（1）自然災害が頻発・激甚化しているから

BCPが求められる理由として、第一に挙げられるのは自然災害です。自然災害は予期せず突然発生するため、緊急事態の中でも迅速かつ適切な行動へ移せるよう、計画は具体的な内容にしておくことが重要です。

自然災害の発生後、BCPを発動させる条件、指揮命令系統、実施体制、普段の業務を停止し重要業務へ集中させる判断基準などを整理します。これらの対応フローをマニュアル化し、平常時に災害を想定した訓練を行い、対応方法の抜けや漏れを確認します。

BCPの最も重要な目的は、従業員の命と安全を守るという点にあります。災害により人材を失うことは事業継続に多大な影響を及ぼすためです。BCPを事前に策定しておくことで、万が一被害が発生した場合でも、従業員は迅速かつ冷静に対応することができるようになります。

（2）サイバー攻撃が増えているから

近年では、サイバー攻撃が増えている点もBCPが求められる理由として挙げられます。

企業が保有する情報資産の搾取を目的とした不正アクセスや、金銭の要求などの詐欺行為であるランサムウェアなどのサイバー攻撃は、年を追うごとに手口が巧妙化しています。

このようなセキュリティインシデントの発生により、情報漏えいなどの重大な事故へ発展してしまうと、顧客や取引先の信用を大きく失いかねません。昨今の巧妙化するサイバー攻撃を完全に防御することは難しく、セキュリティインシデントが発生した際、具体的にどのような対応をすべきか、平常時に準備しておく必要があります。

例えば、大規模なECサイトを運営しているようなケースで、サイバー攻撃によりサービスが停止してしまった場合、迅速に復旧できるよう対応フローを準備しておくことが重要です。被害範囲の調査や原因の特定だけでなく、情報漏洩が想定されるケースではマスコミへ公表も検討しなければなりません。

このようなケースで、適切な対応を行えるようあらかじめBCPを策定しておく必要があるのです。

（3）サプライチェーンリスクが顕在化しているから

サプライチェーンリスクが顕在化していることも、BCPが求められる理由として挙げられます。

サプライチェーンにおける最大のリスクは、サプライチェーン内の企業や拠点の業務が止まることで、全体の供給が停止してしまうことです。地震や津波、台風などの自然災害や感染症の流行、テロや戦争などにより取引先や仕入れ先が被害を受けることで仕入れがストップされ、それが原因で最終的にサプライチェーン内の企業が倒産してしまいます。

製造業において1つの製品を製作する場合、部品の多くは社外から調達するケースが多いです。また、その仕入れ先も、他の卸業者から原材料を調達していることもあります。しかし、サプライチェーン内で原料や部品が1つでも欠けると商品は製造できません。

東京商工リサーチの調査によると、東日本大震災に関連した倒産件数は、2011年3月～2018年2月までの7年間で累計1,857件にのぼりました。そのうち、取引先や仕入先が被災したことによる販路の縮小、受注キャンセルが要因となった「間接被害型」の倒産は9割にのぼり、連鎖型の倒産の方が深刻であったという過去の事例があります。

さらにサプライチェーンリスクは、製造業だけでなく、ソフトウェア開発でも同じような危険性が想定されます。

このようなサプライチェーンリスク対策として、BCPの策定が求められているのです。

（1）現状のBCP（事業継続計画）を評価する

まずは、自社の現状のBCPを改めて確認し評価をします。

主なチェックポイントを下表にまとめました。

（2）課題を特定する

次に、前述したチェックポイントにより、BCPとして現状で不足しているポイントを洗い出し、対策すべき課題を特定します。

例えば、チェックポイントで洗い出された自社の不足ポイントが「事業影響分析の精度」と「戦略の有効性」の2点だったとします。この場合、事業影響分析の精度において着目すべきは、自社の事業プロセスの重要度や依存関係を把握しているかという点です。

BCPにおいて、災害発生時に事業継続に最も優先すべき事業を「中核事業」と表します。中核事業とは、具体的には「もっとも売上の高い事業」「市場評価や信頼の維持に重要な事業」などです。

また、人的リソースや原材料や部品数が平常時よりも少ない状況下において、最優先して継続しなければならない事業は何かを特定する必要があります。

このような視点で、自社の中核事業を特定し災害時に優先すべき事業を明確にします。

（3）改善策を検討・実行する

続いて、優先すべき課題を特定した後、改善策を検討します。

例えば、特定された課題が「有事の際に優先すべき中核事業は何か」だったとします。その場合、ひとつの目安として人的・物的リソースが、例えば平常時の30%であると想定し、継続すべき事業、継続可能な事業は何かを特定しましょう。

その上で、具体的に誰が指揮をとり、その指示を受けて誰と誰が実際に作業をするのかなどを細かく決定します。緊急事態といっても、自然災害やサイバー攻撃などケースはさまざまなので、発生する緊急事態ごとに具体的な対応フローを作成しておくと良いでしょう。

緊急事態の種類ごとに対する対策について、下表にまとめました。

出典： 中小企業庁｜「－中小企業等経営強化法－ 事業継続力強化計画策定の手引き」

（4）定期的に見直す

改善策の実行だけでなく、BCPは定期的に見直しをすることが重要です。ただし更新する頻度や実施すべき内容は、企業の規模や特性によって異なります。

BCPの見直しは、以下の条件に基づいて実施することが必要です。

このような、事業の大きな変化がないケースでも、1年ごとの見直しが望ましいとされています。

また、防災訓練が実施された直後に、BCPの見直しをセットで行うこともアイデアのひとつです。それにより、BCPの見直しを忘れることなく定期的な見直しができるでしょう。

（1）リモートアクセス環境の整備

リモートアクセスの環境を整備することも、BCPにおける効果的な対策と言えます。

環境整備の例として、以下のような方法が挙げられます。

2020年に発生したパンデミックにより、リモートワークを採用する企業が増え、2024年現在においても継続している企業が多くあります。

東洋経済ブランドスタジオが2023年8月に実施したリモートワークの実施状況に関する調査によると、「コロナ5類移行以前／以後で変化があったか」との問いに「勤務状況に変化はない」とする回答が全体の61.2%を占めました。

このことから、従業員がリモートで仕事ができるネットワーク環境や、どこからでも社内システムへアクセス可能な業務システムのクラウド化など、リモートアクセスが可能な環境整備もBCPの重要な要素と言えるでしょう。

（2）クラウドベースのデータバックアップと普及

社内の情報資産をオンプレミス型のサーバーで管理している場合、クラウドベース型のストレージへバックアップすることも、BCPの観点で効果的といえます。

クラウド上にバックアップを作成することで、PC内のストレージや社内サーバーを利用せずにデータの複製や保管ができます。それにより、災害の発生時でも安心してデータやファイルを保持できます。

オンプレミス型のサーバーでバックアップを実施しても、地震や火災などの発生によりサーバー自体が破損し、事業継続に重要な情報を失ってしまう可能性があります。

クラウドサービス提供事業者は、国内外の遠隔地に複数のデータセンターを所有しているケースが一般的です。そのため、たとえ1箇所のデータセンターが停止しても、他方のデータセンターでカバーできるため、安全にデータやファイルを保持することが可能なのです。

（3）基幹システムのクラウド移行

基幹システムをクラウド化することも、BCPとして非常に有効な手段です。

クラウドサービスは、一般的に複数のデータセンターへデータを分散して保存可能な仕組みが構築されています。よって、有事の際に一つのデータセンターが停止されても、他方のデータセンターで情報が保護されます。

一例を挙げると、ポイントサービス事業のグリーンスタンプ株式会社は、会計システムとしてERPパッケージ「ProActive」シリーズをオンプレミスで活用していました。サーバー故障を契機に、クラウドERP「ProActive C4」へ2022年に移行したことで、サーバーの老朽化対応やOSの保守切れ対応などの維持管理から開放され、安定的なシステム運用を実現しています。

関連記事： 導入事例｜グリーンスタンプ株式会社

SCSKの「ProActive C4」とは、31年間、国産初のERPとして6,600社、300を超える企業グループの導入実績を持ったERPパッケージです。

これまで、多数のERP導入実績で培ってきた業務プロセスのノウハウ、またSCSKグループの総合力を活かすことで多くの企業の成長をサポートしています。

関連記事： 「ProActive C4」の他社導入事例