ビジネスQ&A

BCPの策定と運用のポイントを教えてください。

2023年 10月 18日

有事をイメージしやすい今、改めてBCPの策定および運用のポイントを教えてください。

回答

BCPとは事業継続計画(Business Continuity Plan)の頭文字を取った言葉です。 企業が、自然災害、大火災、パンデミック(感染爆発)及びサイバー攻撃によるシステム障害といった危機的状況下に置かれた場合において、重要な業務の継続あるいは早期復旧を可能とするために、平常時に行うべき活動や緊急時における行動方法、手段などを取り決めておく計画書のことです。BCPの目的を明確にし、自社の状況を分析した上で策定するとともに、全従業員に周知して、有事の際に実際に使えるBCPにすることが重要です。

BCPは、なぜ必要なのか?

「天災は、忘れたころにやってくる」とは、自然災害は、その被害を忘れたときに再び起こるものだという戒めです。穏やかな平時に、いつやって来るか分からない災害に備えておくことが重要です。

1. BCPの意義

会社の存続にとって重要な業務を選別し、各種の代替手段や実行体制を準備しておくことで、非常時においても事業を継続することができます。BCP策定を対外的に打ち出すことで、非常時における企業の対応力を示すことができます。取引条件としてBCP策定が求められるケースもあります。BCPにより、従業員が安心して働くことができます。また、BCP策定過程において、業務見直しや俗人化の排除、手順書の整備等の改善効果が期待できます。

2. 地震発生可能性

今後30~50年程度の間に、M8クラスの巨大地震が4、5回、その前後にはM7クラスの地震がその10倍の頻度で、つまり同期間内に40回から50回、我が国を確実に襲うとする説もあります。

(『間違いだらけの地震対策』目黒公郎著 旬報社 2007年10月15日)

3. 近年の大地震等

近年発生した大規模な地震は以下の通りです。

◯阪神淡路大震災 1995年1月、兵庫県南部地震(Mw6.9)(犠牲者6,437人)

◯新潟県中越地震 2004年10月、新潟県中越地方地震(Mw6.8)(犠牲者46人)

◯東日本大震災 2011年3月、東北地方太平洋沖地震(Mw9.0)(犠牲・不明者18,449人)

◯熊本地震 2016年4月、熊本県と大分県で相次いで発生(Mw6.2)(犠牲者273人)

◯北海道胆振東部地震 2018年9月、北海道胆振地方(Mw6.56)(犠牲者43人)

近年では、台風等による風水害も多く発生しており、BCPの認識が高まっています。

4. パンデミックやサイバー攻撃への対策について

パンデミックやサイバー攻撃等の自然災害以外のリスクが顕在化しており、これらの対策を講じることも必要です。既に自然災害に対するBCPを策定している中小企業の皆様においても、自然災害への対策に加え、感染症やサイバー攻撃への対策を追加した計画の策定に取り組むことが必要です。

まずは簡易版BCPから 事業継続力強化計画は、どのように策定したら良いか?

本格的なBCP(事業継続力計画)の策定は困難ですが、中小企業が取り組みやすい、簡易版ともいわれるBCPがあります。それが経済産業大臣が認定する事業継続力強化計画です。中小企業庁の「事業継続力強化計画策定」の手引きでは、次の5つのステップが示されています。

1. 目的の検討

事業継続力の強化を図るうえで、まずはその目的を考えることが重要です。自らの事業活動が担う役割を踏まえつつ、事業継続力強化に当たっての基本的な考え方を検討した上で、サプライチェーンや地域経済全体に与える影響や、従業員に対する責務等、自らの事業継続力強化が自然災害等による経済社会的な影響の軽減に資する観点から、記載する。

2. 災害等のリスクの確認・認識

ハザードマップ等を活用しながら、まずは事業所・工場などが立地している地域の災害等のリスクを確認・認識しましょう。被害想定を基に、「ヒト(人員)」「モノ(建物・設備・インフラ)」「カネ(リスクファイナンス)」「情報」の4つの切り口から自社にどのような影響が生じるかを考えます。

▶ハザードマップ等の入手方法

◯地域の自治体HP

◯国土交通省ハザードマップポータルサイト
 https://disaportal.gsi.go.jp/

◯国土交通省川の防災情報
 https://www.river.go.jp/

◯中小企業の情報セキュリティ対策ガイドライン(情報セキュリティ自社診断・リスク分析シート)
 https://www.ipa.go.jp/security/keihatsu/sme/guideline/index.html

3. 初動対応の検討

災害等が発生した直後の初動対応を検討します。以下の取り組みが求められます。(1)人命の安全確保、(2)非常時の緊急時体制の構築、(3)被害状況の把握・被害情報の共有

4. ヒト、モノ、カネ、情報への対応

2.で検討したヒト、モノ、カネ、情報への影響を踏まえ、災害等に備え事前にどのような対策を実行することが適当か検討します。

5. 平時の推進体制

事業継続力の強化は計画するだけでなく、平時の取組(訓練)が大切です。平時から繰り返し取り組むことで、緊急時においても落ち着いて、適切に対応することができるようになります。 以下の点に留意することが大切です。

◯経営層の指揮の下、事業継続力強化計画の内容を実行すること(平時の推進体制に経営陣が関与すること)

◯年に1回以上の訓練・教育を実施すること

◯計画の見直しを年1回以上実施すること

※感染症やサイバー攻撃等の自然災害以外のリスクが顕在化しています。これらの災害についても、リスク想定、事前対策、事後対策、継続的改善の切り口での対策が必要です。

運用のポイントは?

どんなに立派な計画書を作っても、災害に直面した場合に「使える計画書」でなければなりません。以下、「人命の安全確保」「非常時の緊急体制の構築」「被害状況の把握、被害情報の共有」について、ポイントを説明します。

1. 人命の安全確保(戦力となる人員を失わないために)

自然災害、感染症どちらの場合でも、企業の一番大切な経営資源である「人材」を守るために、事前対策、事後対策、継続的改善が必要です。

特に大地震等予測が難しい災害に対して、できる限りの事前対策をします。社内の設備(什器、機械)の倒れ防止の固定、帰宅困難者のための備蓄品(食料、水、防寒具他)の準備、緊急避難場所及び避難経路の確保、安否確認システムの導入、交代要員の確保、多能工化の促進を図ります。大型台風の接近等、事前に公的交通機関の運休や災害が予測可能な場合は、従業員の早期退社、自宅待機、テレワークの検討をします。

感染症対策としては、事業所内に消毒液の設置、従業員の手洗い等の徹底 、従業員や家族に対する手洗い、マスク着用の徹底 、自家用車等の公共交通機関以外の通勤手段の承認等を検討します。体調不良の従業員の出勤停止や交代、勤務規定の整備、出勤前の従業員やその家族等における検温の励行、自宅待機中の従業員への定期的な連絡や報告をします。

2. 非常時の緊急体制の構築(指示命令系統の一本化)

代表者を本部長とした対策本部の要員として、事業所近くに住む者を予め選定しておく。災害対策本部の設置基準を決定する。例えば、「事業所地区にて震度6以上の地震が発生した場合」「大規模な水害の危険性が予測され災害対策本部長が必要と認めたとき」「気象庁より特別警報が出されたとき」など。

災害発生時の参集基準を定める。上位者の不在時に備え、代行して意思決定を行う代行者を定める。災害対策本部を設置した際の社内への周知方法を定める。人事、産業医、保健師を加えた感染症対策本部の設置を定める。緊急時対応体制等の報告ルートを定めた、「情報セキュリティ関連規程(情報セキュリティインシデント対応ならびに事業継続管理)」を整備する。

3. 被害情報の把握、被害情報の共有

事業所の被害状況について、誰がどのような情報を把握し、把握 した情報をいつまでに、社内の誰に伝えるのか、あらかじめ取り決める。気象情報・防災情報(避難勧告・指示の発令状況など)を入手するための手段を整理しておく。

各自治体の防災ポータルサイト等警察、消防、各種指定公共機関(電力、ガス、水道など)及び主要取引先への連絡先リストを作成する。社内で取り纏めた情報のうち、取引先及び関係者の誰に対して、どのような情報を、何時間後までに共有するのか、あらかじめ取り決める。社内に感染者及び濃厚接触者が確認された場合、HPやSNS等を活用し、取引先等に情報の共有をし、感染症リスクを最小限にとどめる。

回答者

中小企業診断士 鷹巣 克巳

同じテーマの記事