ビジネス継続計画（BCP）とは？

ビジネス継続計画（BCP）とは？

ビジネス継続計画（BCP）は、予期しない支援の危機下でも業務を継続できるよう、各種手順をまとめた計画です。これは、災害復旧計画よりも広く、顧客、従業員、資産、パートナー、業務プロセスなど、企業が直面するあらゆるリスクへの代替策を含みます。

多くの場合、計画には備品や物資の管理、データの保護、支援拠点の集約が含まれ、責任者や緊急時の対応担当者、キーパーソン、支援拠点の連絡先も記載されます。また、短期および長期の停電時に業務を継続するための手順も盛り込まれることがあります。

‍

ビジネス継続計画は重要か？

BCPの重要性は、その目的と役割にあります。ビジネス継続計画の主な目的は、大小さまざまな災害が企業に与える影響に備え、業務を止めないようにすることです。BCPは、企業が危険や混乱の中でも業務を続行するために不可欠です。万が一業務が中断すれば、経費の増加や売上の損失につながるため、防御だけでは全てをカバーできないという理由からも非常に重要です。

‍

ビジネス継続計画の歴史

1970年代、BCPは災害復旧計画から分離され、銀行や保険会社などの金融機関が資産を確保する一環として取り入れられるようになりました。サーバーのテープはPCとは別の安全な場所に保管され、火災、洪水、暴風雨などの自然災害が発生すると復旧作業が始まりました。1980年代には、PC関連企業が災害復旧対策として取り組むようになったものの、焦点はIT復旧に限定されていました。

1990年代には、企業のグローバル化とデータアクセスの普及により、事業継続全体のプロセスが広く検討され、災害復旧を超えた対策が求められるようになりました。綿密なBCPがなければ、顧客や市場シェアを失うリスクが高まることを認識し、複雑な意思決定プロセス、適切なアプリの選定、引き継ぎ手順、重要なデータの管理などが求められるようになりました。

現代の企業は、サイバー攻撃によって業務停止やITシステムへの深刻な影響を受けるリスクに非常に敏感です。さらに、ハイブリッド環境や急激な変化は予期せぬリスク、欠陥、攻撃、不満を招く可能性があります。ビジネス継続計画は、こうした複雑なサイバー災害から企業を守るためのデジタル回復力を構築する必要があり、リスクの評価、主要なアプリやデータの保護、即時の復旧または適切な妥協策の実施方法が組み込まれています。

‍

ビジネス継続計画と災害復旧計画

ビジネス継続計画と災害復旧計画の比較では、大きな違いが明らかになります。これにより、企業が災害に備えるためには、両方の対策を整える必要があることが示されています。

災害復旧は、災害発生後にデータアクセスやITシステムを復旧させることに重点を置くのに対し、ビジネス継続計画は災害中も業務を維持することに重きを置いています。前者は厳しい状況下でも店舗を開き続ける手段であり、後者は迅速な業務再開に焦点を当てています。

災害復旧策は、ビジネス継続計画とは異なり、火災訓練の実施や危機時の備品準備など、従業員の安全対策を強化することも含みます。両方を統合することで、企業は業務を支えながら従業員の安全を確保できます。

災害復旧とビジネス継続はそれぞれ異なる目的を持ちます。効果的な災害復旧計画はシステムの予期せぬ停止や無駄なリソース消費を防ぎ、優れたBCPは機能停止の時間を最小限に抑えます。両方を連携させることで、企業は厳しい状況に備えることが可能です。

非常時には、BCPにより専門機器、連絡先、サーバーなどが動作し続けるよう努め、災害復旧計画は事故後に通常業務を再開できるよう支援します。つまり、災害復旧は物事を元に戻すことに重点を置く一方、ビジネス継続は稼働を維持することに重きを置いています。

成功するビジネス継続計画の要素

ビジネス継続計画は、各状況に応じた対応策と、誰が決定を下すのかを明確にするための体制・準備を示します。以下の要素は、成功するBCPのテンプレート作成に役立ちます。

1. 組織体制を整える

危機時に誰が決定権を持つか混乱しないよう、明確な指揮系統を構築してください。

経営層、IT、オペレーション、営業、実務、広報、人事、財務、その他の支援部門からメンバーを選出し、統括組織を設置してください。

災害対応、広報、現場対応、業務調整など、各業務に特化したチームも整備してください。

2. 対応方法を策定する

停電、感染症の流行、火災など、企業に起こり得る業務中断のリスクを把握してください。

多数のシナリオを検討するのではなく、最悪のケースを想定して対応策を立てるようにしてください。

重要な業務は何か、誰が担当するか、主要な人員が不在の場合の業務継続方法を決めてください。

長時間の停電時に従業員が利用するオフィスのシステムも明記してください。

定期的に、重要なシステム、企業のニーズ、リスク、運用環境などの変化に応じて計画を見直してください。

3. 計画を評価する

災害復旧テスト、非常通信、セキュリティ手順、オフィス復旧計画などを毎年実施してください。

アプリの可用性や従業員の安全確保など、目的に合わせたテストの結果を評価し、必ず改善に努めてください。

4. 緊急連絡計画を整備する

迅速に連絡が取れるよう、緊急連絡手段を計画に組み込んでください。

従業員、外部協力者、顧客、サプライヤー、メディア、経営陣など、緊急連絡に関わる全ての関係者とその連絡先情報を整理してください。

すぐに伝達でき、分かりやすい連絡文を作成してください。

5. セキュリティ対策について周知する

危機時の対応方法や支援を受ける手段について、従業員向けの訓練を実施してください。

危機対応訓練などの手順に関しては、地方自治体や政府機関と連携してください。

非常口の場所など、重要な安全手順を周知するための訓練も行ってください。

‍

業務継続インパクト分析

業務継続インパクト分析は、BCP策定に欠かせないプロセスです。企業の業務やプロセスに与える影響を評価し、その結果をもとに復旧に必要な要件や手順を決定します。

ビジネス影響分析を実施するため、FEMAは実践的かつコストに関する影響評価ワークシートを提供しています。企業の業務やプロセスに精通した責任者がこのワークシートに記入し、以下の情報を明らかにします：

• 業務やプロセスが停止した場合の財務的および機能的影響
• 業務やプロセスが停止してからどの時点で影響が出るかの特定

企業はこの評価を通じ、財務的・機能的に最も影響が出る業務を把握し、重点的に対応すべき領域を明確にできます。また、「復旧時間目標」により、各業務の復旧期限が示されます。

ビジネス継続計画の策定方法

企業はしっかりとしたBCPの基盤を整えるため、さまざまな対策を講じる必要があります。これには以下が含まれます：

• 業務影響分析：企業は時間に敏感な業務や、その業務に必要な資源を把握します。
• 復旧：重要な業務を迅速に再開するための手順を策定します。
• 組織体制の整備：円滑な対応のため、適切な組織体制を整えることが重要です。
• 組織体制に対するテスト：担当者が計画や手順を確認する訓練を実施してください。

緊急連絡先、必要となるリソースの概要、バックアップデータの保管場所などの基本情報や、その他のキーパーソンを含む計画は、企業にとって有用です。企業はBCPそのものと継続組織の両方に対して十分なテストを行い、あらゆる危険な状況下でも有効に機能するか確認する必要があります。これにより、計画の不足点を明らかにし、改善へとつなげることができます。