BCPとBCMの違いとは?合わせて知っておきたいBCMSも徹底解説!
BCPとBCMの違いとは?合わせて知っておきたいBCMSも徹底解説!
「事業継続計画」と呼ばれるBCPは、企業が緊急事態発生時にもビジネスを存続させるために重要な計画です。しかし「企業防災」や「BCM(事業継続マネジメント)」などの似通った言葉と区別しにくいものです。 そこで今回は、非常時の備えとなるこれらの用語について、それぞれの違いや意味を整理してご紹介します。
BCPとBCM、防災の違いとは?
まずはそれぞれの用語について、意味や定義を整理しながら違いを見ていきましょう。
BCP(事業継続計画)
BCPとは、「Business Continuity Plan」の略で、「事業継続計画」と訳されます。大規模な災害や感染症の流行などの緊急事態発生時においていち早く事業の復旧を試み、ビジネスの継続を目指すための計画です。
「事業継続計画」という言葉の通り、主目的は「緊急事態下においても事業を継続させること」であり、特に有事の事後対応策に主眼を置いたリスクマネジメントの手法です。
事業継続に関わる国際規格として、「ISO 22301」という認証制度があります。
ISO 22301は、2012年に初版、2019年に最新版が発行されています。2012年版ではBCP、BCM、そして次章で解説するBCMSについて定義されていましたが、2019年版ではBCMとBCMSの用語が割愛され、BCPのみの内容に変わりました。
BCPについては、ISO 22301:2019で以下のように定義されています。
「事業の業務の中断・阻害に対応し、事業を復旧し、再開し、あらかじめ定められたレベルに回復するように組織を導く文書化された手順」
ISO 22301の定義にあるように、厳密にいえばBCPは事業継続計画を「文書化」したものを指します。後述するBCM(事業継続マネジメント)をアウトプットした成果物と認識すると良いでしょう。
BCPと防災の違い
BCPとよく混同されがちなものに「企業防災」があります。
企業防災とは、災害などの発生時に従業員や関係企業、取引先や顧客などの安全を守るための災害対策全般を指す言葉です。個人レベルの防災とは異なり、企業としての社会的責任を果たすために極めて重要になります。
BCPがあくまでも「災害発生後の事業継続」を目指すアプローチであるのに対し、「防災」と定義されるものは「災害発生時の被害を最小限に留める」点が異なります。
BCM(事業継続マネジメント)
BCPと関連する用語としてよく言及されるのが、BCM(事業継続マネジメント)です。 正式名称は、「Business Continuity Management」です。
直接的な防災や事業継続計画の策定からそれらの改善・運用までを総合的に考えるもので、非常事態そのものへの対策ではなく「対策手段の運用プロセス」を設計するために必要となるアプローチです。
BCMについて記述のある2012年版のISO 22301では、以下のように定義されています。
「組織への潜在的な脅威、及びそれが顕在化した場合に引き起こされる可能性がある事業活動への影響を特定し、主要なステークホルダの利益、組織の評判、ブランド、及び価値創造の活動を保護する効果的な対応のための能力を備え、組織のレジリエンスを構築するための枠組みを提供する包括的なマネジメントプロセス」
BCPが「災害発生の事業継続」を考えるもの、企業防災が「その場の被害」を抑えるための手段であるのに対して、BCMはそれらの「計画・導入・運用・改善」などを考えるものであり、似ているようで厳密には異なります。
BCMには「BS25999」などの専用規格も存在しており、計画を立てるためのマネジメント手法やフレームワークなどを定量的な視点からも評価できるとされています。
BCMS(事業継続マネジメントシステム)とは?
BCPとBCM、防災の違いが整理できたところで、続けてBCMS(事業継続マネジメントシステム)について解説します。
BCMSとは「Business Continuity Management System」の頭文字を取っています。先ほどご紹介したBCMを円滑に運用するためのシステムです。BCPの運用を経営と一体化し、いかなる状況でもできるだけ早急に事業を復旧させることを目指すことを目的としています。
BCMSについての記述のある2012年版のISO 22301では、以下のように定義されています。
「マネジメントシステムの中で、事業継続の確立、導入、運用、監視、レビュー、維持及び改善を担う部分」
BCMSには主に事業継続計画の立案・導入・改善を支える役割があり、特に法改正や新たな脅威といった「変化」へ常に適合していくために重要です。
BCP・BCMの重要性とは
では、リスクマネジメントの領域においてBCPとBCMはなぜ重要とされるのでしょうか。それは「企業としての信用」を保つためです。
例えば、大きな災害によって自社の事業の遅滞や停止が起こった場合、取引先やユーザーからの信頼を失う可能性があります。実際、東日本大震災などに代表される大きな災害の発生後には、復旧に長い時間を要した結果多くの企業が事業縮小や廃業といった事態に直面することとなりました。
業種や業態によっては、事業停止が社会全体に大きな影響を及ぼす可能性も考えられます。それまで築き上げてきた信用やブランドを毀損(きそん)しないためにも、事業継続計画とそのマネジメントが重要になるのです。
ここでは、企業がBCPとBCMに取り組むことの重要性についてご紹介します。
緊急事態の発生時に早急な対応をするため
近年、豪雨や地震などの自然災害の発生頻度が高まっています。ひとたび災害が発生すると、被害対応のために必要なヒトやモノをはじめとするさまざまなリソースが被災地域全体で不足します。こうした予測不能な緊急事態において企業に求められることは、迅速な対応力です。被害状況の把握をはじめとした緊急時の対策に遅れが生じると、必要なリソースが入手できなくなる可能性があります。事業を再開できるようになっても営業シェアが減少するなど、企業活動に大きな影響が及ぶこともあるでしょう。
緊急時にどのような対応を行うのかといったルールや実施体制をあらかじめ決めるなどして、BCPやBCMを充実させておく必要があります
従業員や顧客などの安全確保をするため
自然災害やパンデミック、事故やテロ被害など、重大な事案が生じた際に何よりまず優先すべきなのは安全確保です。従業員だけでなく、取引先や顧客などの関係者、近隣住民の人命を守るための仕組みづくりが求められます。
有事の際に従業員一人ひとりが当事者として迅速に行動できるようするためにも、判断基準と行動手順などのルールを記載したBCPをいつでも確認できるような準備が必要です。また定期的に訓練を行い、避難経路の確認や避難方法、安否確認の方法といった具体策をまとめておくと、いざという時に役立ちます。
国内外で重要視されつつあるため
企業のBCP・BCMへの対応が重要視されるようになったのは、2001年のアメリカ同時多発テロ事件、いわゆる「9.11」がきっかけといわれています。この事件を機に、突発的な事態が起きても事業を継続させることがいかに重要であるかが注目されるようになりました。
自然災害が頻発する日本においても、2005年に「事業継続ガイドライン」の第一版が内閣府から公表され、企業においてもBCP策定を強く推奨されるようになりました。その後、大災害が生じる度にその教訓を反映して改定され、実用性の向上や普及、安全確保の強化などが盛り込まれていきました。
頻発する自然災害はいつ、どこで起きても不思議ではありません。中小・零細企業においても事業継続についての備えを充実させておくことは、社会に貢献するサプライチェーンの一員としての役割といえるでしょう。
BCP・BCMを構築する方法
ここでは、BCP(計画立案)とBCM(運用の仕組み)を構築する手順について、順番にご紹介します。
1.BCP・BCMの基本方針を決定する
まずは、BCP・BCMの基本方針を決定するところからはじめます。自分たちが何を目的に事業を行っているか、社会の一員としてどのような使命があるからこそ事業を継続する必要があるのか、という原点を見直しましょう。経営理念や基本方針を振り返って「事業継続の目的」を明らかにし、BCP・BCMの実行可能性を高めていきます。
2.重要業務の特定とリスク分析を行う
次は、自社にとって最も重要な業務と、その業務への影響が想定されるリスクを洗い出す段階です。
まず、企業として災害時に優先的に継続しなければならない活動を「中核事業」に位置付けます。一例として、「スケジュールの遅延による損害が甚大な事業」「売上に大きく影響する事業」「社会からの評価を左右する事業」といったように考えると良いでしょう。非常時に十分なリソースがない状況でも、継続しなければならないことも中核事業に当てはまります。目安のひとつとして「リソースが7割不足していても継続が必要」と考えられるか否かで判断してみることをおすすめします。
そして、想定すべきリスクを分析します。最悪の事態が起こった際に「企業にとって起きると困るリスク」がどういったものかを明確に言語化することが大切です。自社のリソース(人、モノ、カネ、情報)などに及ぼす被害状況も可視化しておきます。このように、リスクをすべて洗い出してから具体的な対策を検討するステップにつなげます。
3.リスクに優先順位をつけて、計画を立案する
各業務がどのようなリスクを抱えているかを把握してから、具体的にどのように対策していくかを考えます。
緊急時に十分なリソースがない状況下では、想定しているすべてのリスクに対応することは現実的ではありません。そのため、リスクに優先順位をつける必要がありますが、ポイントはリスクの「深刻度」や「発生頻度」といった影響の度合いです。
そして、優先的に継続する業務とそれぞれの復旧時間、指揮系統や行動マニュアルといった具体策を計画していきます。「災害発生すぐの状況把握」「代替手段での応急対応」「平常業務までの復旧作業」という3つの段階に分けて計画するのがセオリーです。
4.計画書を作成する
上記の項目を「事業継続計画書」としてまとめます。
計画書は、データや紙のファイルなどのいくつかの方法で閲覧できるようにしておきまましょう。クラウド上にデータを保管しておくといつでもどこからでも閲覧できて便利ですが、紙での保管も重要です。非常時には「停電や充電切れでパソコンやスマートフォンが使えない」「通信障害でネットワークにつながらない」という状況になる可能性が高いためです。紙のファイルを従業員一人ひとりに配布したり、チームや部署ごとに所定の場所に保管したりするなどして備えておきましょう。
5.BCP・BCMを定期的に更新する
「経験のない災害時にどう行動するか」を計画したBCP・BCMははじめから完璧な内容を構築できるものではありません。もしもに備えて検討を慎重にするあまり計画の完成が遅れると本末転倒だからです。災害訓練や他地域の被災経験などから学び、定期的に見直して充実させていくという考え方が大切です。
さらに、経営状況や戦略により事業内容や組織体制が変化することもあります。ITやテクノロジーの進化によって業務オペレーションが変わることもあります。自社の現状に合わせてBCP・BCMの内容を改訂し、社内に浸透させていく必要があるでしょう。
あわせて押さえておきたい「DR」と「DRP」も解説!
ここまでBCPとその関連用語について、それぞれの意味や目的を整理しつつその違いを解説しました。さらに掘り下げて、関連キーワードである「DR」「DRP」についても見ていきましょう。
DR(災害復旧)とは
DRとは「Disaster Recovery(災害復旧)」の略語で、自然災害やテロの発生、ハッキングなどのさまざまな被害を想定し、迅速に復旧するための体制を整えることを指します。特にシステム運用の領域で用いられる概念であり、災害に起因するサーバーエラーやシステム障害などのリスクを回避するための方法を考慮するものです。
例えば「データのバックアップを常時取り続けるツールの導入」や「バックアップからのリカバリ地点や作業時間の目標設定を行う」などが該当します。
DRP(災害復旧計画)とは
DRPとは「Disaster Recovery Plan(災害復旧計画)」の略語で、前述したDRを実施・運用するための計画を指します。BCPと同じく「復旧のための計画のポイント」を示したものであり、特にシステム運用やデータ管理といった領域で重要となるものです。
具体的には「災害発生時に取るべき対処法」といったものから、「災害レベルに応じた対応のフロー策定」「想定される障害別のオペレーション」などの細かな内容までを包括しており、事前に策定しておくことで有事の時のリスクを軽減することにつながります。DRPの策定は、BCPを考える上でも欠かせないものになります。
まとめ
災害はいつ、どこで、どのように発生するか誰にも予測ができないものです。そのため「災害発生時に取るべき行動」や「被災後、事業を復旧させるためにすべきこと」などは、できるだけ社内で共通認識を持っていることが重要です。
しかし「いつ起きるか分からない災害の対策」よりも「今取り組むべき目の前の仕事」を優先してしまう企業も多く、有事の時の共通認識などを完璧に定めることができているのは少数派とも考えられるでしょう。人員や予算には限りがあるため、すべてをあらかじめ完璧なものに組み立てることは担当部署にも大きな負担がかかります。
パソナ パナソニック ビジネスサービスでは、災害対策やBCP策定の支援など、主に総務部が管轄するさまざまな企業のリスクマネジメントを支援するサービスを提供しています。自社のリスク管理体制を充実させたいとお考えの方は、ぜひ一度ご相談ください。