災害時におけるBCP(事業継続計画)とは?策定の流れや対策例を紹介
BCP(事業継続計画)は、あらゆる危機的事象から企業を守り、事業の継続を図るために策定します。具体的にどのような危機を想定し、どのような対策を盛り込めばよいのかについては、事業により多様ですが、本質的なポイントはどの企業でも同じです。
本記事では、企業が知っておきたいBCPの策定について、日本で特に重要となる災害発生時の対策を中心に、BCP策定の意義や策定方法、策定の事例などを紹介します。
もくじ
災害時におけるBCPとは
BCP(事業継続計画)は、どんな危機的状況になっても事業を停止させない、あるいは停止しても早急に復旧させて事業への影響を最小限に抑えるための計画。「Business Continuity Planning」の頭文字をとった名称です。
組織にふりかかるあらゆる危機的事象を対象とするため、自然災害に限りません。事故やテロ行為などの人為災害、通信遮断やサイバーテロなどのIT災害、新型コロナウイルスの世界的流行(パンデミック)などの感染症災害といった、さまざまなリスクを想定し、事業継続の方針を立てることが望まれます。
ただし日本においては、地理的条件や気候変動などの要因により、自然災害のリスクが高いことから、自然災害を優先的に考慮するのが一般的です。
企業の災害対策としてBCPが必要な理由
BCP策定にあたって、目的や方針を検討する際の考えを整理するためにも、企業がなぜBCPを策定する必要があるかを理解しておきましょう。
自然災害によるリスクが高まっているため
日本における近年の自然災害の発生と被害状況をみると、災害の発生件数は台風が過半数を占めますが、被害額は地震が8割強と圧倒的に大きくなっています。
地震はいつ起きるかわからず、人命や財産を守る手段が限られ、建物の倒壊や津波、大規模火災など甚大な被害をまねく現象が同時多発的に起こるため、取り分け対策の必要な自然現象といえます。
気象災害は、近年の解析技術の進展により、数日前から災害発生を予測できる場合が増えてきました。直前の対策をしっかりとっておくことで被害を最小限に抑えることができます。しかし、気候変動の影響を受け、スーパー台風のようなかつてない規模の風水害も発生しているため、風水害対策も重要です。
災害発生時、速やかに的確な対応を行うため
BCPでは、事前と事後の両軸で対策を検討し、突然発生した非常事態の中でも迷わず的確な行動に出ることができるよう、具体的な計画にしていきます。
事前対策は、災害が発生しても被害を受けない、あるいは被害を最小限に抑えるための対策です。耐震・防潮・耐浸水などの災害への耐性を強化するものや、ライフラインの代替設備やバックアップ、備蓄整備などが挙げられます。
事後対策は、災害が発生してBCPを発動させる要件や非常時の実施体制、情報伝達系統、重要業務へ集中させるための判断基準や各業務の対応フローなどを整理を行います。それをマニュアル化して訓練などにより内容の検証と改善を図り、実行性を高めていく形です。
社会的責任を果たすため
大規模災害の場合、災害発生直後に行う安全確保や安否状況の把握が何よりも重大な対応になります。BCPであらかじめ災害発生直後の行動を定め、訓練などにより対応に習熟しておくことにより、自社の従業員だけでなく、来訪者や顧客、地域住民などの安全確保にも貢献することができるのです。
また、大規模災害が発生すると、地域全体が被災し、経済的に大きなダメージを受けます。BCPにより地域の復旧・復興への協力や、自社のビジネスを止めず雇用を守り続けることは、被災地にとって大きな支えになるでしょう。
企業のイメージアップにつなげるため
どのような災害で危機的状況になろうと企業活動を停止させることなく対応するためのBCPの策定は、事業継続に向けた実践力を高める取り組みを行う、企業としての姿勢をアピールする機会にもなります。
近年は、原料の調達から製品の流通まで、商品・サービスの提供にかかわるさまざまな要素が複雑に絡み合うサプライチェーンが広がっています。そのため、1社の事業停止により全国の関連事業者の生産をストップさせてしまうおそれすらあるでしょう。
経済を止めない企業としてBCPに取り組む姿勢をアピールすることができれば、取引先や顧客の信頼を高めるとともに、社会的なイメージアップも図ることができます。
どのようなフローで災害に備えたBCPを策定するか
ここからは、災害発生時のBCPについて、基本的な策定と運用の流れをみていきましょう。
1. 目的に合わせて方針を定める
はじめに、BCPを何のために作成するのか、計画の目的を明確にし、目的に沿ったBCPの基本方針を確定させます。
企業としての経営理念やビジョン、経営方針などと照らし合わせながら、何を優先させ、どこまで達成させるのかを、取引先や株主、従業員などステークホルダーとの関係性も考慮しながら検討していきます。BCPは重要な企業の経営戦略のひとつでもあるため、経営陣の合意をとりながら進めていきましょう。
BCP発動の方針や目標とあわせて、計画の実行性を高めるための計画の運用方針や、事前対策の取り組み体制についても整理しておきます。
2. それぞれのリスクに優先順位を設定する
自社に最も影響を与える災害を特定し、最悪の事態が発生したときに、どのようなリスクがあるのかを整理します。具体的な災害を想定し、自社のリソース(人・モノ・カネ・情報など)や業務内容を棚卸し、どこにどの程度の被害が発生し、どんな業務に影響が出るのかを確定させましょう。
リスクと業務が整理されたら、その業務が停止した場合に企業へどのような影響が生じるかの「評価軸」と、業務再開をいつまで待てるかの「時間軸」で一覧化する影響度分析を行います。影響度分析では、影響の規模の大きさとリスクの発生頻度をかけ合わせた検討を行い、最も優先的に対応にあたるべき業務を絞り込みます。「何が起きようとこれだけは守る」業務を選定するのです。
3. マニュアルや訓練のスケジュールを作成する
BCP発動後に各自が何をすべきかを記載した行動マニュアルを作成します。災害発生直後の「初動対応」、応急的な措置を行う「応急対応」、平常時の状態へ回復させる「復旧対応」の3つのフェーズに分け、従業員の実施体制や、BCPの遂行に不可欠な「ヒト・モノ・カネ・情報」の確保、事業部門別の対応など、以下のような行動の手順を明記します。
- 従業員の安否確認、参集、被害状況の確認
- BCP発動の判断、人員配置、情報処理システムの稼働、災害対策本部の設営
- ライフラインや通信システムなどの代替機能への移行判断と移行方法
- 被害発見時の応急処置方法、復旧に必要な対応 など
さらに、マニュアルの有効性を検証し、あわせて従業員の判断や対応力を向上させるための研修訓練の企画・運用を定めた訓練スケジュールの作成を行います。
4. 計画書を作成する
マニュアルがほんとうに実用的なものになるよう、業務の優先度を考慮しつつ、各業務を円滑に進めるために行っておきたい事前対策を計画します。特に、災害発生直後の初動に必要な事項は、予め判断基準や判断のタイミングも含めて計画に盛り込んでおき、いざというときに誰が行っても一定の水準で事業継続できるようにしておきましょう。
- BCP発動の要件
- 非常時の本部体制、現場の実施体制、広報体制
- 情報処理系統、情報処理方法(通信手段、集計等の情報共有手段など)
- トップが被災した場合の権限委譲順位
- 応急復旧対応に必要な設備、備蓄等の一覧 など
ここまで検討した内容を文書に整え、計画書を策定します。実行性をさらに高めるため、可能であればリストやフォームなどの様式や災害対応時に参照する資料なども整理し、計画書へ紐づけておきましょう。
5. 定期的にBCPの内容を見直す
企業も社会も、年月を経ると環境が変わっていきます。このため、策定したBCPは、定期的に見直しを図りましょう。訓練や研修などを実施し、BCPの記載内容が実態と合っているかを検証して、より適切に行動するための改善点を洗い出します。
BCPの定期修正は、従業員の異動の時期などとタイミングをあわせて行うと効果的です。
特に大掛かりな組織変更や部署の新設などを行った場合は、優先業務や部署間の連携事項などが変容している可能性があるでしょう。目的や方針の再確認から始めるBCPの全面的な見直しを行う改定版の策定が望まれます。その他、国や自治体が被害想定を修正したり警報などの発令の制度を変更した場合も見直しの契機になります。
災害別のBCP例
ここからは、災害事象別にBCPの策定ポイントをみていきましょう。
自然災害
国の防災基本計画では、自然災害として、地震、津波、暴風、竜巻、豪雨、地すべり、洪水、がけ崩れ、土石流、高潮、火山噴火、豪雪が挙げられています。このうち、特に脅威となるのが地震と津波です。その他、地理的条件により、豪雨(洪水)や暴風(台風)、高潮、土砂災害など、自社にとって影響の大きいものをリスク想定し、以下のような対策を検討しておきましょう。
- 耐震、防潮、耐浸水などのハード対策
- 設備の固定、天井・照明の落下防止、窓ガラスの飛散防止、ダクト補強などの対策
- 非常用発電機や再生エネルギー設備の導入、用水確保などのライフライン対策
- 安否確認体制の構築、安否確認システムの導入など情報共有対策
- 避難場所の設定、避難ルートの確保など避難対策
- 帰宅困難時の備蓄対策
- 災害対策用資機材など緊急時の納入先の確保 など
人為災害
人為災害には、ヒューマンエラーによる事故のほか、バイトテロと呼ばれる従業員の問題行動や、インサイダー取引や横領などの犯罪行為もあります。また、反社会勢力との取引や産業スパイなどのリスクも考えられます。このような行動からもたらされるリスクに対しては、従業員の意識向上を図る対策のほか、問題行動を起こさせない抑止対策も必要です。
- 社内規範の整備と周知、研修や教育による啓発
- 職位に応じた情報へのアクセス制限、セキュリティ対策
- 職位ごとの権限と責任、報奨と罰則の明確化
- 職位に応じた建物への侵入制限、入退室管理 など
IT災害
近年はICTの進展により、情報処理に関するトラブルが企業生命を左右する事態に発展するリスクも高まっています。人為災害と同様の内部の対策強化の他、外部からの攻撃に対する対策強化も重要です。
- 職位に応じた情報へのアクセス制限、セキュリティ対策
- サーバ、ルータ、データベース、端末などネットワーク機器のウイルス対策の強化
- ネットワークの強化(多重化、冗長化など)
- バックアップ体制の強化(遠隔化、クラウド化など)
- 個人情報管理に関する規定の強化と周知、研修や教育による啓発 など
感染症災害
2020年ごろから猛威をふるった新型コロナウイルス感染症のように、新型ウイルスの感染拡大は、ウイルスの特性が不明のためワクチンや治療薬の開発に時間がかかり、世界的流行(パンデミック)を引き起こすおそれがあります。従業員本人や家族の罹患、濃厚接触による自宅待機などにより、業務遂行に必要な人員が確保できなくなるリスクが挙げられます。出社しなくても業務が続けられる体制確保が重要です。
- 飛沫・接触・空気感染への防止対策(消毒、換気、マスク着用、パーティションなど)
- 感染覚知時の緊急連絡手段、連絡体制の確保
- フレックスタイム、在宅勤務など選択制勤務体制の導入
- 業務データや勤怠データ、健康管理データなどのデジタルネットワーク化
- 遠隔操作による業務時のセキュリティ対策 など
災害時のBCPには「Biz安否確認」が有効
日本では、自然災害の他にもさまざまな災害の発生が想定されます。一つひとつの災害へ個別に対応するのは相当な困難が伴うでしょう。BCPは、多様な災害がもたらす影響の中から共通した業務の課題を洗い出し、最も重要な自社の事業を守るための経営戦略にもつながる重要な計画のひとつです。
特に、どの災害でも共通して重要なのは「人」の確保です。「Biz安否確認/一斉通報」は、災害発生時に従業員へ一斉に連絡し、安否状況や健康状態、出社の可否などの回答を自動集計してリアルタイムに把握できるシステムで、他にも掲示板やアンケート機能など、従業員の情報共有に平常時から活用できる機能を揃えています。
BCP策定時の対策強化に、ぜひご活用ください。