BCP対策とは？
目的と策定方法、注意点をわかりやすく解説

企業活動を持続するためには、さまざまなリスクを想定し、事前に対策を立てておくことが重要です。特に近年では、IT技術の発展や社会課題の顕在化を背景に、BCP対策の重要性がより高まっています。

この記事では、内閣府の「事業継続ガイドライン」に沿って、BCP対策とは何か、企業としてBCP対策にどのように取り組んでいくべきかを解説します。

「BCP（事業継続計画：Business Continuity Plan）」とは、事業継続に関わるリスクへの対策をまとめた計画を指します。企業を取り巻くリスクには、自然災害や感染症、テロ行為、サイバー攻撃などさまざまなものがあります。これらのリスクが発生しても、極力事業活動を停止させない、停止した場合でも速やかな復旧を可能にするための対策を取りまとめた計画がBCPです。

また、BCPの策定・見直しやリソースの確保、教育、訓練、点検など、平常時におこなう事業継続のためのマネジメント活動を「BCM（事業継続マネジメント：Business Continuity Management）」と呼びます。

企業で従来からおこなわれてきた防災活動とBCPとの違いは、「守る対象が何か」にあります。防災活動は人命や企業資産を守る取り組みであるのに対し、BCPは事業を守る取り組みであるといえます。

例えば、自社の資産への被害が軽微であっても、調達元や供給先などサプライチェーンへの被害が大きく取引ができない状況では、事業を継続できません。事業継続という広い枠組みで考えれば、必然的に考慮すべきリスクや対象範囲、取り組み主体が大きくなり、経営判断も求められるようになります。このように、BCPは単なる防災活動の延長ではない点を認識しておきましょう。

日本でBCP対策が重視される大きなきっかけとなったのが、2011年に発生した東日本大震災です。東日本大震災では多くの人的・物的被害が生じると同時に、電力・燃料不足やサプライチェーンの崩壊などにより、国内のみならず、海外の多くの企業に甚大な影響がもたらされました。

多方面での技術の発展により、現代の事業活動は多様化・複雑化しています。ひとたび緊急事態が発生すれば、たとえ自社の資産に被害がなかったとしても、事業継続に致命的な影響が発生しかねません。

また、緊急事態は自然災害だけでなく、パンデミックや他国の紛争、サイバー攻撃などによっても引き起こされます。いつ発生するか分からない緊急事態に備え、速やかにBCPを策定することが、企業の喫緊の課題といえるでしょう。

BCP対策の目的と、取り組みにより得られる主なメリットを解説します。

BCP対策のなかでは、緊急事態が発生した際に継続・早期復旧させるべき事業の優先順位や対応方法、復旧レベルなどを定めます。事業継続において重要な業務は何か・どのように対応すべきか・どこまでの復旧を目標とするかを明確にすることで、緊急事態が発生した際に速やかに行動できるでしょう。結果として損害を最小限に抑えられ、事業停止のリスクを低減できます。

BCP対策に取り組めば、企業を取り巻く環境やリスクを可視化できます。
実際に緊急事態が発生する前にリスクを可視化できれば、設備やサプライチェーンの冗長化、バックアップの取得など、リスクに備えた基盤を戦略的に構築できるようになるでしょう。

事業停止による損害とは、単に停止期間の損害にとどまらず、顧客喪失による将来的な損害も含まれます。事業停止が発生すれば顧客からの信頼を失うこととなり、失った信頼を取り戻すのは容易ではありません。

現在、企業や投資家の多くが取引先・投資先を検討する際、事業停止のリスクを考慮しています。BCP対策に取り組み、事業活動の安定性をアピールすることができれば、企業としての信頼性が高まり、企業競争力向上の効果も得られるでしょう。

ここからは、BCP対策をどのように策定すればよいか具体的な策定の流れを解説します。

まずはBCP策定の目的や企業を取り巻く環境を整理し、基本方針を定めます。自社の企業理念や経営方針だけでなく、利害関係者や社会が自社に何を求めているかを把握することが重要です。
BCP策定の目的に合わせ、達成目標や対象（事業の種類やサプライチェーンの範囲など）を基本方針として明確化しておきましょう。

BCPは企業全体で取り組むものであるため、全社的な体制の構築が必要になります。多くの場合は、経営者がBCPの責任者と事務局を指名し、関係部門の担当者を集めてプロジェクトチームなどを構築します。
BCP策定後には社内への周知や教育、訓練も必要になるため、策定後の運用も見据えて体制を検討する必要があるでしょう。

BCPにおいては各事業で発生しうるリスクを網羅的に洗い出し、それぞれのリスクに対して分析・評価をおこなうことが重要です。

また、この段階でリスクとは具体的に何かを明確にしておきましょう。物流ルートに関するリスクで例えると、全停止ではなかったとしても80％のルートが利用不可になってしまえば、事業として継続不可になるかもしれません。
指標はさまざまありますが、できるだけ具体的にリスクを定義しておくことが、あとのBCP対策の精度向上につながります。

企業の事業継続のために必要となる「中核事業」を洗い出します。緊急事態発生時には、利用できるリソースが平常時より大幅に減少することが想定されます。限られたリソースのなかで何を優先的に守るべきかを判断できるようにするために、中核事業を明確にしておきましょう。

前項で明確化したリスクと中核事業の情報をベースに、「対策優先度」を定めます。対策優先度の決め方としては、リスクアセスメントでよく用いられるリスクの発生頻度と影響度合いを軸に評価するとよいでしょう。

BCPでは復旧時間や復旧レベルの目標を定めますが、目標が現実的に達成可能であるかという点に注意する必要があります。実際に自然災害や事故などが発生した場合を想定し、段階ごとにどのような具体策が必要かを検討しましょう。

自然災害や事故の発生直後に重要なのは、状況を素早く正確に把握することです。状況を素早く正確に把握できれば、被害に対して迅速な対応ができるとともに、二次災害の防止にもつながります。
安否確認システムや災害時の連絡ツールなど、情報共有を円滑化する体制や仕組みを検討しましょう。

「direct」は、フィールドワークに最適化された国産ビジネスチャットシステムです。テレワーク時のコミュニケーションツールとしてはもちろん、ファイル共有やアンケート機能など便利な機能と、柔軟に設定できるセキュリティ・管理機能が揃っています。
また非常災害時には従業員の安否確認や連絡ツールにも利用できます。QTnetは業務上の円滑な連携をサポートする各種コミュニケーションツールをご提供していますので、ご興味をお持ちの際は、ぜひお気軽にお問合せください。

自然災害や事故による被害が発生した際、必要最低限の機能を担保できる手段があれば、被害の影響を抑えられます。

例えば電力の供給停止が発生した場合でも、中核事業を守れる最低限の自家発電装置があれば事業を継続できます。発生直後の臨時対応として、どのような手段で中核事業を継続できるかを検討しましょう。

臨時対応ができたら、平常時の状態に戻すために復旧を進めていきます。このときに特に重要になるのが「データの保護やバックアップ」です。
施設や設備の損害は復旧できますが、データは保護・バックアップされていなければ消失してしまう可能性があります。データのバックアップを定期的に取得して遠隔地に保管するなど、復旧に必要なものを保全する対策を検討しましょう。

QT PROではお客さまへ、安心と信頼のデータセンターサービスをご提供しています。
高信頼・安定運用の国産パブリッククラウドサービス「QT PRO IaaS」、遅延の少ない最適化された通信回線サービス「QT PRO クラウドダイレクト タイプI 」、冗長構成による信頼性の高い通信回線サービスをご提供する「QT PRO クラウドダイレクト タイプE」など、お客さまの状況にあわせた最適なサービスをご提案します。

どのような状況になった場合にBCPが発動するのかの基準を明確化します。基準があいまいな場合や、関係者間での認識に違いがある場合、BCP対応の初動が遅くなり被害が拡大する要因となります。
基準とともに指示系統を明確化し、BCP発動が速やかに伝達される体制を構築しましょう。

BCPは企業全体で取り組むべきものであるため、社内への共有が必要です。BCP関連の情報を文書化し、社内に共有しましょう。
また、文書の共有だけでなく、定期的な教育や訓練をおこない、BCP対策の内容を定着させる取り組みも重要です。

企業が取り組むべきBCP対策の具体例をご紹介します。主に以下の4つの側面でそれぞれに対策を検討するとよいでしょう。

拠点・設備に関する対策としては、緊急時に備えて物品や代替手段の準備が中心となります。具体的な対策例は下記のとおりです。

• 対策本部の決定、業務拠点の多重化・分散化
• 代替拠点で使用する設備や備品の確保（マニュアル、パソコン、机など）
• ライフラインの代替対策（通信、電源、水など）
• 建物・設備の防御対策（耐震補強、防火対策、洪水対策、テロ対策など）
• 備蓄品、救助用器具などの調達
• テレワーク環境の整備（パソコン、リモートアクセス環境、情報セキュリティ対策など）

データに関する対策としては、復旧に向けたデータの保全が中心となります。具体的な対策例は下記のとおりです。

• 情報システムのバックアップ対象データの決定
• 社内データのバックアップ手順の決定
• 社内データのバックアップ体制の確立
• バックアップシステムからの復帰手順の決定
• 重要な情報・文書（バイタルレコード）のバックアップの実施（クラウド上へデータバックアップ対策など）

販売に関する対策としては、サプライチェーンの強化や冗長化が中心となります。具体的な対策例は下記のとおりです。

• 調達先（原材料、部品、運輸その他のサービス）や販売先の複数化
• 提携先選定と協定などの締結（OEM、支援協定の締結等）
• 在庫の増強や分散化

その他の対策としては、リソースの確保や実際のBCP対応に向けた準備が中心となります。具体的な対策例は下記のとおりです。

• 代替人材の確保・トレーニング
• 資金確保対策

BCP対策において、データの保全は非常に重要です。適切にデータ保全ができれば、緊急時でも速やかなデータ復旧が可能となります。
従来の環境では対応が難しかったデータの保全も、データセンターを活用することで容易におこなえます。セキュリティリスクへの対策という点でもデータセンターの活用がおすすめです。

ここでは、BCP対策に成功した3社の事例をご紹介します。

株式会社ポリフォニー・デジタルさまは、会社設立当初から自社内のサーバールームで業務に関する全サーバーを運用していました。しかし、業務が拡大するにつれ、スペースや電源、空調の管理に手間が割かれ、空調故障による温度上昇が原因となってサーバーが停止する事態も発生するようになりました。

現在では、QTnetデータセンターを利用し、安定して業務を継続できるサーバー運用に加え、東京と福岡との二拠点化によるリスク分散も実現しています。

三協株式会社さまは、複数メーカーの輸出入通関業務を処理するオンラインシステムを自社内で管理していました。しかし、システムが停止すれば、国内・海外の自動車工場の業務がストップしてしまうことになり、以前からリスク回避の必要性が指摘されていました。

現在では、本社がある中部地方とプレート地帯が異なる福岡のQTnetデータセンターにプライマリサーバーを設置し、大地震のリスク回避を実現しています。また、冗長性の確保されたデータセンターを活用することで、以前から進めていたサーバー統合計画が進めやすくなったという効果も得られています。

森定興商株式会社さまは、社内の全システムを名古屋本社のサーバールームに設置した統合型サーバーで管理していました。しかし、システムを統合するほどサーバーの重要性が高まり、BCPのリスクも高まる状況になっていました。

現在では、リアルタイム同期が可能なバックアップシステムを導入し、メインサーバーをQTnetデータセンター、バックアップサーバーを本社に設置することで、遠隔地二重化を実現しています。また、この施策により全国の支店、流通センターなどに置いていたバックアップ用設備が不要となり、設備の保守管理費削減にもつながっています。

毎年のように発生している自然災害や近年顕在化している地政学リスク、サイバー攻撃など、いつ起こりうるか分からない緊急事態に備え、BCP対策は企業の喫緊の課題といえます。特に、多くの企業がIT技術を活用している現代では、データ保全をいかに実現するかが重要です。

QT PROデータセンターサービスでは、災害リスクの低い福岡でデータセンターと通信回線をワンストップで提供しています。災害リスクに備えたBCP対策をお考えの際は、ぜひQT PRO データセンターサービスの導入をご検討ください。