保持できます。
オンプレミス型のサーバーでバックアップを実施しても、地震や火災などの発生によりサーバー自体が破損し、事業継続に重要な情報を失ってしまう可能性があります。
クラウドサービス提供事業者は、国内外の遠隔地に複数のデータセンターを所有しているケースが一般的です。そのため、たとえ1箇所のデータセンターが停止しても、他方のデータセンターでカバーできるため、安全にデータやファイルを保持することが可能なのです。
(3)基幹システムのクラウド移行
基幹システムをクラウド化することも、BCPとして非常に有効な手段です。
クラウドサービスは、一般的に複数のデータセンターへデータを分散して保存可能な仕組みが構築されています。よって、有事の際に一つのデータセンターが停止されても、他方のデータセンターで情報が保護されます。
一例を挙げると、ポイントサービス事業のグリーンスタンプ株式会社は、会計システムとしてERPパッケージ「ProActive」シリーズをオンプレミスで活用していました。サーバー故障を契機に、クラウドERP「ProActive C4」へ2022年に移行したことで、サーバーの老朽化対応やOSの保守切れ対応などの維持管理から開放され、安定的なシステム運用を実現しています。
関連記事: 導入事例|グリーンスタンプ株式会社
SCSKの「ProActive C4」とは、31年間、国産初のERPとして6,600社、300を超える企業グループの導入実績を持ったERPパッケージです。
これまで、多数のERP導入実績で培ってきた業務プロセスのノウハウ、またSCSKグループの総合力を活かすことで多くの企業の成長をサポートしています。
関連記事: 「ProActive C4」の他社導入事例
8. まとめ
BCPとは、自然災害やパンデミック、サイバー攻撃などの事態に遭遇した際、中核事業を継続させるための対策です。有事の際、企業は事業継続のための方法を平常時に定めておくことで、早期に復旧させられるBCPが役立ちます。 また、適切なBCPを準備することは、従業員の生命や健康を守ることや、自社の企業価値を高め、顧客や取引先からの信用獲得にも繋がります。
したがって、未知の危機に直面した際に企業のレジリエンスを発揮し、社会において責任ある一員としての役割を果たすためにも、BCPの適切な遂行は、単なるリスク対策を超えた経営戦略の一部であるといえます。
企業の持続可能性を守るために不可欠な取り組みとして、その策定と継続的な見直しに努めましょう。
中小企業診断士・行政書士・事業継続管理者
竹上 将人
公的機関で中小企業の経営診断の実務を積む。そのなかで東日本大震災をきっかけにBCP策定支援に従事。独立後はBCPを専門にコンサル活動を展開し、災害対応力強化を目指した組織づくりコンセプトにBCP策定、シミュレーション訓練の企画を手がける。BCのセミナー講師としても活躍。名古屋商工会議所、あいち産業振興機構、豊川信用金庫等で登壇実績がある。
クラウドERP導入事例
関連ページ
- クラウドERP「ProActive C4」の特長
- ホワイトペーパー|マンガで分かる!『失敗しない!ERP導入~スムーズな導入までの検討ステップ』
- ホワイトペーパー|今こそクラウドERPに投資すべき7つの理由とは
関連コラム