企業は日々、自然災害・サイバー攻撃・パンデミックといったさまざまなリスクと隣り合わせの状況で事業を行っています。BCP対策を導入していない場合、これらの被害が事業継続に大きな影響を及ぼし、企業の存続が難しくなる恐れがあります。
自然災害などのリスクはいつ発生するか予測がつかないからこそ、BCPについてしっかり把握し、早急に自社に適した対策を策定する必要があります。
今回は、BCP対策の必要性や導入を怠ることで起こりえるリスク、策定手順と策定するにあたって意識すべきポイントについて徹底解説します。
まず、BCP対策とはどのようなものなのか、策定する目的について解説します。
BCP(Business Continuity Plan[事業継続計画]の略)対策とは、【地震・津波・台風・落雷】などの自然災害や【事故・事件・不祥事】などの人的災害、サイバー攻撃、パンデミック(感染症)などの緊急事態や不測の事態が発生した際であっても被害を最小限にとどめ、速やかに復旧し事業継続できるように体制を整える取り組みを指します。
BCP対策は『自然災害・サイバー攻撃・パンデミック』などの事業継続の阻害要因となり得るさまざまなリスクに備えた計画を立てることで、緊急事態発生時に従業員や事業資産を守りながら迅速な事業復旧が実現できるようにすることを目的としています。
具体的に、下記3つが挙げられます。
【 従業員の安全を確保する 】
企業には、従業員の安全確保や生命・身体の保護を徹底する【安全配慮義務】があります。緊急事態に備えて緊急連絡網や対応体制を整備するなどのBCP対策を策定しておくことで、地震や台風といった自然災害やパンデミックなどの緊急事態が発生した場合にも迅速に従業員の安否確認を行うことが可能です。
【 早期復旧により被害を最小限に抑える 】
緊急事態の発生後、復旧までに時間がかかり事業活動が停止している時間が長くなるほど事業資産の損失・被害規模が大きくなり、場合によっては企業の存続が難しくなる恐れがあります。バックアップシステムの整備や復旧時の手順、生産設備の代替などのBCP対策を策定しておくことで早期に復旧することができ、被害を最小限に抑えることが可能です。
【 取引先・顧客からの信頼維持 】
BCP対策が未策定の企業がサイバー攻撃を受けた場合、感染拡大範囲は社内にとどまらず、関連会社や顧客様にまで被害を及ぼす可能性があります。また、事業活動が停止している時間が長くなるほど取引先や顧客からの信頼が低下していきます。
BCP対策を策定しておくことで取引先や顧客からの信頼性が向上するだけでなく、ビジネスパートナーとしても選ばれやすくなる傾向にあります。「自然災害・サイバー攻撃・パンデミック」などの想定外の事態は、企業規模や業種を問わず、すべての企業が抱える大きなリスクであり、BCP対策は決して他人事ではありません。
リスクの備えを強化し、緊急事態にも冷静かつ迅速に対応できる体制を整えておきましょう。
すべての企業が自然災害やサイバー攻撃等の大きなリスクを抱えており、BCP対策を策定・検討している企業は年々微増しているものの、策定の意向がない企業もまだまだ多いです。
次に、実際にBCP対策を策定している企業と策定の意向がない企業の割合についてご紹介します。
日本国内大手の信用調査会社である株式会社帝国データバンクでは、全国企業を対象とした「BCPに対する企業の見解」に関する調査を行いました。(調査期間:2024年5月20日~31日)
出典元:帝国データバンク「事業継続計画(BCP)に対する企業の意識調査(2024年)」
有効回答があった企業1万1,410社のうち、5割の企業が【策定している(19.8%)】【現在、策定中(7.3%)】【策定を検討している(22.9%)】とBCP対策の策定意向があることを回答しました。
.png)
なお、【策定している】と回答した企業の割合は前回調査時(2023年5月)の18.4%から19.8%に、【策定を検討している】と回答した企業の割合は前回調査時の22.7%から22.9%に増加していました。
一方、【策定していない(41.8%)】【分からない(8.2%)】とBCP対策の策定意向がないことを回答した企業も5割存在しました。
-1.png)
【策定意向あり】と回答する都道府県の全国平均は50%であるのに対し、平均値を超えた都道府県は「北海道、福島、栃木、群馬、東京、長野、静岡、富山、石川、岐阜、三重、大阪、和歌山、鳥取、香川、愛媛、高知、大分」で、【策定意向あり】と回答する企業が最も多かったのが高知(68.4%)でした。
<平均値以上の都道府県>
・北海道…51.8% ・福島…51.3% ・栃木…53.8% ・群馬…53.8% ・東京…52.8% ・長野…57.2%
・静岡…58.3% ・富山…57.6% ・石川…57.7% ・岐阜…50.3% ・三重…52.9% ・大阪…50.7%
・和歌山…52.8% ・鳥取…56.3% ・香川…56.9% ・愛媛…57.6% ・高知…68.4% ・大分…53.1%
<平均値以下の都道府県>
・青森…46.9% ・岩手…40.5% ・秋田…40.2% ・宮城…47.7% ・山形…49.6% ・新潟…49.6%
・茨城…41.7% ・千葉…49.4% ・埼玉…47.1% ・神奈川…47.5 ・山梨…48.7% ・愛知…49.0%
・福井…44.1% ・滋賀…43.5% ・奈良…44.8% ・京都…48.7% ・兵庫…46.3% ・岡山…43.0%
・徳島…44.9% ・島根…41.1% ・広島…48.1% ・山口…42.1% ・福岡…46.6% ・宮崎…48.7%
・長崎…36.1% ・佐賀…47.6% ・熊本…48.1% ・鹿児島…49.6% ・沖縄…46.7%
次に、BCP対策を怠ることで起こりえるリスクと企業が想定する「事業継続が困難になるリスク」のランキングについてご紹介します。
BCP対策を策定していない企業では、「スキル・ノウハウ・人手・時間が不足している」ことや「必要性を感じていないといったリスク意識が低い」ことが課題に挙げられています。
しかし、自然災害や人的災害、サイバー攻撃、パンデミックなどの緊急事態や不測の事態はすべての企業に起こりえるリスクです。特に日本では日本列島の地形や地質、気象といった自然条件により、世界の中でも自然災害が発生する割合が高い国と言われています。中小企業庁が公表している資料によると日本で発生している自然災害被害の内訳で最も発生件数が多かったのが「台風(57.1%)」で、その次に多かったのが「地震」「洪水」でした。
2019年に発生した台風による損失額は上場企業全体で約300億円にのぼるなど、自然災害は企業に対し多くの被害をもたらしています。
出典元:中小企業庁「我が国における自然災害の発生状況」
【事例1】
某精密工業では、2009年に発生したゲリラ豪雨・台風により1階全体が浸水し、工作機械や在庫が水没するなど、約300万円の損失を被りました。
【事例2】
某福祉法人では、2022年に発生したゲリラ豪雨により1階が冠水し、名簿や会計データといった重要なデータが含まれた電子機器が複数台水没する被害に遭いました。
上記の帝国データバンクが行った調査で「BCP対策への策定意向あり」と回答した企業に対して、どのようなリスクによって事業継続が困難になると想定しているかヒアリングを行った結果、最も高いリスクと考えられていたのが「地震や風水害、噴火などの【自然災害】(71.1%)」で、次いで「サイバー攻撃などを含む【情報セキュリティ上のリスク】(44.4%)」でした。
.png)
注1:網掛けは、「大企業」と「中小企業」の比較で割合が高い規模を示す
注2:母数は、事業継続計画(BCP)を「策定している」「現在、策定中」「策定を検討している」のいずれかを選択した企業5,705社
日本列島に接近する台風は、例年7〜10月にかけて発生数が増えるため、まだBCP対策を策定していない企業は早急にBCP対策の策定を進めましょう。
次に、BCP対策を策定するための手順について解説します。
BCP対策を策定する前にまず、「BCP対策を策定する目的」を明確にしておく必要があります。仮に目的が漠然とした状態で策定を進めると、中核事業(企業の存続や成長に最も重要な役割を果たす事業のこと)や資源の優先順位が曖昧になり、結果的にBCP対策を適正に運用することができない可能性があります。
緊急事態が発生しても『業務を中断することなく、事業を継続できる体制作り』『短期間で復旧させる』『被害を最小限に抑える』といった目的や自社の経営方針を念頭に置いたうえでBCP対策を策定しましょう。
【 ①運用体制を決定する 】
実効性の高いBCP対策を策定するためには、経営者と現場、双方の観点を基に策定する必要があります。そのため、BCP対策の策定を検討する段階から経営層も参加する必要があります。また、大企業であれば「部署ごとに担当者を任命したうえでBCP対策のチームを立ち上げる」、中小企業であれば「担当者を1名任命して推進する」など、会社規模によって社内全体に周知・運用するために必要な人数が異なります。
そのため、BCP対策の検討段階から経営層も積極的に参加することや自社の会社規模に適切な運用体制を構築することを意識しましょう。
【 ②中核事業を特定する 】
BCP対策を策定するうえで中核事業を特定することは重要です。中核事業は、緊急事態が発生した際に企業が最も優先的に復旧させるべき事業です。緊急事態発生後に利益確保が困難になると従業員や取引先に影響を及ぼす・経営破綻する可能性があるなど、さまざまなリスクが生じます。そのため、「最も売上を占めている事業」「事業が停止・納期が遅延することで大きな損害が生じる事業」「市場シェアや信頼を維持するために貢献している事業」「人・物・金などのリソースが3分の1になった状態で、最も継続させたい事業」など自社の中核事業を明確にします。
【 ③重要な資源の特定 】
「人的資源」「原料資源」「財務資源(資金・借入金など)」「物的資源(施設・設備・機械など)」「データ資源(顧客データ・取引データ・生産データなど)」などの企業が所有する資源の中から、緊急事態が発生した場合に復旧が困難だと予想される資源への対策を優先的に施します。
【 ④起こりえるリスク・中核事業への影響・復旧費用を想定する 】
緊急事態が発生した際に、自然災害・システムエラー・サイバー攻撃・情報漏えいなど起こりえるリスクや中核事業への影響・発生する復旧費用について想定するなど、どのくらいの被害が生じるのか把握しましょう。そして、事業を継続するうえで耐えられない災害を明確化し、施すべき対策を選別します。
【 ⑤復旧時間・復旧レベルの目標を設定する 】
復旧の遅れにより、取引が中止になる可能性や最悪の場合、企業の存続が難しくなる可能性があります。それぞれの中核事業に対して「いつまでに事業を復旧させるか」という目標復旧時間(RTO)と「目標復旧時間内にどのレベルまで事業を復旧させるのか」という目標復旧レベル(RLO)を設定します。
【 ⑥緊急時の対応の流れを決めておく 】
緊急事態が発生した際に策定したBCP対策を適切に実行できるよう、事前に緊急時の初動対応・緊急対応・復旧対応を決めておきます。また、災害時に迅速に対応できるよう発動基準や発動時の組織体制も決めておきましょう。
【初動対応の活動内容例】
迅速かつ的確な初動対応により、被害の拡大を最小限に抑える・従業員の安全を確保することができます。
・従業員の安否確認
・避難誘導
・負傷者の救護
・二次災害の防止措置
・人的被害や物的被害の情報収集
・顧客や取引への状況報告
【緊急対応の活動例】
初動対応で把握した状況・情報を踏まえたうえで、事前に策定したBCP対策に則り、中核事業の維持・継続を目指します。
・対策本部を中心とした指揮命令系統の体制の確立
・代替拠点の立ち上げ
・代替手段による業務の遂行
・顧客や取引先との情報共有や調整
・ライフラインの確保
【復旧対応の活動例】
緊急対応により継続していた事業を、段階的に通常の業務プロセスに移行します。
・復旧目標の設定
・復旧手順、スケジュール、担当者を明確化する
・損傷した設備やシステムの修理、交換
・業務環境の整備
・データの復旧
・代替手段から通常手段への段階的な移行
・緊急対応、復旧対応の実施状況の検証
・BCPの見直し、更新
また、最初に策定したBCP対策は不十分・不適切である可能性があります。そのため、策定したBCP対策は定期的に訓練を行い、「従業員の安否確認にかかった時間」や「不明瞭な点」といった訓練の中で浮き彫りとなった課題を洗い出し、見直し・更新を行うことでBCPの実効性を維持しましょう。
最後に、BCP対策を策定するにあたって意識すべきポイントについて解説します。
初動対応・緊急対応・復旧対応の手段や通信手段、災害対応用具、顧客情報の保管場所、資源の代替方法など、事業継続に必要なBCP情報を文書化し、常に全社員が閲覧できるようマニュアル化しましょう。また、定期的な訓練などにより策定内容の見直し・更新を行った場合は必ずマニュアルも更新しましょう。
自然災害の中でも台風や大雨といった水害は広範囲に及ぶケースが多いです。災害からデータを守るためにクラウドバックアップを導入して定期的にバックアップを行う・サーバーの設置場所を見直すなど、事前の対策が重要になります。
また、クラウドバックアップサービスを導入する際は、自社とデータを保管しているクラウドサービス事業のデータセンターが同時に被害に遭わないために「自社から離れており、災害の被害を受けにくい国内外の遠隔に複数のバックアップ拠点センターを所有している」「障害のない良好な状態で長く稼働し続けている可用性の高いシステム」であるかを確認しておきましょう。
< クラウドバックアップに関する記事はこちら >
以上、BCP対策の必要性や導入を怠ることで起こりえるリスク、策定手順と策定するにあたって意識すべきポイントについて徹底解説しました。
― BCP対策とは
― BCP対策の策定状況
― BCP対策を怠ることによるリスク
― BCP対策の策定手順
― BCP対策を策定するにあたってのポイント
BCP対策の策定・実行は、企業の存続と社会からの信頼を確保する上で極めて重要な取り組みです。自然災害やサイバー攻撃、パンデミックなどの緊急事態はいつ発生するか分からず、BCP対策を検討しているうちに被害に遭うといったケースも少なくありません。
これから台風が発生しやすい時期を迎えるため、まだBCP対策を策定していない企業は早急に策定に取り掛かりましょう。また、BCP対策を策定している企業は、社会情勢・技術の変化に合わせて定期的に見直し・更新を行いましょう。
ソニックスではBCP対策の一つであるクラウドバックアップのサービスを提供しています。「どういったクラウドサービスを導入すればいいかわからない」「どのようなBCP対策が自社に合っているか分からない」などのお悩みを抱えている企業様は、まずはお気軽にソニックスにお問い合わせください。
