ナレッジ

緊急事態に備えるBCPとは?策定しておかなくて大丈夫?

昨今の自然災害やサイバー攻撃の頻発を受けて、企業のリスク管理能力が改めて問われています。緊急事態に備えた「BCP」。言葉は聞いたことがあっても、その重要性や内容を知っている方は少ないのではないでしょうか。まずは自社の取り組みを振り返ってみませんか?

BCPとは

BCPとは、Business Continuity Planの頭文字をとった略称です。日本語では「事業継続計画」と訳されます。

企業が自然災害やテロ攻撃、システム障害、パンデミックといった緊急事態にさらされた場合に備えて、中核事業の継続あるいは早期復旧を可能にするための方策を用意し、その戦略等をあらかじめ決めておく計画を指します。企業の危険管理の一環として注目を集めています。

緊急事態はいつ発生するか予測できません。迅速かつ適切な対応ができなければ、復旧が遅れ製品やサービスの供給が停滞し、その結果、顧客の流出や経営状況の悪化、最悪の場合は倒産を余儀なくされるおそれがあります。また、サービスの提供が滞ることで、取引先の経営にも影響を与える観点から、取引時にこうした状況を回避するためには、BCPを策定し、平常時から入念な準備をしておくことが重要になります。

国内企業のBCP策定状況

果たしてどれだけの企業がBCPを策定しているのでしょうか。日本国内の企業の状況を見ていきましょう。

内閣府は、平成30年2月から3月にかけて、国内企業を対象に、BCPの策定状況を調査しました。以下のグラフは、その結果を大企業と中小企業に分けて示したものです。

「平成29年度企業の事業継続及び防災の取組に関する実態調査(内閣府)」データより作成

グラフからわかるように、大企業の6割強、中小企業の3割強が既にBCPを策定しています。また、作成途中もしくは策定予定のある企業を含めると、大企業では9割強、中小企業では7割強にも上ります。

また、BCPの策定率は年々増加傾向にあり、平成23年度の調査結果と比較して、大企業で約1.4倍、中小企業で約1.5倍に増加しています。

これらのことから、BCPの策定は、大企業を中心に策定が進み、中小企業へも普及が進んできている状況であるとわかります。

BCPを策定するメリット

多くの企業が進めているBCPの策定は、もちろん緊急事態発生時の損害を最小限にとどめるうえで効果的ですが、実は、平常時の事業においても以下のようなメリットがあります。

・企業価値・信頼の獲得
・重要業務の把握と経営改善

企業価値・信頼の獲得

BCPを策定していると伝えることで、株主や取引先、消費者、従業員などから、緊急事態時の事業継続のための備えが行き届いている企業であるという評価を得ることができます。また、取引先には、緊急時でも製品やサービスの供給が継続または早期復旧するという安心感を与えます。これらは、企業価値を高め、信頼を獲得するうえで非常に有効です。

重要業務の把握と経営改善

緊急事態時における事業継続のための方策・戦略を検討することで、優先すべき事業の絞り込みや重要業務、資源、プロセス等の優先順位の把握ができます。そのため、BCPの策定は、平常時の経営改善にもつながります。

BCPの策定方法

このように、複数のメリットがあるBCPですが、具体的に何を定めておくべきなのでしょうか。定めておくべき項目を理解しておけば、効率よくBCPを策定することができます。

BCPの策定では、次の4つについて検討・決定します。

① 基本方針(BCPの目的)
② 守るべき中核事業と業務および水準目標
③ 事前対策
④ 緊急時の体制

基本方針(BCPの目的)

BCPを策定するにあたり、「何を目的としてBCPを策定するのか?」を検討し、基本方針を決定しておくことが必要です。本来の目的から外れたBCPの策定を防ぐためにも、この基本方針は重要な意味を持ちます。

守るべき中核事業と業務およびその目標水準

緊急事態時には、投入できる人員や資機材等の経営資源が限定されるため、すべての事業および業務を平常時の水準で継続することは、非常に困難になります。

そこで、業務が停止した際の影響(ダメージ)の大きさを評価し、優先的に守るべき中核事業およびそれに付随する業務、その目標水準としての業務復旧までの時間等をあらかじめ定めておく必要があります。

事前対策

企業活動に影響を与えうる緊急事態の発生時を想定し、現在の体制・対策で定めた目標水準を達成することが可能かを検討します。達成が不可能な場合、その具体的な障壁を洗い出し、取り除くための追加の事前対策を決定・実施します。

実効性の高いBCPを策定するためには、より多くの事象を想定し、具体的なシミュレーションを行っておく必要があります。

緊急時の体制

BCPでは、実施する対策だけでなく、BCP発動時の体制も決定しておきます。

緊急事態時には、初動対応や復旧活動など、企業としてのさまざまな対応が要求されます。それぞれの対応ごとに具体的な内容や責任者および代理責任者を定めておきます。

策定における注意点

BCPの策定には注意点があります。それは、一度策定すればそれで終わりというわけではないということです。

株式会社NTTデータ経営研究所が行った調査によると、2018年7月の西日本豪雨と同年9月の北海道胆振東部地震の際に、実際にBCPが発動した企業は、被害を受けた地域に拠点を持つ企業のうちの3割にも満たないといいます。また、BCPが発動したと回答した企業のうち、約4割が自社のBCPに問題点があったと指摘しています。

その要因としては、以下の理由が考えられます。

・BCPの策定時には想定できていなかった事態が発生した
・組織や事業の変更に伴ったBCPのアップデートがされていなかった
・策定したBCPが対応者に共有されていなかった

そのため、有効なBCPの維持を実現するためには、策定したBCPを継続的に見直し、常に最新の内容のものへとアップデートしていくこと、策定したBCPの共有と実行能力の獲得を目的とした教育・研修を行っていくことが重要です。

BCPを策定してみる

BCPの策定を検討するにあたり、まずは、自社の事業継続能力の現状を把握しておくことをおすすめします。現状を把握することで、どの段階からBCPの策定・運用に取り組むべきかがわかります。

中小企業庁は、「中小企業BCP策定運用指針」において、企業の事業継続能力を診断するためのチェックシートを公開しています。項目ごとに自社の取り組みを確認していくことで、事業継続能力をチェックすることが可能です。

引用:1.3 BCP取組状況チェック(中小企業庁)

このチェックシートを用いることで、人的資源、物的資源、資金的資源、情報的資源、体制等のどの対策が進んでいて、逆にどこが進んでいないのか、自社の事業継続能力の現状を明確化することができます。

また、「中小企業BCP策定運用指針」では、BCPのフォーマットやテンプレートが、BCPの策定・運用方法についての具体的な説明とともに公開されています。BCPの策定を検討する際は、ぜひ活用してみてください。

BCPのカバー範囲は広がる

これまでのBCPは、自然災害、特に地震を想定したものが一般的でした。 しかし、近年ではサイバー攻撃などのリスクが脅威を増してきており、BCPのカバー範囲は広がりを見せています。

警察庁の発表によると、令和元年度上半期、情報の窃取を意図したサイバー攻撃の報告件数は、標的型メール攻撃だけで約2700件にも上ります。平成26年度からの4年間で約4倍にも増加しています。

サイバー攻撃によるリスクは、地震などの自然災害と異なり、影響が局所的でその範囲が不明確であるという特徴があります。したがって、事象の認知自体が難しく、事象の発生後に影響の範囲と復旧が必要となる個所を特定する必要もあるため、対応が遅れてしまう可能性があります。また、情報漏洩が起こってしまった場合、賠償金の請求や社会的制裁の追及にもつながります。
少し注意が必要なのは、サイバー攻撃時に生じる情報漏洩は、外からの攻撃だけでなく、社内からの情報持ち出しというケースも存在します。社内へのリスク対策も見落としてはならない、リスクです。

それだけでなく今後は、新型コロナウイルスのような感染症発生時の備えも必要になってきます。更に長期間営業が出来ない状況にも絶えうる財政のリスクマネジメントなどBCPの範囲は多岐に渡ります。ぜひ、一度自社の直面しうるリスクを洗い出し、幅広いリスクを想定したBCPになっているのか確認して置きましょう。

デジタルリスクラボ編集部


デジタル化社会の新しいリスクの解決メディアとして運営。
デジタルリスクラボに関する詳しい情報は、こちら