そもそもBCPって何？～リスク対策の基礎知識～ リスク対策.com Presents 第1弾

「BCP(Business Continuity Plan)」という言葉が日本のビジネスシーンに定着して久しくなりました。しかし企業の皆さまに取材を重ねていると、自社のBCPは本当に機能するのか、という不安や課題の声をいまだに多く耳にします。
本連載では、リスク対策.comの編集部が、BCPの基礎から最新トレンド、ビジネス環境の変化、サイバーリスクの拡大、そしてITインフラが果たす役割などを解説していきます。第1弾では、リスクの種類や、BCPの歴史的な変遷などを紐解いていきます。

BCPの本質は事業継続。現代の多様なリスクを想定し、事業を守る

はじめまして、リスク対策.comです。

はじめまして、危機管理とBCPに特化した、日本唯一の専門メディア「リスク対策.com」です。
日本では近年、大規模自然災害が相次ぎ、さらには巧妙化するサイバー攻撃や感染症の感染拡大など、企業を取り巻くリスクはかつてないほど多様化しています。今やBCPは、単なる「防災の備え」ではなく、企業の生存戦略そのもの。企業の事業継続における「リスクマネジメントの中核」へと進化を遂げています。そこで、本連載では、【BCPから見るリスクの変遷とその動向】について発信し、第1弾はそもそもBCPとは？というところから、お伝えできればと思います。

BCPとは？防災計画と何が違う？

かつてのBCPは、地震や台風、豪雨による洪水などの自然災害に備えた「防災」の延長線上にありました。しかし、高度にデジタル化し、グローバルに網の目のようなサプライチェーンが張り巡らされた現代では、企業を脅かすリスクは目に見える物理的な破壊だけではありません。 ランサムウェア 攻撃によるサイバーリスクや、大規模パンデミック、あるいは一地域のインフラ途絶が、世界中の拠点を止める複合的なリスクへと変貌しています。そうしたリスクから、企業の「重要な事業を中断させない、または中断しても可能な限り短い期間で復旧させるための方針、体制、手順等を示した事業継続計画」をBCPと呼んでいます。

また、多くの現場で混同されがちなのが「防災計画」と「BCP」の違いです。一般的な防災計画の目的は、人命救助や施設の損害軽減、防災・減災であり「被害を最小限に抑えること（守ること）」に主眼が置かれます。対してBCPの目的は、たとえ被害を受けたとしても「重要業務を中断させない」および「中断しても復旧目標時間内に復旧させる」ことにあります。

そして、会社が大規模災害に被災した場合、許容できる期間までに通常業務に復帰できなければ、「廃業」という最大のリスクに直面する可能性も非常に高いことが理由に挙げられます。中小企業庁の「中小企業白書（2019年度版）」によると、中小企業が事前のリスク認知や備えを講ずることなく被災した場合、発災直後の混乱や被害により影響が拡大するおそれがあると指摘。被災により営業停止期間が長期化した場合、下がった売上高が元の水準まで戻らない企業も多いと公表しています。会社としてはリスクに備え、被災後のダメージを最小限に抑えて事業継続できるような体制を整えておく（＝BCPを策定する）ことが重要です。

出展 ：中小企業白書（2019年度版）第3部 第2章　防災・減災対策

企業に大きな影響を与えるハザードリスク

それでは、BCPが対象とするリスクにはどのような種類があるでしょうか。現代では、自然現象から人為的なトラブルまで多岐にわたりますが、下記のような企業の事業活動に大きく影響を与える「ハザードリスク」には、早急に対策を講じる必要があります。

自然災害リスク（地震・台風・洪水など）

地震による建物や生産設備の物理的損壊、台風・洪水の水害による機器故障などは目に見える破壊を伴います。これらはハザードマップに基づいた拠点の選定や、建物・設備の耐震化といった「物理的な対策」が求められます。

パンデミックリスク（感染症）

2020年からのコロナ禍で露呈した通り、建物や設備は無傷であっても、「出社制限」や「大量欠勤」によって事業が止まるリスクです。身体的な接触を遮断しつつ、いかに業務を継続するかという、労働力確保とプロセスのデジタル化が問われます。現代ではリモート勤務も一般化しましたが、契機となったのはコロナ禍を経てからでした。

サイバー・ITリスク

ランサムウェア攻撃によるデータの暗号化、クラウドサービスの長期停止、通信障害などが含まれます。物理的な損傷がないため復旧の判断が難しく、一瞬で全社的な機能不全に陥る可能性があります。

サプライチェーンリスク

自社が健在でも、仕入先や物流網が停止することで発生するリスクです。特に、数層先の「N次サプライヤー」が特定の地域で被災し、予期せぬ欠品が発生する事態が常態化しています。

また、現代のBCPが難しいのは、こうしたリスクが複合的に発生する点にあります。例えば「台風で出社困難な状況下で、リモートアクセスがサイバー攻撃を受ける」といった状況では、より企業の レジリエンス （回復力）が試されます。

BCPの歴史と日本の変遷。想定外の大災害やパンデミックに直面し、課題が浮き彫りに

日本におけるBCPの歴史は、大規模災害や社会情勢の変化とともに、その姿を大きく変えてきました。2000年代前半では、2001年の米国同時多発テロ以降、世界的に「テロリズムに対する事業継続」の重要性が高まります。日本では、内閣府が2005年に「事業継続ガイドライン」の初版を策定。当時の主流は、地震などの大規模災害に対し「建物が壊れたらどうするか」「避難経路はどうするか」といった物理的な対策が中心で、防災の延長線にBCPがありました。2000年代後半になると、インターネットの普及に伴い、企業活動におけるITへの依存度が急速に加速。単なる建物の復旧だけでなく、データのバックアップやシステムの 冗長化 を図る「DR（災害復旧）」の概念がBCPに組み込まれるようになります。

2011年に起きた東日本大震災では、広域災害による影響での電力不足やサプライチェーンの脆弱性が露呈し、単一拠点で行う対策では事業継続できない現実が浮き彫りになりました。当時は多くの企業がオンプレミス（自社設置）のサーバーにデータを保存していましたが、地震によるサーバーの転倒・損壊に加え、津波によってバックアップメディア（磁気テープ等）ごと流失するケースが相次ぎました。このことが、後のクラウドシフトや、遠隔地バックアップ（DR）の普及を決定づけるきっかけとなりました。

2016年に発生した熊本地震では、震度7の激震が短期間に2度も発生しました。耐震基準を満たしていたはずの建物や生産設備が、2度目の揺れで致命的なダメージを負う事例が続出。この出来事により、「余震を想定した段階的な復旧プロセス」や、拠点が壊滅した際を想定した「代替拠点の確保（サテライト運用）」の重要性が強く認識されるようになりました。

2020年以降の新型コロナウイルスの感染拡大においては「建物は無傷だが社員が出社できない」状況への対応が求められるようになります。リモートワークを前提としたITインフラの強靭化も、現代で策定するBCPには必須条件となっています。

自社BCPチェックリスト（初歩編）

まずは貴社のBCPの現状を把握しましょう。以下の5項目をチェックしてみてください。

• 重要業務の特定: 中断できない重要業務を特定し、文書化している。
• 連絡手段の確保: 電話やメール以外の、災害時用コミュニケーションツール（SNSやビジネスチャット等）が全社員に浸透している。
  かつ、社員の連絡網が最新の情報に更新されている。
• 代替手段の確保: 電気・水・通信などライフライン途絶時の代替手段（発電・モバイル回線等）がある。
• 代替拠点の確認:代替拠点（在宅・サテライト）での継続体制を整備している。
• 最新化: 直近の組織変更やシステム変更が、BCPに反映されている。
  かつ、BCP文書を定期更新し改訂版が周知されている。

チェックが3つ以下の場合、貴社のBCPは「形骸化」している恐れがあります。

次回予告：第2弾「これまでのBCPの限界と変化の背景」

初回では、リスクの種類やBCPの歴史を解説しました。次回は、従来のBCPが抱えていた課題や、昨今の社会・IT環境の変化で求められるBCPの変化について、詳しく掘り下げていきます。