BCPとBCMの違いとは | それぞれの必要な理由・手順・事例の紹介

BCPとBCMの違い

BCPとBCMの用語について、定義と意味合いについて整理する。

BCP（事業継続計画）とは

BCPとはBusiness Continuity Planの略で、事業継続計画のことである。大規模地震などの災害や新型コロナウィルス感染症など、事業運営において緊急事態が発生したときに可及的速やかに事業の復旧を推進し、継続させるための計画である。

BCPは、平時ではなく有事の対応策に力点が置かれたリスクマネジメントの一部であり、事業継続に関わる国際規格としてISO 22301という認証制度がある。ISO 22301では、BCPは次の通り定義されている。BCPとは、事業の業務の中断・阻害に対応し、事業を復旧し、再開し、あらかじめ定められたレベルに回復するように組織を導く文書化された手順である

BCM（事業継続マネジメント）とは

BCMとはBusiness Continuity Managementの略で、事業継続マネジメントのことである。BCPの策定から改善・運用までを総合的に考えるもので、BCPで定めた対策計画が実行可能なものとして機能するように運用計画とプロセスを設計することである。

BCMは次のように定義されている。BCMは、組織への潜在的な脅威、及びそれが顕在化した場合に引き起こされる可能性がある事業活動への影響を特定し、主要なステークホルダーの利益、組織の評判、ブランド、及び価値創造の活動を保護する効果的な対応のための能力を備え、組織のレジリエンスを構築するための枠組みを提供する包括的なマネジメントプロセスである。

BCMにはBS25999の専用規格もあり、計画を立てるためのマネジメント手法やフレームワークなどを定量的な視点からも評価できるとされている。

BCPとBCMが必要な理由

企業にとってBCPとBCMの構築が必要な理由を整理する。

有事の際にスピーディーな事業継続の対応につなげるため

大規模な災害などが発生した緊急事態の際に、企業が事業を止めることなく継続させる上で最も重要な要素の一つが対応スピードである。素早く被害状況が把握できず、緊急事態の体制と対策が遅れると、必要なリソースが確保できず、事業の復旧が遅れることで業績低下だけでなく、顧客からの信用が落ちる可能性がある。

従業員や顧客の人命を守るため

緊急事態が発生した際に、最優先すべきことは人命を守ることであり、安全確保が重要である。そのための対応を誤った結果、遺族から訴訟を起こされた事例もある。

災害は予測不可能であるため、あらかじめ判断基準と行動ルールを決めておき、訓練を通した疑似体験をしておくことで、有事の対応のイメージをもつくことが重要である。また、出先や支店など本社から離れた場所にいる従業員の状況が把握できる安否確認や指示連絡を行うことが可能な情報配信システムの導入も必要な取組みとなる。

企業の信頼、企業評判の向上につながる

BCPやBCMのリスクマネジメントの仕組みづくりにより、万が一の有事の際にも事業継続を図ることができることは、顧客企業や取引先に対する信頼獲得と、ステークホルダーに対する企業評判の向上につながる。

対顧客に対する製品やサービスの提供だけでなく、原料や部品の調達、製品の流通など、さまざまな取引先や事業者が関係するサプライチェーンが継続的に運用できることが重要である。

そのためBCPだけでなく運用管理するBCMまで構築することは、事業継続計画の実現性の高い取り組みを推進する企業だと認識され、企業評価の判断材料になる。

実際に、BCPやBCMについての取り組みに関する第三者認証の取得や具体的な取組実績の公開を、取引や融資の選定基準にしている企業もある。

サプライチェーンのグローバル化によるリスク管理の重要性

事業継続計画の重要性が注目されたのは、2001年のアメリカ同時多発テロ事件がきっかけであり、当時、世界貿易センター近隣のメリルリンチをはじめとする海外企業は、BCPに基づきバックアップオフィスを運用することで業務の中断を最小限に抑えることができた。

また、サプライチェーンのグローバル化が進展したことにより、国内だけでなく海外も含めて、緊急事態が起きた時の事業継続計画やリスクマネジメント体制の整備は非常に重要な取り組みとして認識されている。

昨今の異常気象や大規模災害の頻発状況により、BCPの重要性は高まっている。内閣府の「令和5年度企業の事業継続及び防災の取組に関する実態調査」によると、BCP策定率は大企業と中小企業ともに年々伸びている。

BCP・BCMの手順

BCP策定は6つのステップで進める。

ステップ1：方針を立てる

最初のステップは、BCPの目的と方針を立てることである。企業の経営理念と経営計画を振り返り、有事の際の基本方針をまとめる。緊急事態が起きた時の事業継続する意義を考え、従業員の人命を守る、供給責任を果たし顧客の事業を支えるなど、経営者の基本方針を確認する。

ステップ2：重要業務とリスクの整理する

大規模災害時など緊急事態の際に事業継続で最も優先すべき事業を、BCPでは中核事業と定義する。企業経営において最も影響度が高い事業である。中核事業が定義されると、BCPの適用範囲が明確になるため、メリハリが聞いた計画を作成することができる。

また、人材などの経営リソースが平常時より少ない状況で、優先すべき事業を考えることも重要である。製造業の場合、調達ルートを確保し、取引先へ製品を供給し続けるサプライチェーンの堅守が挙げられる。スーパーなど地域密着型の小売業の場合、食品や生活必需品の継続的な販売が挙げられる。

続いて経営及び事業リスクの洗い出しを行い、言語化することが重要である。リスクとは危機・危害のことであり、発生の可能性と経営・事業への影響度によって評価される。リスクを洗い出すことで、具体的な対策や対処法を考えることができる。

BCP作成におけるリスクとしては、経営リスク、自然災害リスク、労務リスク、オペレーションリスク、情報リスクの5つに注意して洗い出すことをお勧めする。リスクマネジメントにおいては、内部統制リスクなどさまざまなリスクを想定するが、昨今の外部環境を鑑み、重点領域を設定することが必要である。

具体的なリスクの事例としては、以下のようなリスクが想定される

• 地震・津波・台風・火災などの大規模災害
• 新型コロナやインフルエンザなど伝染病の流行
• 大規模事故
• 情報システム障害やサイバー攻撃

ステップ3：リスクに優先順位付けと対策を検討する

全てのリスクに対してリスク対策を検討するのではなく、対策を検討する対象を特定するために優先順位付けを行う。リスクの洗い出しの段階で、リスクの発生可能性と経営・事業への影響度で評価を行ったが、この2軸を参考にして優先度を決定する。

リスク対策は、4つの手法で検討する。具体的には、リスク回避、リスク軽減、リスク移転、リスク保有の4つである。

リスク回避策の具体例としては、リスクが高い地域や領域からの撤退が考えられる。海外拠点の再編成など、中長期的な戦略に基づき具体策を考えることが必要となる。その他、サプライチェーンを構成するサプライヤーの再評価や取引構造の見直しなどもリスク回避策の一つである。

リスク軽減策の具体例としては、情報システムデータのバックアップ体制を再構築することが考えられる。データ損失や情報システム障害の影響を軽減することができる。但し、リスク軽減策は費用がかかるため、現実的には優先順位付けに基づき判断することになる。

リスク移転策の具体例としては、保険への加入が考えられる。業務の中断や想定される損害に対する保険加入により、リスクを保険会社へ移転することができる。但し、損害金の補償だけでなく、業務の復旧など継続性の観点から対策を検討することが非常に重要である。

リスク保有作の具体例としては、リスク対応資金の調達が挙げられる。緊急事態が発生したときに、初動対応が可能な体制や業務プロセスを整備することと合わせて、準備資金を用意しておくことが賢明である。

ステップ4：事業継続計画に落とし込む

リスク対策を検討できたら、全体を統合したBCP（事業継続計画）へ落とし込む。緊急事態が発生した際の対策だけでなく、リスク対策でも検討した被害を最小限に抑える事前対策についても明文化する。人命を守ることを最優先としながら、以下の目次構成で計画に落とし込んで欲しい。

BCPに落とし込むべき要素

• BCPの基本
• BCPの策定・運用体制
• 従業員携帯カード
• 複数企業連携によるBCPの策定・運用体制
• 中核事業に係る情報
• 中核事業影響度評価
• 事業継続に係る各種資源の代替の情報
• 事前対策のための投資計画
• 避難計画シート
• 主要組織の連絡先
• 従業員連絡先リスト 【従業員一覧】【従業員個別用】【基本情報整理用】
• 情報通信手段の情報
• 電話／FAX番号シート【自社用】
• 主要顧客情報
• 中核事業に係るボトルネック資源【設備/機械/車両など】【コンピュータ機器とソフトウェア】【その他の器具類】
• 中核事業に必要な供給品目情報
• 主要供給者/業者情報【供給品目別】
• 保険情報リスト【損害補償の範囲検討用】
• 災害対応用具チェックリスト
• 地域貢献活動

出所：中小企業庁：https://www.chusho.meti.go.jp/bcp/index.html

ステップ5：社内説明会と周知徹底をする

策定されたBCPは、要約版などをマニュアル化し、社内説明会を行うとともに継続的に周知徹底する必要がある。BCP策定は管理部門の仕事と認識され、現業部門からは他人事の意識が抜けないことが多いが、プロジェクトチームを組成して、現業部門のスタッフを巻き込むなど、周知徹底のやり方には工夫が必要である。

従業員へのBCPの重要性を定期的に情報発信することで啓発し、避難訓練や事前対策の取組みへの参加を積極的に行うことが大切である。会社での取組みだけでなく、各人の家庭での防災対策も検討してもらうことで、自分事として考えるきっかけを与えることも重要である。

ステップ6：BCPを定期的に更新する

そもそも未経験の災害を含め、緊急事態を想定したBCPやBCMは、最初から完璧な内容と対策を整備することは不可能である。したがって、日々発生する災害や他地域での被災経験や緊急事態に関する情報から学び、年に1回は見直しを行っていくことが重要である。

経営戦略や組織体制の変更に伴い、業務オペレーションが変化することが多い。その際も、改めてBCPの更新を行うことで、事業の継続性が担保される。また、ICTの進化によって、さまざまなBCP支援ツールも登場しているため、有効活用することをお勧めする。

BCMSとは

BCMSとはBusiness Continuity Management Systemの略称であり、ISO（国際標準化機構）が2012年に発行した事業継続マネジメントシステムに関する国際規格ISO 22301に定義されている。BCMSの認証規格であった英国規格協会のBS25999-2の技術的内容をほぼ網羅した上でISO化された。

BCMSで必要な取組み

BCMSを維持すること成果を出すためには、以下のような取り組みが必要である。

• 組織に対する法令、規制、組織及び業界の要求事項
• 提供する製品及びサービス
• 採用しているプロセス
• 組織の規模及び構造
• 組織の利害関係者の要求事項

東日本大震災や新型コロナウィルスの流行などのさまざまな緊急事態が発生したことで、企業活動の継続性の担保と災害時の早期復旧のために、有事に備える必要性が増している。こうした背景から、ISO22301を取得により事業継続マネジメントシステムを構築・運用するとともに、自社の対策を明示することで顧客や取引先に対して自社の事業継続における信頼を高める企業が増えている。

ISO22301の要求事項

組織の状況

組織の状況では、現在の組織の状況を、以下の3つを把握することが求められる。

• 組織の能力に影響する組織内外における課題の特定
• 利害関係者のニーズや期待の特定
• 法令や規制の要求事項の特定

組織の状況を把握したのち、BCMSを構築・運用する適用範囲を確定する。

リーダーシップ及び働く人の参加

リーダーシップ及び働く人の参加では、トップマネジメントに求める責任と働く従業員の参加を求めている。トップマネジメントは、BCMSに関するリーダーシップのコミットメントを実証する必要がある。事業継続方針や事業継続目的を明確にし、従業員や利害関係者がBCMSに参加できるよう仕組みを構築することが求められる。

計画・支援

計画では、危険源やリスクの特定・分析・評価を達成するための計画策定が求められている。BCMS特有の書類も挙げられている。

• 事業影響度分析（BIA）手順書
• リスクアセスメント実施手順書
• 事業継続計画策定・管理手順書
• インシデント対応手順書

支援では、BCMSの運用に必要なヒト、モノ、情報などの経営資源管理、社内外のコミュニケーションと文書管理における要件が整理されている。

運用

運用では、立案された対策を確実に実施するだけでなく、有事の場合に向けた事前準備ついても規定している。事業影響度分析やBCPの策定も実施する。BCMSでは、緊急事態を想定した演習プログラムを実施し、事業継続戦略や具体策の有効性が継続されているかどうかを検証する必要がある。

パフォーマンス評価・改善

パフォーマンス評価および改善では、マネジメントレビューや内部監査について定義されており、BCMSをどのように評価し改善していくかを定めた要件である。運用中に見つかる修正点もあり、BCMSの有効性を保つために欠かせないマネジメント要件になっている。

BCP・BCMの事例紹介

大企業と中小企業のBCP・BCMの取組み事例を紹介する

大企業の事例：ヤマハ発動機株式会社（静岡県、従業員数53,701名）

ヤマハ発動機は、バイクやマリン製品、四輪バギーから電動車いす、各種産業用ロボットまで、小型エンジンを軸とした多様な製品を開発・生産・販売している。海外展開を積極的に進めており、連結売上高の約9割を海外が占めている。

長年、本社（磐田市）にサーバールームを構築しサーバーを設置してきたが、東海地震などの被災リスクを低減し、BCPの強化を図ることが経営課題として認識された。その結果、基幹システムのクラウド化に踏み切り、2013年にプロジェクトを開始した。

世界30カ国・地域のヤマハ発動機グループ140社の拠点をサービス提供エリアとしてカバーし、一元運用を容易にするカスタマーポータルまでがワンストップで提供される仕組みの構築を目指す。最終的には、アジア・日本・中国・台湾・欧州・北米・南米という7つのリージョンでクラウド化する計画だが、第1段階としてアジア地域のシステムを、シンガポールへの移行を完了した。第2段階として日本国内のシステムを、横浜への移行を推進している。
（出所：NTTコミュニケーションズ BCP対策特集）

中小企業の事例：新産住拓株式会社（熊本県、従業員数126名）

熊本市の工務店である新産住拓は、台風に備えて強化してきた災害対応力に加えて、東日本大震災で地域の工務店が遭遇した課題から学び、想定していなかった熊本地震発生において先手の取組みを実践した。

社員の安全確保を最優先として、建築知識が少ない社員でも顧客からの要請に応じられるように電話対応マニュアルと、被害状況の聞き取りチェックシートを整備した。台風用で作り上げた仕組みを、地震用へ更新し応用した。

状況に応じて計画変更を柔軟に行い、震災時には備蓄品の不足を想定し、県外のグループ会社への支援要請を行い、生活用品などのプッシュ型支援を依頼した。社員家族へ支援だけでなく、県外協力業者への職人派遣の依頼を行った。その際は、アパートやホテルをあらかじめ押さえておき、業務ができる仕組みを整えていた。

また、顧客へのブルーシートがけや応急措置の費用を無料として、既存の顧客の復興を第一優先とし、緊急時の費用説明の負担を軽減することで社員のモチベーション低下を防いだ。創業以来の赤字決算ではあったものの、損得より善悪で判断する経営方針により、判断した結果である。

（出所：中小企業庁）