内閣府によると、南海トラフ地震と首都直下地震が今後30年以内に発生する確率は70%ということです。南海トラフ地震は関東から九州の広い範囲で被害をもたらすことが予想されていますし、首都直下地震は首都中枢機能を麻痺させる可能性があるといわれています。中小企業を含め、すべての企業が近い将来に発生する災害に備えることはもはやリスクマネジメントとして必須といえるでしょう。
ここでは、災害などの緊急事態に備えて策定しておくべきBCPの目的や、取り組む際のポイント、具体的策定方法を事例を取り上げながら説明します。
クラウドバックアップについて知りたい方はこちら
目次
BCP対策と防災の違い
BCP対策とBCMの違い
BCP対策の目的は?
BCP対策が重要な理由
BCP対策で備えるべき主な災害
海外におけるBCP普及事情
国内におけるBCP普及事情
BCPを策定する方法
BCP策定を外部に依頼する方法
BCP対策に取り組む際のポイント
BCPを策定した後の重要ポイント
BCP対策が抱える課題とは
BCP対策とDCP対策の関係性
BCP対策の事例
中小企業のBCPにはクラウドが最適
BCP対策に活用!おすすめツール・サービス6選
「使えるクラウドバックアップ」で万全の危機管理を簡単に
FAQ
BCP対策とは?
BCP対策とは、緊急事態の被害を最小限にとどめるためのマニュアル(=BCP)を策定したり、それに基づいて訓練をしたりすることです。
BCP(Business Continuity Planning)の定義はさまざまですが、内閣府が発行した「事業継続ガイドライン」(令和5年3月)では次のように説明されています。
「大地震等の自然災害、感染症のまん延、テロ等の事件、大事故、サプライチェーン(供給網)の途絶、突発的な経営環境の変化など不測の事態が発生しても、重要な事業を中断させない、または中断しても可能な限り短い期間で復旧させるための方針、体制、手順等を示した計画のことを事業継続計画(Business Continuity Plan、BCP)と呼ぶ。」
出典:内閣府防災情報のページ 「事業継続ガイドラインーあらゆる危機的事象を乗り越えるための戦略と対応ー(令和5年3月)」
BCP対策と防災の違い
BCP対策と防災では目的が異なります。防災の主な目的は人命や財産を保護することで、防災計画は有事における初動対応を中心に策定します。
それに対しBCP対策の目的は前述した定義に示されているように、「重要な事業を中断させないこと」です。そのため、有事における初動対応に加えて、事業を復旧させ継続するための具体的計画も策定しなければなりません。もっとも、事業を継続するためには従業員を保護し、企業資産を保護することが含まれるため、BCP対策と防災には密接な関係があります。
また、BCPが事業継続を目的にしているため、対象とする脅威にも若干の違いが生まれます。防災はその名の通り、自然災害や伝染病などの災害の脅威を防ぐことを目的としていますが、BCPはやや異なります。なぜなら事業継続を困難にする要因は自然災害だけではないからです。特に近年は中小企業も含めてサイバー攻撃の脅威にさらされていますし、システム障害などによるサプライチェーンの途絶にも備えておかなければなりません。
BCP対策とBCMの違い
BCM(Business Continuity Management)は「事業継続マネジメント」と訳されます。内閣府発行の事業継続ガイドライン(令和5年3月)では次のように定義されています。
「BCP策定や維持・更新、事業継続を実現するための予算・資源の確保、事前対策の実施、取組を浸透させるための教育・訓練の実施、点検、継続的な改善などを行う平常時からのマネジメント活動は、事業継続マネジメント(Business Continuity Management、BCM)と呼ばれ、経営レベルの戦略的活動として位置づけられるものである。」
この定義に示されている通り、BCP対策は、企業が平常時に行う経営戦略としてのBCMに包含されることになります。
出典:「事業継続ガイドライン第三版ーあらゆる危機的事象を乗り越えるための戦略と対応ー解説書」(平成26年7月、内閣府(防災担当))
(https://www.bousai.go.jp/kyoiku/kigyou/pdf/guideline03_ex.pdf)
注目すべきなのは、BCMが経営戦略である点です。有事に備えたBCMは平常時の企業活動とシームレスにつながっています。
例えば、BCMにおける重要業務を選定するためには、経営層が自社業務の本質や根幹について深く考える必要があります。また、有事における事業継続を目的とした人材や予算確保の取り組みは、自社の経営資源の見直しや業務効率化につながることにもなります。そして、こうしたプロセスを通じて経営者のリーダーシップは磨かれていくでしょう。BCP対策を含んだBCMを、単なる「防災計画」ととらえるべきではないことがお分かりいただけるはずです。
BCP対策の目的は?
企業が毎日取り組むべき課題は山ほどあります。そのため、BCP対策が大切だと分かってはいても、「いつかはやるつもり」と後回しになってしまいがちです。また、BCP対策にはそれなりの予算を割かなければならないため、コスト面を考えても「うちには無理」とあきらめてしまう中小企業の経営者の方もいらっしゃるでしょう。
ここでは、BCP対策の目的について説明します。BCP対策のハードルが高くても取り組むべき理由が分かるはずです。
従業員と事業を守るため
企業経営に欠かせない「ヒト、カネ、モノ、情報」は、4大経営資源といわれます。当然ながら、いくら潤沢な経営資金や最先端の設備、貴重な情報を保有していても、それらを動かし、活用するのは「ヒト」です。そのため、企業の経営資源のうち最も重要なのは従業員です。
BCP対策の目的は従業員を守ることであり、緊急事態に直面しても事業を継続できるようにしておけば、従業員の生活や取引先を守ることにもつながります。
企業価値を高めるため
企業価値とは、企業の価値を目に見える数値で表したものです。具体的には貸借対照表上の株式価値と負債価値を合わせたもので評価されます。長期的な視点で企業価値を高めるためには、さまざまな対策が関係していますが、収益力や投資効率を高め、財務を改善することに加えて、BCP対策の有無も重要な鍵を握ります。適切なBCP対策は、投資家を安心させ、従業員のエンゲージメントを高めることにつながるからです。
BCP対策が重要な理由
BCP対策が重要なのは自明の理と思えますが、独立行政法人経済産業研究所の調査(2019年4月)によると、規模が小さい企業ほどBCP対策を行っていないことが明らかになりました。
従業員が1,001人以上の企業は全体の69.5%がBCPを策定済みでしたが、301~1,000人の企業だとその割合は43.7%まで低下、21~50人の企業では11.3%、20人以下の企業ではわずか2%に過ぎませんでした。
新型コロナウイルス感染拡大によって倒産した企業の大部分が中小企業だったことと、BCP策定の有無は決して無縁ではないはずです。ここでは特に中小企業こそがBCP対策を行うべき理由について3つ取り上げましょう。
会社の経営悪化の危機を防げる
上述したようにBCPを含むBCMは経営戦略の一環です。BCPを策定することで、企業は平常時からリスクマネジメントの意識を高めることもできるのです。
そのため、BCP対策をしていないのは災害に対する備えができていないだけでなく、平常時のマネジメントも仕組み化されていなかったり、長期的視点が欠けていたりする可能性が高いといえます。特に中小企業では経営者のリーダーシップに依存する傾向があり、リスクマネジメントも属人的なのかもしれません。そうした状態が続くと、災害に直面しなくても経営の本質的な課題が徐々に顕在化し、経営悪化につながる恐れがあります。
緊急時でも潰れない体制を整えられる
前述した通り、BCPは事業を継続するための計画です。言い換えると単に災害から復旧させる一時しのぎの対策ではありません。
日本の多くの企業がBCP策定を始めたのは2011年の東日本大震災がきっかけといわれていますが、東京商工リサーチの調査(2023年)によると、震災から11年経った2022年でも震災関連倒産は21件、月平均1.8件発生したとのことです。この数字から伺えるのは震災の痛手を乗り越えて一時的に事業を再開したものの、経営基盤が弱く最終的には力尽きて法的手続きに踏み切ったケースがあるということです。
BCPを策定し、常に見直し続けることで企業は常に自らの経営体制や経営資本を分析し、緊急時でも潰れず、長く生き残り続けるだけの安定した基盤を作り上げることができるのです。
企業価値の改善が期待できる
企業価値を高める要素の一つにCSR(「Corporate Social Responsibility」=企業の社会的責任)があります。CSRは企業が社会や株主などのステークホルダーに対して、責任を持って行動することを指します。
前出の「事業継続計画(BCP)に関する企業意識調査」によると、中小企業が大企業に比べBCPが不十分な一つの原因として「災害などで大きな被害を受けた場合は無理して事業を続けない」と考えている点が指摘されていました。これはまさに多くの中小企業のCSRの認識が欠如していることを表しています。
しかし、企業活動が継続できなくなれば困るのは経営者だけではありません。「災害が起きたらそれまで、事業はあきらめる」と言ってはばからない企業に投資しようとする投資家がいるでしょうか?また経営者が継続する意思がなければ従業員エンゲージメントも当然低下します。
逆にBCP対策をしっかりと行っている企業はステークホルダーからも信頼されます。例えば、事業継続を目的とした設備投資をするための融資を有利な条件で受けることも可能です。
参考:プロが教える 現場のためのBCP対策【BCPP】「CSRとしてのBCP対策」
BCP対策で備えるべき主な災害
BCPは「災害」に備えるための対策です。ただ、一口に「災害」といっても引き起こされる理由や、もたらす被害もさまざまです。会社の資産である「モノ」や「ヒト」を脅かす可能性もあれば、見えない資産である「情報」の消失につながるものもあります。ここでは、BCP対策で備えるべき主な災害3つについて説明します。
自然災害
BCP対策で備えるべき主な自然災害には以下の種類があります。
・地震
・水害や台風
・感染症
・地震
国土交通省によると、2004~2013年に全世界で発生したマグニチュード6.0以上の地震の18.5%が日本で起きたものでした。日本の国土は世界の0.25%に過ぎないことを考えると、地震の発生頻度は極めて高いといえるでしょう。
また、上述したように南海トラフ地震についてはマグニチュード8~9クラスの大規模地震が発生する確率は70~80%、首都直下地震については南関東域で30年以内にマグニチュード7クラスの地震が発生する確率は70%といわれています。地震は発生すれば、広範囲に渡って交通インフラやライフラインに被害をもたらすことから、企業はBCPを策定する際に地震の発生を考慮に入れておかなければなりません。
・水害や台風
地球温暖化の影響で年々水害リスクが高まっています。日本の年間平均気温は100年前に比べて1.26℃上昇し、全国の1時間降水量50mm以上の年間発生回数も年々増加しています。近年でも2020年に九州地方を襲った「令和2年7月豪雨」や、岡山県倉敷市などを中心に発生した2018年の「平成30年7月豪雨」などが記憶に新しいところです。
多くの企業活動は年々ITシステムへの依存度を増していますが、水害が発生すると電気や水道などのインフラが破壊され、浸水や停電によってネットワークやサーバがダウンしてしまいます。それにより、メールなどのやりとりができないだけでなく、受発注システムが使えなくなり、顧客データや機密情報が消失する恐れもあります。
・感染症
新型コロナウイルス感染により消費需要は低迷し、飲食店、宿泊業、観光業を中心に多くの企業は大ダメージを被りました。また、感染拡大防止策として感染者の隔離措置が徹底され、製造業などでもサプライチェーンが寸断され、中小企業を中心に事業抑制を余儀なくされました。
人為的な災害
人為的な災害には仕入れ先の倒産、バイトテロ、操作ミスによるシステム障害などが考えられます。
バイトテロとは、雇用されている店員や従業員が店頭や他の場所で悪ふざけをする様子をSNSなどを用いて拡散し、製品やサービスに対する評判や企業ブランドを低下させることを指します。また、企業内部の暴力やコンピュータ犯罪により発注や基幹システムに支障が生じることも考えられます。
セキュリティ攻撃
新型コロナウイルスによってテレワークが大規模に導入されるなど、社会経済活動は大きく変化しました。また、政府も推し進めているDX(デジタルトランスフォーメーション)の進展により、セキュリティ攻撃のリスクは日増しに高まっています。
2022年9月5日に経済産業省は「サイバー攻撃被害のリスクが高まっており、ランサムウェアをはじめとするサイバー攻撃被害が国内外のさまざまな企業・団体等で続いている」として、「サイバーセキュリティ対策の強化」について注意喚起を行いました。中でも強調されているのがサイバーセキュリティ対策を徹底し、「持続可能な体制を確立」することです。仮にサイバー攻撃によってシステムが停止した場合でも、BCPを策定し代替手段を整備していれば業務を継続することが可能です。
サイバー攻撃とは何かを知りたい方はこちら
セキュリティ対策とは何かを知りたい方はこちら
脆弱性とは何かを知りたい方はこちら
海外におけるBCP普及事情
アメリカでは2001年の同時多発テロ以降、国土安全保障省(DHS)の主導でBCP対策が推進されています。例えば、DHSは2004年から『Ready Business』プログラムを始め、BCPに関する情報や対策に必要なテンプレートを提供しています。
また、新型コロナウイルスの世界的流行は、多くの企業にBCP対策の重要性を銘記させました。例えば、シンガポール企業庁は、感染拡大の初期段階である2020年2月に『Guide on Business Continuity Planning for COVID-19』と呼ばれるBCPガイドラインを発表しました。ガイドラインの内容は人員管理、業務プロセス、サプライヤー・顧客管理など多岐に渡ります。
参考:リスク管理Navi 「シンガポールの新型コロナウイルス感染症(COVID-19)に対するBCPガイドライン ~その概要と日本企業での活用方法~」
国内におけるBCP普及事情
帝国データバンクが2022年5月に全国1万1,605社を対象に行った調査によると、BCPを「策定している」と回答した企業は17.7%で、2020年5月の16.6%からやや増加しています。ただ、規模別に見ると、大企業のBCP策定率が33.7%で、2016年の27.5%から6.2ポイント上昇しているのに対し、中小企業では14.7%で、2016年の12.3%から2.4ポイントの上昇にとどまります。中小企業にとってBCP策定は、人材確保やコスト面からハードルが高いことが伺えます。
また、同調査によると、企業によって「事業の継続が困難になると想定しているリスク」のうち、最も回答が多かったのは「自然災害(71%)」であり、「感染症(53.5%)」、「情報セキュリティ上のリスク(39.6%)」と続きます。また、「戦争やテロ」、「物流の混乱」と回答する企業が増加傾向にあることも注目すべきでしょう。
参考:帝国データバンク 「事業継続計画(BCP)に対する企業の意識調査」(2022年)
BCPを策定する方法
BCP対策の目的や重要性について理解すると、中小企業でコストや人員が限られていても、できるだけ早くBCPを策定する必要があることがお分かりいただけたと思います。中小企業が大企業と同じだけのレベルでBCPを策定することは困難だとしても、まずは以下の手順に沿って策定を検討してみてはいかがでしょうか?
方針の決定
BCPの目的が事業継続であるといっても、最優先すべきなのは身体・生命の安全確保です。それは人道的な面から重要かつ当然であるだけでなく、事業継続の観点からも従業員の生命はもっとも重要な企業の資源だからです。BCP対策において従業員の身体・生命の安全確保を優先することで、従業員エンゲージメントは向上し、企業価値も高まります。
組織・体制の構築
以上の方針を前提に各部署と連携をとりながら組織・体制を構築します。経営者を責任者とし、緊急時における指揮命令系統、各部署の役割と責任をできるだけ明確にしておきましょう。緊急事態の状況について具体的かつ正確に想定することは困難ですが、大まかに「初動対応」と「事業継続対応」に分けて実施主体と実施項目を時系列で管理できる管理表を作成します。
現状分析
緊急時にはインフラが被害を受け、人的リソースが減るため、企業が平常時と同じような形で事業を継続することは不可能です。そのため、「中小企業庁BCP策定運用指針」はまず「優先して継続・復旧すべき中核事業を特定する」ことをすすめています。目安として平常時の3割程度のリソースしか確保できなくても自社は何を重視するか、分析してみましょう。
被害分析
自社が直面しやすいと思われる被害、リスクを分析します。上述した、企業が備えるべき災害の中で可能性の高いものから優先的に対策を講じます。優先順位は2通りの軸で判断するとよいでしょう。つまり、「頻繁に発生する可能性があるかどうか」、また「発生した場合のリスクの深刻度」です。
対策手段の検討
「中小企業庁BCP策定運用指針」では具体的な対策手段として以下の点を検討しておくようすすめています。
・緊急時における中核事業の目標復旧時間※
・緊急時に提供できるサービスのレベルについて顧客とあらかじめ協議
・事業拠点や生産設備、仕入品調達等の代替策
目標復旧時間について知りたい方はこちら↓
こうした一連の策定のプロセスは一度やればそれで良い、という訳ではなく、診断・維持・更新を繰り返していく必要があります。また、経営層でBCPを策定しても、それに従業員が精通していなかったり、その存在すら知らなかったりすれば「絵に描いた餅」です。従業員とのコミュニケーションの機会をもち、単に周知するだけでなく、BCPが組織の文化として定着するようになるのが理想です。
参考:「中小企業BCP策定運用指針」(中小企業庁)
(https://www.chusho.meti.go.jp/bcp/index.html)を加工して作成
BCP策定を外部に依頼する方法
中小企業の経営者の中には、BCP策定を行うにあたって、どこから手を付けたら良いか分からないという方もいらっしゃるでしょう。中小企業庁など、行政機関がBCP策定のためのガイドラインやテンプレートなどを提供してくれているため、それらを参考にしながら策定するのも一つの方法ですが、外部に依頼する選択肢もあります。ここでは、BCP策定を外部に依頼する場合の依頼先、メリットとデメリット、外部依頼が適したケースについて説明します。
BCP策定の依頼先
BCP策定の依頼先として挙げられるのは、専門のBCPコンサルタントや行政書士です。BCPコンサルタントはBCPに特化してサービスを提供しており、さまざまな業界において実績や経験を積んでいます。そのため、コストは高めですが、より専門的なサポートを受けられるでしょう。
行政書士は法律の専門家であり、行政機関の施策や法改正にも精通しています。また、費用もBCPコンサルタントよりも低めです。ただ、BCPコンサルティングに比べて、システム関係に弱い場合もあるため、自社のニーズに合わせて依頼先を選ぶことが大切です。
外部に依頼するメリットとデメリット
BCP策定を外部に依頼するメリットは、時間を節約できることです。そもそも多くの中小企業においてBCP策定が後回しになるのは、毎日の業務に追われて時間がないからです。外部に依頼するなら、その課題を解決できます。
BCP策定を外部に依頼するデメリットは、費用がかかることです。ただ、上述したように依頼先にもさまざまな選択肢があるため、相手のサービス内容とコストパフォーマンスに精通するようにしましょう。
外部依頼が適したケース
BCP策定を外部に依頼するのに適した代表的なケースは、毎日の業務に追われ策定に割く時間がない場合です。自然災害やサイバー攻撃はいつやってくるか分かりません。そのため、できるだけBCP策定を急ぎたい場合は、外部依頼を選択しましょう。もちろん、そのためにはある程度の費用の余裕が必要です。
また、BCP対策のための人材やノウハウが不足している場合も外部依頼を選ぶことで策定がスムーズに進むはずです。
BCP対策に取り組む際のポイント
前述したように、中小企業が自らBCP対策に取り組む場合には、多くの手順を踏む必要があります。そのため、日々の業務に忙殺されている場合、BCP対策はハードルが高く感じるでしょう。しかし、いくつかのポイントを押さえておくことで効果的にBCP対策を進めることが可能です。ここでは、3つのポイントを紹介します。
自社におけるBCP対策の現状をチェックする
BCPに限りませんが、企業が課題にアプローチする場合、最初にすべきなのは、自社の現状を把握することです。BCP対策においても、まず自社がどのくらい取り組めているのかチェックしましょう。BCP対策は経営とシームレスにつながっているため、すでに何かしらの取り組みをしていることが分かるはずです。具体的には、人的資源、施設や設備に対する備え、資金や情報、データの消失を防ぐための対策についてチェックしてみましょう。
文書化する際はテンプレートを活用する
BCP対策は自社のニーズに合ったものにすべきですが、すべてを一から策定しなければならない訳ではありません。業種や業態ごとにどのような対策をすべきかはある程度共通しているため、提供されているテンプレートを活用すると策定のコストを削減できます。中小企業庁や事業継続推進機構がガイドラインやテンプレートをWeb上に公開しているため、参考にしてみましょう。
参考:中小企業庁ウェブサイト
(https://www.chusho.meti.go.jp/bcp/contents/bcpgl_download.html)
参考:事業継続推進機構 「中小企業BCPステップアップガイド」
取り組みやすいことから始める
BCP対策が進まない一つの理由に、最初から完璧なものを作ろうとしていることが挙げられます。特にノウハウがない中小企業がいきなりすべてに取り組もうとしても途中で挫折するのが関の山です。そのため、まずできること、取り組みやすいことから始めることをおすすめします。
例えば、データの消失を防ぐための対策として、データのバックアップをクラウド上に保管するだけでもBCPとしての機能を果たすことができます。この点でおすすめのクラウドサービスやバックアップツールについては後述します。
BCPを策定した後の重要ポイント
最初から完全なBCP対策があり得ない以上、重要なのは策定したあとの対応です。BCPを作成してそれで満足するのではなく、そのあとも定期的に内容を見直し、常に更新していく必要があります。また、策定したBCPがいざというとき適切に機能するように従業員や顧客に周知徹底することも必要です。以下では、BCP策定後の3つのポイントについて解説します。
継続的にテストし課題を洗い出す
BCPの策定内容に沿って定期的にテストを実施し、問題がないかを検証します。BCPのテストはPDCAサイクルに基づいて行います。つまり、BCPを策定し(Plan)、実施し(Do)、課題を洗い出し(Check)、対策を検討・実施します(Action)。
例えば、従業員の安全を確保するために、災害時の避難について策定したとします。その避難方法や経路が有効かどうか実際にテストを行ってみて、課題を検討し、改善点があればそれを織り込んでBCPを更新するのです。更新後は各方面への情報共有を忘れないようにします。
社員にBCPを教育、継続的に訓練する
いくら立派なBCPを策定しても、経営層や担当者しか知らなければ、災害時に実際に機能することはありません。「絵に描いた餅」とはまさにこのことでしょう。社員全員が災害時に迅速に行動できるようにするためには、教育の機会を定期的に設けることが大切です。マニュアルに精通するだけでなく、緊急時にも落ち着いて行動できるようにトレーニングを実施しましょう。
顧客や取引先と情報共有する
災害時に事業を継続するためには、自社だけの努力では足りません。顧客や取引先とのスムーズな連携が不可欠です。また、大企業の場合はサプライチェーンとの協力がなければ、事業継続は不可能です。
そのため、BCPを策定したら、顧客や取引先とも必ず情報共有をしておきましょう。単に資料を共有するだけでなく、できれば実際に対面してコミュニケーションを図る機会を確保するようにし、お互いの信頼関係を普段から強化しておきます。
BCP対策が抱える課題とは
企業の規模に関わりなくBCP対策は必須といえます。しかし、課題も抱えています。ここでは、BCP対策の主な課題2つについて説明します。自社がBCP対策に取り組む場合にも当てはまるかどうか確認しましょう。もし、自社にも同様の課題がある場合は、BCP対策そのものをあきらめたり、先延ばしにしたりするのではなく、どうすればそれらの課題を乗り越えられるか考えるようにしましょう。
すべてが確実に機能するとは限らない
上述したようにどれだけたくさんのノウハウがあっても、専門的な知識をもつ業者に外注しても、完全なBCP対策はあり得ません。特に近年の自然災害は私たちの想像を超えた大きな脅威になることも少なくありません。そのため、目指すべきなのは、どんな事態に直面しても100%事業を継続できることではなく、事業の継続を妨げる要素を少しでも減らすことです。
策定には時間やコスト、ノウハウが必要
BCP対策の別の課題は、策定には時間やコストがかかり、ノウハウが必要になる点です。企業は売上を確保するために、主力事業に時間やコストを投入したいと思うものです。そのため、いつ起こるか分からないBCP対策のために時間やコストを割くのは後回しになりがちです。
また、BCP策定のためには法務やITなど、各方面に渡る専門的な知識が必要です。
もし、こうした点が自社にとって課題となっているなら、前述した行政機関が提供しているガイドラインを活用したり、外部への依頼も検討できるでしょう。
BCP対策とDCP対策の関係性
BCP対策に似た言葉にDCP対策があります。DCPとは「地域継続計画(District Continuity Plan)」であり、地域で被災時に優先すべき対策に関して合意形成し、実際の災害時に各組織が戦略的に行動するための指針や計画を指します。
DCPは東日本大震災をきっかけにして取り組みが始まりました。というのも、いくら各自治体や企業が独自にBCPを策定しておいても、各組織の連携がなければ、災害に強いシステムは形成できないということが明らかになったからです。つまり、BCP対策は各組織単体を対象にしていますが、DCPは複数の自治体や企業を対象にした相互補完的な仕組みを指します。
参考:株式会社ウインテックス 「BCP対策とは?災害時に企業はどう備えるか」
BCP対策の事例
BCP対策が重要だと分かっていても、リソースが限られていたり、リスク発生の可能性が低いと思うとなかなか重い腰が上がらないのも事実です。ここではBCP対策の事例を3つ取り上げます。大企業だけでなく、中小企業も含めてどのようにBCP対策に取り組んでいるのか、自社にとってのヒントを見つけられるかもしれません。
東京海上日動
東京海上日動火災保険株式会社は首都直下地震に直面し、自社の本店ビルが使用不能になっても、事故受け付けや保険金支払いを継続することを中核事業・CSRと考えています。
そのために以下のBCPを策定しています。
1. 組織・体制を構築:災害時には社長を本部長とした「本店災害対策本部」を立ち上げ
2. 緊急時の代替拠点を選定:本店(東京都千代田区)の代替拠点として多摩、新宿、横浜、大宮、幕張、立川の6拠点を想定
3. 緊急時用の機器や物資を準備:2. の拠点にも通信機器や備蓄物資を設置
4. バックアップシステムの設定:メインシステムが稼働しなくなった24時間後に稼働
5. 安否確認システムの導入:最優先事項である社員と社員の家族と連絡
6. 緊急時の応援要因の確保:災害時の人的リソースの確保
7. 訓練の実施:災害時を想定して定期的な訓練の実施
イオングループ
イオングループは東日本大震災以降、BCPを策定し、気候変動リスクに対する取り組みを行ってきました。以下の5分野があります。
情報インフラの整備:災害発生直後の情報インフラを確保するためにITツールを運用、。安否確認や店舗被災状況を一元的に管理できるシステムを構築
施設における安全・安心対策の強化:断水・停電状態でも飲料水を利用できる災害時用バルブや、緊急避難用大型テント「バルーンシェルター」を配備
サプライチェーンの強化:取引先とクラウドコンピューティングでつなぐ「BCPポータルサイト」を活用し、災害時でも被災地に必要な物資を効率的に届ける仕組みを構築
訓練計画の立案と実行:「イオングループ総合地震防災訓練」を定期的に実施
外部連携の強化とシステム化:地域行政、病院、大学、民間企業など、地域に根差した連携体制を構築
大草薬品株式会社
漢方生薬等の製造・販売を行っている同社ですが、中核事業は災害時に需要が高い胃腸薬・便秘薬の製造・販売としています。災害時には従業員の生命と安全を最優先させ、中核事業を継続するために以下のようなBCPを策定しています。
1. 事業継続検討委員会の設置
2. 備品薬品等の保管方法の改善
3. 従業員の初動訓練
4. 避難計画の周知
5. 製造場所の破損対策
中小企業のBCPにはクラウドが最適
上述したように、企業規模が小さければ小さいほど、BCP対策が遅れています。確かに、中小企業はリソースが限られているため、BCP対策を行う余裕がないのも事実です。
しかし、中小企業が自分たちにとっての中核事業をきちんと絞りこめば、BCPに多くのことが求められる訳でもありません。最初から完璧を目指すことはやめ、できることから始めましょう。
対策の一つに、災害でデータが消失しても事業を継続するためのクラウドソリューションがあります。クラウドの導入には多くのコストや専門知識、複雑な設定が必要ないため、比較的始めやすいBCPといえるでしょう。
BCP対策に活用!おすすめツール・サービス6選
BCP対策でもっとも重要なのはいうまでもなく従業員の命や安全ですが、情報も企業が保有する貴重な資産です。ここでは、年々増加し続ける企業の情報資産を守るため、BCP対策に活用できるツールやサービスを紹介します。各サービスの特徴やかかるコストを把握し、自社のニーズや予算に基づいて最適なツールを選択しましょう。
使えるクラウドバックアップ
使えるクラウドバックアップは、使えるねっと株式会社が提供するサービスです。使えるねっと株式会社は、1999年からレンタルサーバ事業を開始し、2002年に設立されたクラウドサービスの老舗です。
使えるクラウドバックアップのコンセプトは、単にバックアップ機能だけでなく、「データを守る・使う」ことを前提にしていること。そのために採用しているバックアップの方式は「イメージバックアップ」と呼ばれています。すべてのアプリ、ファイル、ユーザアカウント、各種設定、さらにはオペレーティングシステムを含むシステム全体を一気にバックアップするため、万が一データが消失した場合、すぐにシステムを復元できます。
また、使えるクラウドバックアップのディザスタリカバリ(DR)オプションによって、災害時にはバックアップイメージからクラウドの仮想マシンへ瞬時に切り替えることが可能です。つまり、事業継続を目的としたBCP対策として最適なのです。通常バックアッププランでは、「テストフェールオーバー」分のディザスタリカバリが無料でご利用いただけます。
セキュリティにも力を入れており、ファイルがアップロードされる前に米軍も採用する最高レベルの暗号化を実施します。また、すべてのファイル転送もAES-256で保護するため、サイバー攻撃からもデータを安全に守ります。
さらに、使えるクラウドバックアップが採用している「アクティブプロテクション」は、ランサムウェアからデータを守るためのAIベースのテクノロジーです。バックアップデータやバックアップソフトへの疑わしい改変もすぐに検知します。既知のランサムウェアだけでなく、未知のランサムウェア攻撃を識別する際にも効果的です。
価格は月単価1,870円(税込)~で、自社の用途に合わせて容量を自由に増やせますし、契約期間も1カ月と1年のいずれかから選べます。さらにさまざまなライセンス追加も可能です。
※価格は年一括払いで、月当たりの金額
公式HP:使えるクラウドバックアップ
サイボウズ Office
サイボウズ Officeは、「誰でもかんたんに使える」をコンセプトに開発されたクラウドサービスです。チームのための機能をワンパッケージにしており、その中にはスケジュールやファイル管理などの情報共有機能だけでなく、メールやメッセージ、掲示板などのコミュニケーションツールも含んでいます。
サイボウズ Officeにログインすると、トップ画面には各従業員にとって必要な情報が一画面にまとめられています。自分の予定や自分宛のメッセージ、掲示板の書き込みなどが一目で分かるだけでなく、自分が使いやすいようにカスタマイズすることも可能です。
自然災害や感染症が発生したときには大半の従業員がオフィスに出勤できない事態が生じ、誰か特定の人がいないと事業継続が困難になることが考えられます。この点、サイボウズ Officeであれば、社内のコミュニケーションやデータファイルなどがクラウド上に一元管理されているため、全員が自宅待機しなければならないとしても、社内と同様に業務を継続することが可能です。
また、サイボウズ Officeを経由して各従業員の安否確認もでき、最も重要な「従業員の命」を守るためにも効果的なツールといえるでしょう。
サイボウズ Officeのクラウド版は初期費用はかからず、契約期間は1ヵ月、最低5ユーザから契約可能です。スタンダードコースは標準機能をすべて利用可能、プレミアムコースはさらにカスタムアプリを加えて利用できます。
公式HP:サイボウズ Office
SmartDrive Fleet
SmartDrive Fleetは、クラウド型車両管理システムです。デバイスをシガーソケットに差し込むことで、走行データを自動収集し、リアルタイム位置情報、走行履歴の記録、安全運転診断、運転日報・月報などに活用できます。
画面が見やすく、操作が使いやすいため、研修やトレーニングに多くの時間を割くことなく、すぐに導入できる点も魅力です。
SmartDrive Fleetの活用シーンはさまざまです。例えば、ドライバーのリアルタイム位置情報を把握し指示を出したり、長時間労働や私的利用を可視化したり、車にかかるコストを削減したりするために用いることができます。
また、各ドライバーの「急発進・急減速・急ハンドル」を検知することで、安全運転をスコア化できるため、従業員全体の安全意識を向上させ、エコドライブの推進にも役立ちます。
自社で車両を多く保有している場合、SmartDrive FleetはBCP対策にも有用です。多くのドライバーが稼働中、突然の自然災害が発生しても、SmartDrive Fleetを通じてドライバーの位置や状況を把握し、安否確認ができるからです。また、管理者が各ドライバーに指示を伝え、迅速に避難できるようサポートすることも可能です。
公式HP:SmartDrive Fleet
Ryobi-IDCのバックアップNASレンタルサービス
両備システムズが提供するバックアップNASレンタルサービスは、同社が保有する岡山県のデータセンターに専用のバックアップ領域としてNASストレージを確保し、データをバックアップするサービスです。NASとは、ネットワーク接続型のストレージを指します。
データセンターが設置されている岡山県は災害リスクが低いとされています。また、同社データセンターは免震構造や多重電源、自家発電設備など堅牢なファシリティを備えているため、BCP対策としても効果的といえるでしょう。データセンターの見学も可能ですので、災害対策に万全を期すため、前もって設備を確認してみるのも良いかもしれません。
具体的には、自社にNASを1台、データセンターに1台配置することでバックアップを行いますが、バックアップ方法は完全バックアップ、増分バックアップ、差分バックアップを選択できます。災害時に自社設置のNASが被災、通信回線も不通になった場合、データセンターに設置しているバックアップ用NASを取り外し、運搬してもらうことも可能です。
データセンターとのアクセス回線はインターネット回線、専用回線いずれも利用可能です。なお、ストレージ容量は1TBから自由に選択できます。
公式HP:Ryobi-IDCのバックアップNASレンタルサービス
torocca!
torocca!(トロッカ)は、Webサイトとデータベースのためのバックアップ&復元サービスです。また、Webサイトのパフォーマンスやマルウェアなどの不正プログラムの侵入を24時間365日モニタリングする機能もあります。直感的な分かりやすいコントロールパネルのため、バックアップ管理と監視を簡単に操作できます。
保存するバックアップは最大30世代分です。月、週、日を選択し、自由にバックアップのスケジュールを選択できます。差分バックアップを採用しているため、バックアップ取得時間を大幅に削減できます。バックアップデータは高い暗号技術として知られているAES-256暗号化方式によって保護されます。
torocca!のデータセンターは、強固な地盤で災害に強い立地環境が選ばれています。高セキュアなデータセンター内にはクラウド設備を冗長構成にて設置、運用しています。そのため、貴重な情報資産を守るためのBCP対策としても有効です。
万が一の自然災害やサイバー攻撃など緊急事態発生時には、1クリックで復元できます。過去30世代の中から復元タイミングを選ぶことが可能です。
プランは「ライト」「スタンダード」「プレミアム」「エンタープライズ」の4つから選べます。月額550円からスタートできるため、事業規模に合わせて徐々にディスク容量を大きくしていくと良いでしょう。なお、初期費用は無料です。
公式HP:torocca!
Synology
Synologyとは、日立システムエンジニアリングサービスが提供する、ストレージとソフトウェアが一体となった次世代ファイルサーバです。データ保護に必要なバックアップソリューションを標準搭載しているため、BCP対策にも効果的です。直感的で分かりやすい操作のため、導入の際のトレーニングはほぼ必要ありません。
Synologyが搭載しているバックアップの機能には以下のようなものがあります。
・Cloud Sync:データをパブリッククラウドと同期暗号化
・Active Backup for Business:PC、サーバ、仮想マシンのバックアップ、増分バックアップとグローバル重複排除機能
・Hyper Backup:NAS保管データを外部デバイス、パブリッククラウドにバックアップ
Synologyはクラウドストレージではなく、NASです。そのため、導入時には機器を購入し、システムを構築するための初期費用が400~500万円ほどかかります(ユーザ数500名前後)。一見、BCP対策としてはコストの負担が大きいと感じるかもしれませんが、5年以上使用すると、クラウドストレージの年間利用料がSynologyの初期費用を上回るケースもあります。自社の従業員数や規模に合わせて検討してみましょう。
公式HP:Synology
「使えるクラウドバックアップ」で万全の危機管理を簡単に
使えるねっとが提供するクラウドソリューション「使えるクラウドバックアップ」はアプリ、ファイル、アカウント、OSに至るまで丸ごとバックアップするイメージバックアップを採用しています。そのため、万が一災害が発生し、データが消失してもすぐにデータを復元し、業務を継続できます。
使えるクラウドバックアップはすべてのファイル転送をAES-256で保護し、ランサムウェアからデータも守るためのAIベースのテクノロジー「アクティブプロテクション」を採用、気になるサイバーセキュリティ対策もばっちりです。
用途や容量に合わせて多彩なプランから選べるクラウドバックアップは月単価1,870円(税込)から、多くの中小企業の皆さまに長く使っていただきたいと思っています。
30日間の無料トライアルも実施中、是非お気軽にお試しください。
使えるクラウドバックアップのサービス詳細ページはこちら>>
FAQ
BCP対策と防災はどう違う?
BCP対策と防災では目的が異なります。BCP対策の目的は、災害時などの緊急事態においても事業を継続することです。それに対し、防災の主な目的は人命や財産を保護することです。もっとも、事業を中断させないためには、従業員の命や安全を守ることが大前提です。
また、防災の対象は自然災害や感染症ですが、BCPの対象はそれに加えサイバー攻撃、システム障害も含まれます。
BCP対策と危機管理マニュアルとの違いは?
BCPとは「事業継続計画」のことであり、そのための対策は平時の経営のあり方と密接に関連しています。事業継続計画には、いざという時に「誰が、いつ、どのように」決断するかを盛り込みますが、そこには会社経営のビジョンが反映されます。
それに対し、危機管理マニュアルは、自然災害などの緊急事態に対処する具体的な手続きを明示したものです。そのため、危機管理マニュアルはBCP対策の中に含まれるといえるでしょう。
BCP対策におけるリスクとは?
BCP対策におけるリスクには、地震や水害などの自然災害、感染症に加え、ランサムウェアなどのサイバー攻撃や、人為的なミスによって引き起こされるシステム障害などが含まれます。事業継続を妨げる要因にはさまざまなリスクが含まれますが、BCP対策はそれらのリスクをできるだけ具体的に想定し、それに対してどのように対策を講じるかを考えておくことを指します。
お電話でのお問い合わせはこちら:03-4590-8198
(営業時間:10:00-17:00)