BCP（事業継続計画）対策とは?
策定する手順やポイントを解説

地震・台風・感染症・国際紛争・テロ・サイバー攻撃と、現在の企業が警戒すべきリスクは実に多様です。事業継続を困難にするほどの有事が生じたとき、組織としてその危機へ効果的に対処するためには「BCP（事業継続計画）」の策定が重要です。本記事では、BCP対策の基本的な意味やメリット、策定のポイントをわかりやすく解説します。

BCP対策とは? 必要な背景について

BCPとは“Business Continuity Plan”の頭文字で、日本語に訳すと「事業継続計画」を意味します。組織の事業継続が困難になる有事が生じた場合に備えて、事業の復旧計画や従業員の安否確認・安全確保の方法をまとめたものです。

BCPが特に日本企業で必要とされる背景としては、日本が災害大国であることが関係しています。地震などの災害によって生じた世界全体の被害金額に対して、日本が占める割合は17.5％に及びます。

参照元：国土技術研究センター『自然災害の多い国　日本』 

さらに昨今では、感染症のパンデミックやテロ、国際紛争、急激な為替変動、巧妙化するサイバー攻撃など、警戒すべきリスクは多岐にわたります。

有事の際に、的確な対応を迅速に行うためには、あらかじめ緊急事態に備えた方策や行動指針を策定しておくことが重要です。

BCPとBCMの違い

BCPと関連する概念としては、「BCM」があります。BCMとは、“Business Continuity Management”の頭文字で、日本語にすると「事業継続マネジメント」という意味です。BCMでは、有事への対応性を高めるために「計画」「実行」「確認」「改善」というプロセスを繰り返します。BCPは先述の通り、「事業継続計画」を意味するので、BCMの一部（計画の部分）にあたります。

BCP対策を実施する5つのメリット

以下では、BCP対策によって期待される５つのメリットを解説します。

1. 事業継続能力の向上

BCPを策定することで、被災時の事業復旧をはじめ、さまざまなリスクへの対応能力を向上できます。企業が有事に遭遇したとき、さまざまな計画やシナリオを事前に想定してBCPを策定しておけば、迅速かつ的確な事業復旧が可能です。

2. 従業員の安全確保

BCP対策をすることで、企業の貴重な人的資源である従業員の安全性を高められます。自然災害が発生したとき真っ先に求められるのは、上辺だけの応援や慰めではなく、物資や食料、そしてお金です。それらを安定的に従業員へ供給するためには、BCPが欠かせません。

3. 取引先からの信頼性向上

2011年に発生した東日本大震災では、被災地に大手メーカーの主要工場が集中していたことにより、多くの企業で操業がストップし、その影響が波紋のように広がりました。国内自動車メーカーにて全工場の生産が再開されたのは1か月以上経過した4月18日でした。その結果、トヨタ自動車では3月の国内生産台数が前年同月比62.7％減と金融危機を上回る過去最大の落ち込みとなりました。

自社工場が被災した影響は取引先にまで及びます。多くの企業はそのことを重々承知しているので、取引先に対する企業評価にBCPを含めている場合があります。つまり、BCPの策定は、取引先からの信頼向上に寄与すると言うことができます。

参照元：東洋経済オンライン『東日本大震災であらわ、自動車メーカーが直面したサプライチェーンのわな』 

4. 地域・社会への貢献

素早く事業を復旧することは、地域や社会への貢献につながります。被災地となった場所の企業が軒並み操業停止に陥れば、自治体にも甚大な影響を及ぼしますが、逆に、企業が操業を継続できれば、それは明るい希望となり、地域全体を活性化します。そして、それが被災からの復旧の早期化に寄与すると言えるでしょう。地域や社会に貢献する意味でもBCPは欠かせません。

5. 企業のブランド価値向上

BCPを策定していること自体が企業のブランド価値を高める要素になります。2016年4月に発生した熊本地震では、東日本大震災を教訓にBCPを策定していた企業が多く、震災直後の復旧がスピーディに行われました。その結果、他企業からの信頼が厚くなり、自社のブランド価値が向上したと感じる企業が多かったそうです。

このように、BCPを策定することは有事の際の復旧を早めるだけでなく、普段のビジネスにも好影響を与えます。

BCPを策定する手順

BCPを策定する際には、以下のようにステップバイステップで進めていくことが重要です。

1. 基本方針の策定

自社が被災する可能性のある自然災害や火災の可能性、その他の細かいリスクを調査、把握、リストアップし、それらが発生した際の影響度や発生確率を踏まえて、BCPの対象とするリスクを絞り込んでいきます。基本方針を作成すると同時に、BCPのプロジェクトチームを編成しましょう。

2. 中核事業（復旧優先事業）の選定

企業のビジネスにおいて中核をなしている事業を十分に検討した上で、非常事態の発生時に復旧を優先すべき事業を選びます。利益に最も貢献している事業や、操業停止によって企業に及ぼす影響が最も大きい事業、市場シェアを維持するのに重要な事業を選ぶのが一般的です。

復旧を優先すべき事業を選んだら、当該事業の復旧に必要なリソース（人・モノ・カネ・情報・サービス・設備）を考え、それらを素早く調達するための計画を立てます。

3. ビジネス影響度分析

想定したリスクが実際に起きた場合、事業がどのような影響を受けるかシミュレーションを行いましょう。その上で、事業活動を復旧するために優先的に実施すべき重要な業務を特定していきます。これがビジネス影響度分析です。

4. 事前対策

復旧すべき優先事業を定めたら、非常事態に備えた具体的な対策を講じます。ここで重要になるのは、「非常事態に際して、事業継続のために重要なリソースが大きな被害を受けないように予防対策を講じること」「非常時に重要なリソースを復旧・確保する方法を把握しておくこと」です。これらのポイントを意識しておくことで、非常事態発生時のダメージを減らすとともに、防ぎきれなかった被害を早期復旧しやすくなります。

① 事業継続のための代替策を検討しておく

中核事業の継続に必要な資源が被災して利用不能になった場合に備えて、以下を確保するための代替手段を検討しましょう。

• 情報連絡の拠点
• 重要施設、設備
• 臨時従業員（被災生活支援と事業復旧の２通り）
• 電気、ガス、水道を代表とする各種インフラや通信手段

② 事前対策を検討・実施する

会社の中核事業に必要な資源や被災した際の被害、財務状況を分析した上で、目標復旧時間内に事業を復旧するための事前対策を検討しましょう。中核事業を継続するために必要なリソース（人・モノ・カネ・情報）を災害の影響から保護したり、代替措置を講じたりするための対策を具体的に検討します。事前対策は、ソフトウェア対策、ハードウェア対策、情報システム対策の3種類に大別できます。

＜ソフトウェア対策＞

• 避難計画を作成する
• 従業員連絡リストを作成する
• 防災に関する従業員教育をする
• ハザードマップを調べる　他

＜ハードウェア対策＞

• 施設を耐震化する
• 棚を壁に固定する
• 防災用具を購入する　他

＜情報システム対策＞

• システムのバックアップ/DR対策を講じる
• リモートワーク関連システムの拡充（具体例：Web会議やビジネスチャットなど）
• クラウドソフトウェア（SaaS）利用を検討する　他

通常、ハードウェア対策はソフトウェア対策に比べて、多額の費用が必要とされています。会社には予算上限があるため、まずはソフトウェア対策を確実に実施し、ハードウェア対策については本業での利益が出た際にそれを少しずつ充当し、数年間程度をめどに対策完了を目指すのが現実的な方法です。その場合、以下の観点で各対策の優先づけを行いましょう。

• 中核事業が被害を受ける可能性の高い災害向けの対策
• 想定した災害によって被害が予想される中核事業の必要資源向けの対策

また、昨今ではコロナ禍をきっかけに多くの企業でリモートワークが導入されました。自宅やリモート環境においても普段と変わらないビジネスプロセスを実践できるようにすることは、非常に有効なBCP対策です。リモート環境を整備するには、業務システムだけでなく、コミュニケーション・コラボレーション用のツールやストレージに関しても事前にクラウド化しておくことが求められます。

5. BCP策定

BCPを発令する基準を明確にした上で、発令時の体制を整備しておきます。BCPは一度策定して終わりではなく、ビジネスの状況に応じて適宜修正を加えたり、情報を最新の状態に維持したりする必要があります。定期的なチェックを実施して、継続的に改善していきましょう。

BCP対策を実施する際の重要なポイント

BCP対策を実施する際には、以下のポイントを意識します。

1. 経営者層が率先して自社独自のBCP対策の指揮をとる

BCPの策定・運用体制の確立はすべての企業にとって最重要の経営課題であり、経営者やリーダー自らが強いリーダーシップを発揮して推進することが求められます。経営者は自ら陣頭指揮をとるつもりでBCPの策定、理解と運用推進に取り組みましょう。

2. 企業の規模や業務の役割分担に応じた人選をする

BCP対策は、全社的なプロジェクトとして考えるのが基本です。そのため、あらゆる部門がBCP策定に関与し、連携を深める必要があります。総務、財務、人事・労務、技術、営業、情報システム、顧客サービスそれぞれの部署からサブリーダーを参画させ、各部署の役割や業務内容を考慮した上で最適なBCP対策を講じます。

3. 取引先企業や協力企業と連携し策定する

中小企業では、日常的に業務を分担し、情報交換や助け合いをしながら事業を営んでいます。緊急事態発生時のBCPにおいても、取引先企業や協力企業との連携は不可欠な要素です。BCPに関する意見交換や認識合わせを定期的に行い、基本方針や対応方法を共有しておけば、有事の際にスムーズに協力体制を築けます。

4. BCPの策定・運用推進に取り組んでいることを全従業員に周知する

BCPの運用推進は全従業員が対象になります。実際に緊急事態が発生した際には、従業員の行動が計画の成否を左右します。そのため、BCP運用に対して従業員の参加意識を高めることが大切です。

BCP対策の普及が進まない４つの理由

帝国データバンクの調査によると、2023年時点でBCPを策定済みの企業の割合は18.4％に過ぎません。策定中や策定を検討中の企業を含めても48.6％という結果で、BCPに取り組んでいる企業はそれほど多くないのが現状です。以下では、BCP対策の普及が進んでいない理由を解説します。

参照元：事業継続計画（BCP）に対する企業の意識調査（2023年） 

1. 重要性・必要性が認知されていないため

BCP対策の普及が進まない理由としては、その重要性や必要性が十分に認知されていないことが第一に挙げられます。帝国データバンクの調査結果によると、特に中小企業においてその傾向が顕著に見られます。BCPの策定をしていない理由として「必要性を感じない」ことを挙げている中小企業は21.6％に達し、大企業に比べて7.2%も高い結果です。企業全体で見ても、20.9%の企業がBCPの必要性を感じておらず、BCPの普及を阻害する大きな要因になっています。

参照元：帝国データバンク｜事業継続計画（BCP）に対する企業の意識調査（2023年） 

2. 策定のスキルやノウハウがないため

BCPの必要性は感じていても、策定のスキルやノウハウが不足していることがネックになっています。実際、帝国データバンクの調査では、大企業の47.6%、中小企業の41.4%がBCPを策定しない理由としてこれを挙げており、BCPの実施を阻む最多の要因であることがわかります。

参照元：帝国データバンク｜事業継続計画（BCP）に対する企業の意識調査（2023年） 

スキルやノウハウの不足を補うためには、中小企業庁の「中小企業BCP策定運用指針」を参考にするのがおすすめです。ここではBCPの策定を支援するコンテンツが提供されています。

参照元：中小企業庁｜中小企業BCP策定運用指針 

3. BCP対策のための人手が不足しているため

帝国データバンクの調査によると、BCPの策定をしていない理由としては「策定する人材を確保できない」（30.8%）、「策定する時間を確保できない」（26.8%）が2位、3位で続いています。日常業務や喫緊の事業課題が目の前にある中で、将来の潜在的リスクへの対策であるBCPへ貴重な人的・時間的リソースを割く判断をするのは容易ではありません。効果的なBCPを策定するには、状況の変化に応じて継続的なブラッシュアップが必要になるため、それが重荷となる傾向にあります。

参照元：帝国データバンク｜事業継続計画（BCP）に対する企業の意識調査（2023年） 

4. 法律によって義務化されていないため

一般企業の場合、法律によって義務化されていないことも、BCP対策が進まない理由として挙げられます。先述のように、さまざまな障壁がある一方で法的な義務がないとあれば、BCP対策に踏み切れない企業が多いことは不思議ではありません。

ただし、介護業では2021年の介護報酬改定によって、2024年4月からBCPの策定が義務づけられました。そのため、将来的には一般企業でもBCP策定が義務化される可能性はあります。

BCP対策のはじめの1歩はBox「オンラインストレージ」で

システム面でのBCP対策としては、クラウド化がおすすめです。クラウドサービスの導入は、有事の際に企業のシステムやデータに被害が出るリスクを減らします。また、リモートワークの導入が進み、オフィスが被災しても業務を継続しやすい仕組みを作れます。平常時にも、働き方改革や業務効率化、コスト削減に寄与します。

しかし、すべてのシステムを一度にクラウド化することは、企業にとって容易ではありません。そこで、最初の1歩としておすすめなのが、ストレージのクラウド化です。特にクラウドストレージサービス「Box」の導入は、BCP対策として大きな力を発揮します。

Boxは、複数のアクセス権限を付与する機能を備えており、フォルダの作成や閲覧権限を容易に管理できます。これにより、誤ってフォルダを削除するなどの人為的ミスや、情報漏洩のリスクを減らし、データを安全に管理することが可能です。また、Microsoft Office 365やGoogle Workspaceといった既存の業務アプリケーションやシステムとも連携でき、導入のハードルが低いことも魅力的な点です。さらに、Boxは高いセキュリティを誇るので、サイバーテロへのBCP対策として大きな効果が見込めます。

このように、Boxの導入は企業のBCP対策として非常に有効な手段です。

まとめ

今日、企業を取り巻くリスクは非常に多様化しており、BCP対策の必要性は高まっています。スキルやノウハウ不足をはじめ、BCP対策にはいくつもの障壁がありますが、できるところから順番に着手していくのが大切です。その際、クラウドストレージ「Box」の導入は、容易に導入できて効果が大きいBCP対策としておすすめです。