第1回：BCPやBCMの基礎と、初動対応・事業継続のための検討事項

自然災害が多い日本では、BCP（Business Continuity Plan：事業継続計画）を策定するうえで、過去の災害事例や想定シチュエーションをもとにして、シナリオベースの対策をとる企業が多くみられます。しかし、近年では、サイバー攻撃や内部不正、システム障害をはじめ、事業継続を阻害する要因が多様化しており、シナリオベースのBCPだけでは対応しきれない場面が増えてきています。

そこで本連載では、企業のBCPやBCM（Business Continuity Management：事業継続マネジメント）、レジリエンスの動向や潮流、日本企業の課題、将来像などについて、解説していきます。

第1回から第3回では、こうしたテーマに興味をお持ちの方、特に、BCPやレジリエンスに今まであまり馴染みのなかった方やこれから勉強したいと思っている方などを対象に、BCPの全体像について基礎的な内容を解説します。BCPやBCM、レジリエンスに関する業務にすでに従事している方にとっても、全体像をあらためて振り返る機会となれば幸いです。

なお、本連載ではBCPとBCMを総称する際に「BCP/BCM」と表現します。また、本稿において意見にわたる部分は、いずれも筆者の私見であり、筆者が所属する法人の見解ではありません。

この記事のポイント

• 「BCP」は、事業活動の中断・停止を防ぎ、また早期に復旧させるために、緊急時に実施すべき対応手順などをまとめた計画のことをいい、「BCM」は、BCPの策定・見直しを含む事業継続に関する平時からの取組みを組織として管理・推進することをいう
• 事業継続対応では「継続すべき重要業務」か「緊急時に停止させる業務」かの事前の識別や分別が重要となる
• 平時から、「重要業務」の遂行に必要な経営資源の洗い出しや、緊急時に修復・代替が困難になると想定される経営資源の識別・特定、「重要業務」の目標復旧時間内に経営資源を調達し機能させる方法、経営資源の再配分の方法などを検討しておくことが求められる

初動対応・事業継続対応の目的と検討事項

BCPやBCMについて検討する際は、緊急事態が発生した後の対応を初動対応と事業継続対応にわけて、それぞれの目的を明確化すると整理しやすいでしょう。

初動対応は、緊急時に、被害の拡大防止を図ったり、従業員や来訪者の身体・生命の健康や安全を確保したりすることが目的となります。一方、事業継続対応は、重要な事業を継続させ、商品やサービスの提供責任を果たし、企業の存続が危ぶまれないようにすることが目的となります。初動対応と事業継続対応では目的が異なるため、対応策を考えるうえでその違いを理解することが重要です。

緊急事態が発生する前の事前対応では、こうした初動対応と事業継続対応に関する分析・検討作業（BCPの策定も含む）が中心となります。これは前述したBCMの活動の一部と捉えることができるでしょう。

初動対応

自然災害など人命に関わるような突発的な緊急事態が発生した場合に、初動対応で特に重要視すべき要素は「安否確認」と「コミュニケーションの確立」です。大規模な震災などはいつどこで起こるのか予想が難しく、休日夜間など従業員同士の直接的なコミュニケーションが取りにくい時間帯に発生した場合、その後の対応が困難になることが想定されます。具体的には、以下のような事項を事前に検討しておくことが求められます。

• 就業時間外に災害が発生した場合に安否確認をどう行うのか
• 安否確認に応答がない、連絡がつかない従業員がいた場合の確認手段はどうするか
• 緊急対策本部のメンバー同士で相談・協議する状態や環境を、休日夜間にどのように確立するか
• 電話・メールなどの通信機能や公共交通機関などが停止している状況下で、会社としての緊急対策本部を、いつ、どこに、どのように設置し運営するか
• 従業員の翌日の出社はどうするか

初動対応を事前にきちんと検討しておくことは、従業員やその家族からすると会社や組織が自分たちのことを守ろうとしてくれていることを再認識できる機会にもなり、業務に従事するうえでの安心感やBCP/BCMを推進していくモチベーションにもつながります。

事業継続対応

事業継続対応では「継続すべき重要業務」か「緊急時に停止させる業務」かの事前の識別や特定が重要となります。「重要業務」とは、企業存続の視点から停止させずに継続する業務、または停止した場合に早期に復旧させなければいけない業務のことで、たとえば、停止した場合に顧客に影響を及ぼす業務（顧客に多大な迷惑をかけてしまう業務など）が考えられます。

「重要業務」を継続させるためには、「重要業務」の遂行に必要な経営資源（要員、情報システム、委託先など）を洗い出して、見える化を図っておくことがポイントです。

「重要業務」の継続が妨げられる事態は、その「重要業務」の遂行に必要な経営資源のどれかが、何らかの原因により損壊したり、正常に機能しなくなったり、制限・不足することによってもたらされます。そのため、「重要業務」の遂行に必要な経営資源を平時のうちから洗い出すとともに、現行の対策のままでは緊急時に修復や代替が困難になることが想定される（ボトルネックとなる）経営資源を識別・特定し、「重要業務」の目標復旧時間内にそれらをどのように調達し機能させる（それ自体を修復する、または代替する）か、あるいは、残っていて使える経営資源をどのように再配分するかなどについて、事前に検討しておくことが求められます。経営者としても、どの経営資源に重点的に投資して対策を行うかを判断するにあたって、ボトルネックとなる経営資源の識別に基づく優先順位付けが重要になります。

たとえば、システム障害やサイバー攻撃などにより、情報システムが停止または使用不能になると、それらの情報システムを用いている重要な事業やサービスが継続できなくなる可能性が考えられます。また、その影響が社外やサプライチェーンにまで及ぶ場合、多くのステークホルダーに多大な迷惑をかけてしまうとともに、会社としての信頼が大きく損なわれてしまうおそれがあるでしょう。

とはいうものの、経営資源の洗い出しやボトルネックとなる経営資源の識別は、言うは易く行うは難しで、事業やサービスの規模と範囲が大きくなるほど現場に負担がかかる作業となります。経営資源の洗い出しについては、本連載の第4回以降であらためて解説します。

※本稿は、「UNITIS」に寄稿した記事です。
※発行元の許諾を得て掲載しています。無断複製・転載はお控えください。
※法人名、役職などは掲載当時のものです。