BCPを策定する上で、まずは自社に影響を与える可能性のある災害や危機の種類を特定することが重要です。地震、台風、洪水といった自然災害だけでなく、パンデミック、サイバー攻撃、テロ、大規模事故なども考慮に入れる必要があるでしょう。各災害・危機の発生確率や影響度を分析し、優先順位をつけて対策を検討していくことが求められます。例えば、自社の立地条件から地震のリスクが高いと判断された場合、耐震対策や備蓄品の確保に重点を置くことになるでしょう。一方、サプライチェーンの寸断が懸念される場合は、代替調達先の確保や在庫管理の見直しが優先課題となるかもしれません。

サプライチェーンのリスク管理

グローバル化が進む中、サプライチェーンのリスク管理はBCPにおいて欠かせない要素となっています。自社だけでなく、取引先の状況も把握し、代替調達先の確保や在庫管理の最適化を図る必要があります。

例えば、主要な部品供給先が被災した場合、生産ラインが停止に追い込まれるリスクがあります。そのため、複数の調達先を確保しておくことや、一定量の在庫を確保しておくことが重要です。また、物流網の寸断に備えて、代替輸送手段の確保や、拠点の分散化なども検討する必要があります。サプライチェーンのリスク管理には、取引先との緊密な情報共有と連携が不可欠です。平時から取引先のBCPを確認し、非常時の対応について協議しておくことが望ましいと言えます。

従業員の安全確保

BCPの最優先事項は、（役員を含む）すべての従業員の生命と安全の確保です。災害時の安否確認体制の構築、避難訓練の実施、備蓄品の確保など、様々な対策が求められます。

例えば、安否確認システムを導入し、災害発生時に速やかに従業員の安否を確認できる体制を整えておくことが重要です。また、社内の避難経路の設定や、避難場所の確保、避難訓練の定期的な実施も欠かせません。災害時に従業員が帰宅困難になることを想定し、食料や水、毛布などの備蓄品を用意しておくことも必要です。

さらに、感染症対策としては、マスクや消毒液の備蓄、リモートワーク体制の整備なども求められます。従業員の安全確保は、企業の社会的責任であると同時に、事業継続の大前提でもあります。ハード面での対策だけでなく、従業員の防災意識の向上を図ることも重要な課題と言えます。

※感染症対策は詳しくこちらでも

ステークホルダーとのコミュニケーション

災害発生時には、株主、取引先、顧客、地域社会など、様々なステークホルダーとのコミュニケーションが重要となります。被災状況や復旧見通しについて、適時適切な情報発信を行うことがこれに当たります。例えば、自社のWebサイトやSNSを活用して、被災状況や業務再開の見通しを発信したり、取引先に対しては、個別に連絡を取り、納期への影響や代替案の提示などを行ったりすることが求められます。

また、地域社会への貢献も重要な視点です。自社の保有する資源や技術を活かし、被災地の復旧・復興に協力することは、企業の社会的責任を果たす上で欠かせません。平時からNPOや自治体との連携体制を構築しておくことが有効と言えます。

ステークホルダーとのコミュニケーションを円滑に行うためには、BCPにおいて、情報発信の方法や体制を明確に定めておく必要があります。担当者の役割分担、連絡先のリスト化、情報発信のチャネルの選定など、具体的な手順を定めておくことが求められます。

BCPの備えのレベルと投資対効果

BCPの備えのレベルを決める上では、自社のリスク許容度や投資対効果を考慮することが重要です。リスクを完全にゼロにすることは不可能であり、また、過剰な投資は企業の収益性を圧迫しかねません。BCPの策定に際しては、各対策の費用対効果を慎重に検討し、優先順位をつけることが求められます。例えば、建物の耐震補強には多額の投資が必要となりますが、人命に関わる重要な対策であると言えます。

一方、全ての業務をバックアップする体制を整えることは、費用面で現実的ではないかもしれません。自社のリスク許容度を踏まえ、どこまでの備えが必要かを見極めることが重要です。その上で、投資対効果の高い対策から順次実施していくことが望ましいと言えるでしょう。例えば、安否確認システムの導入は、比較的低コストで大きな効果が期待できる対策の一つと言えます。

BCPの備えのレベルと投資対効果のバランスを取ることは難しい課題ですが、自社の事業特性やリスク許容度を踏まえ、経営者（トップ）の積極的な関与のもと、適切な判断を下すことが求められると言えるでしょう。

BCPの実効性を高めるポイント

企業がBCPを策定する目的は、災害時においても事業を継続し、早期に通常の業務に復帰することにあります。しかし、BCPを策定したからといって、それだけで実効性が担保されるわけではありません。ここでは、BCPの実効性を高めるためのポイントを解説します。

トップのリーダーシップ

BCPの実効性を高めるためには、トップのリーダーシップが不可欠です。トップは、BCPの重要性を認識し、その策定と運用に積極的に関与する必要があります。BCPは、単なる文書ではなく、企業の危機管理体制の根幹をなすものであることを理解し、経営判断の指針として活用すべきです。
また、トップは、BCPの策定と運用に必要な人的・物的資源を確保し、従業員の意識向上を図ることが求められます。BCPの実効性は、トップの強いコミットメントなくしては成り立ちません。

BCPの全社的な浸透

BCPの実効性を高めるには、会社全体への情報共有が欠かせません。BCPは、一部の部署や担当者だけが理解しているだけでは意味がありません。災害時には、全社的な連携が必要不可欠です。そのため、BCPの内容をすべての従業員に周知し、理解を深めることが重要です。

具体的には、定期的な研修や訓練を通じて、BCPの内容を浸透させる必要があります。また、BCPに関する情報を社内イントラネットなどで共有し、いつでも参照できる環境を整備することも有効です。

BCPの今後の課題とトレンド

企業のBCPには、今後取り組むべき課題とトレンドがいくつか存在します。ここでは、BCPの最新動向と今後の方向性について解説します。

→ 関連記事：BCPとは？事業継続計画の基本と重要性を徹底解説

感染症への対応

新型コロナウイルス感染症の拡大により、多くの企業がBCPの重要性を再認識するきっかけとなりました。感染症対策を組み込んだBCPの策定について、改めて自社の体制を確認してみましょう。

まず、感染症対策としては、在宅勤務やリモートワークの導入が挙げられます。オフィスでの感染リスクを軽減するため、業務の継続性を確保しつつ、従業員の安全を守る体制の整備が求められます。

次に、サプライチェーンの見直しも重要な課題です。感染症の影響で、原材料の調達や製品の出荷に支障をきたすことがあります。複数のサプライヤーを確保するなど、サプライチェーンのリスク分散を図る必要があるでしょう。

さらに、感染症に関する情報収集と従業員への周知も欠かせません。感染状況や政府の方針を注視し、適切な対応を迅速に行うための体制を整えましょう。

サイバー攻撃への備え

近年、サイバー攻撃による被害が増加しており、BCPにおいてもサイバーセキュリティ対策の重要性が高まっています。

具体的には、まず従業員のセキュリティ意識の向上が挙げられます。標的型攻撃メールなどへの対処方法を周知徹底し、人的リスクを軽減することが重要です。また、システムの脆弱性対策やデータのバックアップ体制の整備も欠かせません。定期的なセキュリティアップデートやバックアップの実施により、被害を最小限に抑える備えが必要です。さらに、サイバー攻撃発生時の対応手順を明確化することも大切です。早期の検知と迅速な対処により、事業への影響を最小限に抑えることができます。

近年猛威をふるっているランサムウェア攻撃（身代金要求型攻撃）については、犯罪者からの身代金支払要求に対する自社のスタンスを平時から検討しておく必要があります。身代金を支払っても完全に回復できるとは限らないことや犯罪組織に対する利益供与となるなどの問題があり、一般的には支払うべきではありませんが、一刻も早い業務復旧が求められている場合や、BCPの一環としてデータ等のバックアップをどの程度行えているかによっても、判断が変わる可能性があるためです。

レジリエンス（回復力）の向上

BCPの目的は、災害や事故からいかに早く復旧できるかというレジリエンスの向上にあります。企業は、レジリエンスを高めるための取り組みを進める必要があるでしょう。

そのためには、繰り返しとなりますが、事業の優先順位を明確にすることが重要です。災害時には、限られたリソースで事業を継続しなければなりません。優先度の高い業務から復旧させる体制を整備しましょう。また、代替拠点の確保や重要データのバックアップも欠かせません。災害で本社機能が停止しても、代替拠点で業務を継続できる体制を整えることが求められます。さらに、訓練の実施によるBCPの実効性の向上も重要です。机上の計画だけでなく、実践的な訓練を重ねることで、有事の際に迅速かつ適切な対応が可能となるでしょう。

AIやIoTを活用したBCP

AIやIoTなどのテクノロジーの進歩により、BCPへの活用が進んでいます。これらの技術を活用することで、より効果的で効率的なBCPの実現が可能となるでしょう。例えば、AIを活用した被害予測や復旧シミュレーションが挙げられます。過去のデータをもとに、災害の影響を事前に予測し、最適な対応策を立案することも可能となります。

また、IoTを活用した設備の遠隔監視や自動制御も有効です（ただし、不正アクセス防止の対策を十分に行う必要があります）。センサーで設備の状態を常時監視し、異常を検知した際には自動で制御を行うことで、被害を最小限に抑えることが可能となります。

さらに、ドローンや衛星画像を活用した被災状況の把握も進んでいます。リアルタイムで正確な情報を収集することで、迅速な意思決定と適切な対応が可能となるでしょう。

まとめ

BCPは企業にとって欠かせないものですが、どこまで備えるべきか難しい問題です。リスクを完全にゼロにすることは不可能ですが、自社のリスク許容度を見極め、費用対効果の高い対策を優先的に実施することが重要です。また、BCPの実効性を高めるためには、トップのリーダーシップの下、全社的な取り組みとして推進する必要があります。策定したBCPが実現性のあるものになるよう、日頃から教育・訓練を重ね、PDCAサイクルを回していくことが求められます。

さらに、昨今の社会情勢を踏まえ、感染症やサイバー攻撃への対応、サプライチェーンのリスク管理など、新たな視点をBCPに取り入れていくことも重要です。加えて、AIやIoTを活用したBCPにも注目が集まっています。

エス・ピー・ネットワークでは、BCPの策定から運用まで、企業の実情に合わせたサポートを提供しています。詳しくは以下のリンクをご覧ください。

→ SPNのBCPサポートサービスはこちら

SPN 編集部

企業危機管理をトータルサポートする「株式会社エス・ピー・ネットワーク」の編集部です。危機管理に関するコンテンツを幅広くお届けしていきます。

BCPはどこまで備えたらよいのか？

BCPの備えの範囲と考え方

想定すべき災害・危機の種類