BCP（事業継続計画）とは？

BCPとは、「Business Continuity Plan」の略称で、「事業継続計画」と訳されます。大規模な災害や感染症の流行などの緊急事態発生時においていち早く事業の復旧を試み、ビジネスの継続を目指すための計画です。
「事業継続計画」という言葉の通り、主目的は「緊急事態下においても事業を継続させること」であり、特に有事の事後対応策に主眼を置いたリスクマネジメントの手法です。
事業継続に関わる国際規格として、「ISO 22301」という認証制度があります。
ISO 22301は、2012年に初版、2019年に最新版が発行されています。2012年版ではBCP、BCM、そして次章で解説するBCMSについて定義されていましたが、2019年版ではBCMとBCMSの用語が割愛され、BCPのみの内容に変わりました。

BCPについては、ISO 22301：2019で以下のように定義されています。
「事業の業務の中断・阻害に対応し、事業を復旧し、再開し、あらかじめ定められたレベルに回復するように組織を導く文書化された手順」
ISO 22301の定義にあるように、厳密に言えばBCPは事業継続計画を「文書化」したものを指します。後述するBCM（事業継続マネジメント）をアウトプットした成果物と認識すると良いでしょう。

介護業では2024年からBCPの策定が義務に

介護報酬の改定に伴い、2024年4月1日から介護業（介護サービス事業者）にBCPの策定が義務付けられました。

感染症や災害が発生した場合であっても、必要な介護サービスを継続的に提供できる体制を構築するため、業務継続に向けた計画の策定の徹底を求める観点から、感染症若しくは災害のいずれか又は両方の業務継続計画が未策定の場合、基本報酬を減算する。【告示改正】
引用：令和6年度介護報酬改定における改定事項について｜厚生労働省

介護サービスは、利用者はもちろん、その家族の生活にも不可欠なものです。だからこそ、もし感染症や災害が発生したとしても安定的かつ継続的なサービス提供が求められます。
そこで厚生労働省はBCPの策定を義務化し、さらには策定をサポートするため介護施設・事業所における業務継続ガイドラインを作成しています。

関連記事

BCPと防災の違い

BCPとよく混同されがちなものに「企業防災」があります。
企業防災とは、災害などの発生時に従業員や関係企業、取引先や顧客などの安全を守るための災害対策全般を指す言葉です。個人レベルの防災とは異なり、企業としての社会的責任を果たすために極めて重要になります。
BCPがあくまでも「災害発生後の事業継続」を目指すアプローチであるのに対し、「防災」と定義されるものは「災害発生時の被害を最小限に留める」点が異なります。

BCM（事業継続マネジメント）とは？

BCMの歴史

BCMという考え方が生まれたのは、1970年代のIT業界と言われています。
その当初は、自然災害や障害による影響を受けた情報システムの復旧が主な目的でした。しかし2000年代になると、テロやパンデミックなどの新たなリスクにも適応することが求められ、危機管理の幅が広がりました。
そして現在は、BCPとともに事業継続の策定・改善・運用にアプローチする包括的なマネジメントとして認知されています。

BCMの具体例

BCMの具体例には、以下のようなものが挙げられます。

緊急事態が発生した場合でも、こうした準備を整えておくことで、事業を継続するための迅速で的確な対応が可能となります。

BCP・BCMの重要性とは？

緊急事態の発生時に早急な対応をするため

近年、豪雨や地震などの自然災害の発生頻度が高まっています。ひとたび災害が発生すると、被害対応のために必要なヒトやモノをはじめとするさまざまなリソースが被災地域全体で不足します。こうした予測不能な緊急事態において企業に求められることは、迅速な対応力です。被害状況の把握をはじめとした緊急時の対策に遅れが生じると、必要なリソースが入手できなくなる可能性があります。事業を再開できるようになっても営業シェアが減少するなど、企業活動に大きな影響が及ぶこともあるでしょう。
緊急時にどのような対応を行うのかといったルールや実施体制をあらかじめ決めるなどして、BCPやBCMを充実させておく必要があります。

従業員や顧客などの安全確保をするため

自然災害やパンデミック、事故やテロ被害など、重大な事案が生じた際に何よりまず優先すべきなのは安全確保です。従業員だけでなく、取引先や顧客などの関係者、近隣住民の人命を守るための仕組みづくりが求められます。

有事の際に従業員一人ひとりが当事者として迅速に行動できるようするためにも、判断基準と行動手順などのルールを記載したBCPをいつでも確認できるような準備が必要です。また定期的に訓練を行い、避難経路の確認や避難方法、安否確認の方法といった具体策をまとめておくと、いざという時に役立ちます。

顧客や取引先からの信頼を獲得するため

BCPとBCMに取り組むことは、企業としての信頼向上に直結します。自然災害やサイバー攻撃などの危機に対する備えが整っていることは、顧客や取引先からの高い評価を得ることにつながります。また、緊急時にBCPに沿って迅速に対応し乗り越えることができれば、企業としてのブランド価値向上も期待できます。
また、今日のビジネスにおいて、自社だけで事業を成立させることは難しく、原料や部品の調達、製品の製造・流通に至るまで多くの場面でさまざまな事業者の協力が欠かせません。
そのため、BCPとBCMの取り組み状況を積極的に開示することは、取引先との信頼関係を強化し、平常時のビジネスを安心して行う材料にもなります。

企業データや機密情報の損失を防ぐため

企業は、紙媒体やデータなど、さまざまな形で情報を保有しています。
BCPやBCMに取り組んでいない場合、災害発生時に重要なデータや機密情報の損失、または外部へ漏洩する恐れがあります。このような情報資産の損失は、たとえ事業を再開できたとしても、企業の信用を著しく損ない、事業継続を危うくする重大な要因となります。
こうした背景から、BCPとBCMに取り組むことは、情報やデータなど企業の資産を守るためにも重要と言えます。

国内外で重要視されつつあるため

企業のBCP・BCMへの対応が重要視されるようになったのは、2001年のアメリカ同時多発テロ事件、いわゆる「9.11」がきっかけと言われています。この事件を機に、突発的な事態が起きても事業を継続させることがいかに重要であるかが注目されるようになりました。
自然災害が頻発する日本においても、2005年に「事業継続ガイドライン」の第一版が内閣府から公表され、企業においてもBCP策定を強く推奨されるようになりました。その後、大災害が生じる度にその教訓を反映して改定され、実用性の向上や普及、安全確保の強化などが盛り込まれていきました。
頻発する自然災害はいつ、どこで起きても不思議ではありません。中小・零細企業においても事業継続についての備えを充実させておくことは、社会に貢献するサプライチェーンの一員としての役割と言えるでしょう。

BCP・BCMを構築する方法

ここでは、BCP（計画立案）とBCM（運用の仕組み）を構築する手順について、順番にご紹介します。

1.BCP・BCMの基本方針を決定する

まずは、BCP・BCMの基本方針を決定するところからはじめます。その際、自社の事業目的や、社会の一員として果たすべき使命を明確にして、事業継続の本質的な意義を見つめ直しましょう。経営理念や基本方針を振り返って「事業継続の目的」を明らかにし、BCP・BCMの実行可能性を高めていきます。

2.重要業務の特定とリスク分析を行う

次は、自社にとって最も重要な業務と、その業務への影響が想定されるリスクを洗い出す段階です。
まず、企業として災害時に優先的に継続しなければならない活動を「中核事業」に位置付けます。一例として、「スケジュールの遅延による損害が甚大な事業」「売上に大きく影響する事業」「社会からの評価を左右する事業」といったように考えると良いでしょう。非常時に十分なリソースがない状況でも、継続しなければならないことも中核事業に当てはまります。目安のひとつとして「リソースが7割不足していても継続が必要」と考えられるか否かで判断してみることをおすすめします。

そして、想定すべきリスクを分析します。最悪の事態が起こった際に「企業にとって起きると困るリスク」がどういったものかを明確に言語化することが大切です。自社のリソース（人、モノ、カネ、情報）などに及ぼす被害状況も可視化しておきます。このように、リスクをすべて洗い出してから具体的な対策を検討するステップにつなげます。

3.リスクに優先順位をつけて、計画を立案する

各業務がどのようなリスクを抱えているかを把握してから、具体的にどのように対策していくかを考えます。

緊急時に十分なリソースがない状況下では、想定しているすべてのリスクに対応することは現実的ではありません。そのため、リスクに優先順位をつける必要がありますが、ポイントはリスクの「深刻度」や「発生頻度」といった影響の度合いです。

そして、優先的に継続する業務とそれぞれの復旧時間、指揮系統や行動マニュアルといった具体策を計画していきます。「災害発生すぐの状況把握」「代替手段での応急対応」「平常業務までの復旧作業」という3つの段階に分けて計画するのがセオリーです。

4.計画書を作成する

上記の項目を「事業継続計画書」としてまとめます。
計画書は、データや紙のファイルなどのいくつかの方法で閲覧できるようにしておきましょう。クラウド上にデータを保管しておくといつでもどこからでも閲覧できて便利ですが、紙での保管も重要です。非常時には「停電や充電切れでパソコンやスマートフォンが使えない」「通信障害でネットワークにつながらない」という状況になる可能性が高いためです。紙のファイルを従業員一人ひとりに配布したり、チームや部署ごとに所定の場所に保管したりするなどして備えておきましょう。

5.BCP・BCMを定期的に更新する

「経験のない災害時にどう行動するか」を計画したBCP・BCMは、はじめから完璧に構築できるものではありません。もしもに備えて検討を慎重にするあまり計画の完成が遅れると本末転倒だからです。災害訓練や他地域の被災経験などから学び、定期的に見直して充実させていくという考え方が大切です。

さらに、経営状況や戦略により事業内容や組織体制が変化することもあります。ITやテクノロジーの進化によって業務オペレーションが変わることもあります。自社の現状に合わせてBCP・BCMの内容を改訂し、社内に浸透させていく必要があるでしょう。

BCPを構築・運用する際のポイント

こまめに評価・改善する

最初から完璧なBCPの構築を目指す必要はありません。完璧を目指そうとすると途中で挫折するリスクがあるうえ、内容が複雑になりすぎて、いざというときに運用できなくなる可能性があります。まずは実現可能な範囲でBCPを構築しましょう。
そして、BCPは一度構築したら終わりではありません。企業をとりまく環境や企業規模、事業内容などが変われば、内容の見直しが必要になるでしょう。そのため、緊急時を想定したうえでこまめに内容を検証・評価しましょう。またBCPに沿った災害対応の経験がある場合は、その経験で得た反省点なども踏まえて改善するようにしましょう。

運用ルールを明確にする

BCPを効果的に運用するには、ルールを明確にしておくことも重要です。特に、BCPの発動基準や実行時の連絡体制、情報共有の方法などを具体的に決めておくと良いでしょう。
また、従業員一人ひとりの役割を明確にしておくことも重要です。
基本的にBCPが実行される際は緊急事態下にあり、冷静な判断ができなくなる可能性が高いため、前もって「誰がどの担当チームに所属するのか」「各チームは何を行うのか」といったことを明確にしておくと良いでしょう。
こうした運用ルールを決めておくことで、従業員は自らの役割を理解したうえで迅速かつ適切な行動をとれるようになります。

社内で周知・教育する

緊急時、迅速かつ適切にBCPを実行するには、日頃から従業員のBCPに対する理解と意識を高めておくことが重要です。そのためには、BCPについて周知・教育を目的とした研修やディスカッション、理解度テストなどを積極的に行うことをおすすめします。

BCMを構築・運用する際のポイント

BCMは、以下のポイントを押さえて構築・運用しましょう。

BCMの運用自体が目的にならないようにする

BCMの運用自体が目的化してしまうと、いざというとき適切な行動がとれなくなりリスクがあります。
BCMの本質的な目的は、非常事態下で事業継続に向けた対策手段を確実に実行することにあります。そのためには、緊急時にBCPを適切に運用できる体制を整えておく必要があります。そのため、現場の意見を取り入れ、「実効性の確保」という観点から定期的に仕組み全体の見直しと改善を行うことが重要です。

経営層が率先して社内の意識向上を図る

BCMは重要な経営判断に関係することも多いため、経営層が主体的に取り組むべきものです。
非常事態下では、組織全体での統制のとれた対応が不可欠です。そのため経営層には平常時から、全社的な危機管理意識の醸成と体制を確立するリーダーシップが求められます。具体的には、BCPに関する研修や訓練などの重要性を経営層主導で呼びかけることで、組織全体の危機管理意識向上にもつながるでしょう。

企業の存続に関わる事業を優先する

感染症や災害などが起きた場合、復旧を経てもすべての業務を従来通りに行うことは難しいかもしれません。その場合、事業の取捨選択を迫られる可能性もあるため、企業の存続に関わる事業を優先するようにしましょう。
優先すべき事業は企業によって異なりますが、基本的には「自社の財務状況に影響を与える」「ブランドイメージにかかわる」などの特徴を持つ事業を優先するのが望ましいと言えます。

BCP・BCMの事例

ここでは、実際にBCP・BCMに取り組んでいる企業の事例をご紹介します。

大型ショッピングセンターやスーパーを展開するA社は、東日本大震災以降、BCPに基づいた防災対策に取り組んでいます。具体的には、情報インフラの整備、全国各地の施設における安全・安心対策の強化、外部連携の強化とシステム化などを進めています。
とくに外部連携の強化に関しては、安全・安心な地域づくりのため、全国780を超える自治体や外部パートナーと災害発生時の協力体制を確立しています。

合成樹脂の設計・開発・製造・販売を手がけるB社は、東日本大震災をきっかけにBCMを構築しました。具体的には、耐震構造の本社管理棟の建設、大型自家発電機の設置、倉庫の分散、情報関連の外部データセンターへの委託などを進めています。
包装資材・緩衝材の設計を手がけるC社は、感染症の拡大をきっかけにBCMを構築しました。具体的には、災害を想定した机上訓練、ガラスの飛散防止、定期的な活動報告会議などを進めています。
BCMに取り組むようになってから、仕入れ先との連携が強化され、安定受注につながっているようです。

BCMS（事業継続マネジメントシステム）とは？

あわせて押さえておきたい「DR」と「DRP」も解説！

DR（災害復旧）とは

DRとは「Disaster Recovery（災害復旧）」の略語で、自然災害やテロの発生、ハッキングなどのさまざまな被害を想定し、迅速に復旧するための体制を整えることを指します。特にシステム運用の領域で用いられる概念であり、災害に起因するサーバーエラーやシステム障害などのリスクを回避するための方法を考慮するものです。
例えば「データのバックアップを常時取り続けるツールの導入」や「バックアップからのリカバリ地点や作業時間の目標設定を行う」などが該当します。

DRP（災害復旧計画）とは

DRPとは「Disaster Recovery Plan（災害復旧計画）」の略語で、前述したDRを実施・運用するための計画を指します。BCPと同じく「復旧のための計画のポイント」を示したものであり、特にシステム運用やデータ管理といった領域で重要となるものです。
具体的には「災害発生時に取るべき対処法」といったものから、「災害レベルに応じた対応のフロー策定」「想定される障害別のオペレーション」などの細かな内容までを包括しており、事前に策定しておくことで有事の時のリスクを軽減することにつながります。DRPの策定は、BCPを考えるうえでも欠かせません。

まとめ