自社のBCPを見つめなおすために～これまでのBCPの限界と変化の背景～ リスク対策.com Presents 第2弾

今や事業継続計画（BCP）は、大手企業をはじめ、多くの企業で一度は作ったことがある取り組みと言えるでしょう。社会的責任を果たすため、中堅企業にもBCP策定の波は広がっています^※。一方で、そのBCPは「いつ」策定したものなのか、定期的な更新はされているのか、確認をしている企業は少ないのではないでしょうか？すでにシステムや人員が変更済みならば、今の事業環境に合わせた見直しが必要です。

出展：内閣府　企業の事業継続及び防災の取組に関する実態調査結果（令和8年3月）

本連載では、リスク対策.comの編集部が、BCPの基礎から最新トレンド、ビジネス環境の変化、サイバーリスクの拡大、そしてITインフラが果たす役割などを解説しています。第2弾では【これまでのBCPの限界と変化の背景】に着目し、お伝えします。

従来のBCPは、社会・ビジネス環境の変化に対応できるか

これまでのBCPの限界を説明する前に、昨今における社会・ビジネス環境が変化していることに触れていきます。また、本稿でいう「従来のBCP」とは、主に東日本大震災以降に多くの企業で整備された、自然災害への備えを中心とした事業継続計画を指します。これらは想定した事象（災害など）においては有効かもしれませんが、現在のデジタル化が進んだ事業構造に対する備えとしては、限界が見えています。そこで、現代のBCPは、どのような観点から策定・見直すことが必要なのかをお伝えします。

社会・ビジネス環境がデジタルシフト

政府がデジタルトランスフォーメーション（DX）を本格的に推進し始めた2018年以降、企業にDXが浸透し、業務の進め方が変化しています。紙や対面を前提としていた業務から、クラウドサービスや業務アプリケーションを中心とした業務形態に移り変わっています。

また、コロナ禍の影響でリモートワークが普及し、社員がオフィスに集まることも減りました。現在は、さまざまな理由からオフィス回帰の流れが復活していますが、リモートワークの文化自体は根付いており、ITシステム環境を前提とした業務が当たり前になりました。

その結果、ネットワークや認証基盤、クラウドサービスが使えないと業務ができません。BCPは物理拠点の被害だけでなく、ITシステムが停止した場合の事業継続についても考える必要があります。

情報資産が事業そのものに

DXが進展したことで、企業が扱う情報資産の位置づけも変化しています。かつては、情報システムは業務を支えるための裏方的な存在でした。現在は、顧客情報や取引履歴、設計データなどの情報をもとに、業務は構築されていて、業務そのものにITやデータが組み込まれています。そのため、情報資産の停止や消失、漏えいは、単なる業務効率の低下ではなく、売上の損失や信頼の失墜、さらには事業継続そのものの危機につながります。

サプライチェーンの複雑化

サプライチェーンの複雑化も無視できません。業務のアウトソーシングやクラウド活用が進み、企業活動は自社だけで完結しないものに。物流、製造、ITインフラ、業務システムなど、あらゆる領域で外部パートナーへの依存度が高まっています。この環境下では、取引先のシステム障害やクラウド事業者のサービス停止、委託先でのサイバー攻撃など、自社では直接コントロールできない要因によって、事業停止のリスクは高まります。

BCPを策定する場合、サプライチェーン全体を視野に入れた計画が重要です。自社内部だけの手順書ではなく、外部依存を前提として、重要な業務の継続・早期復旧方法を定めます。

このような環境変化を踏まえると、BCPを「災害時のマニュアル」として扱い続けること自体が、大きなリスクになりつつあります。災害発生時の復旧の備えだけではなく、“システム停止やサプライチェーン断絶などが引き起こす結果”に対する備えが必要です。

従来のBCPの課題

BCPの未更新

これまでのBCPで多く見られた課題が、策定後に更新が止まり、いまの事業環境に追い付いていない実態です。本来ならば「組織の人員が変更になった」「防災備蓄品を入れ替えた」「新しい設備や備品を購入した」時点で、内容の見直しが必要です。しかし、危機管理の担当者が異動し、ノウハウが引き継がれないことなどが原因で、見直しを行わないまま放置するケースも少なくありません。紙ベースで管理されているなら、なおさらです。

更新されない理由の一つは、BCPを管理・更新する仕組みが整っていないことです。BCPは一度作れば終わりではなく、組織変更や業務プロセスの変更、ITシステム更新などに応じて、継続的な見直しが必要です。こうした教育や訓練、見直しなどの改善を平時から行うマネジメント活動のことを、BCM（Business Continuity Management）といいます。

内閣府の事業継続ガイドラインにおいても、BCPは定期的な見直しと訓練を通じて実効性を高めるものと位置付けられています。つまり、定期的な更新や訓練が仕組み化されていなければ、緊急時に役割を果たせません。思い当たる企業は、「今のBCPは本当に使えるのか」と振り返る必要があります。

ITシステム復旧手順が抽象的

BCPに、重要なITシステムの復旧手順が「バックアップから復旧する」とだけ記載され、具体的な手順や優先順位があいまいなことも見受けられます。対象となるサーバー、復旧担当者、復旧手順、外部ベンダーやクラウド事業者との役割分担などの詳細を詰めていないと、実際の障害発生時に判断が遅れ、事業が長期に渡って停止する恐れがあります。

抽象的な要因の一つは、BCP策定担当とIT運用担当間の連携が不十分なことです。BCPは、総務やリスク管理部門が主導して策定する一方で、ITシステムの具体的な構成や依存関係は、情報システム部門やベンダー側しか把握していません。連携が不十分なまま計画を作ると、結果として抽象的な表現にとどまります。

現代のビジネス環境では、システム停止そのものが許容されないケースが増えています。「止まったら復旧する」前提のままでは、現実で起こるインシデントに対応できません。ITシステムの復旧手順の整備だけでなく、そもそも維持して止めない設計（冗長化・自動切り替え）をBCPに取り込むことも求められています。

サイバーリスクを想定していない

サイバーリスクやクラウド障害を、十分に想定できていないことも課題です。BCPと聞くと、今なお地震や台風といった自然災害への備えをイメージする方も多いでしょう。しかし、実際の事業停止要因は、ランサムウェア攻撃によるシステム停止やクラウドサービスの障害、システムの設定ミスによる情報漏えいなど、IT起因で業務停止する事例が急増しています。

例えば、ランサムウェア攻撃でデータを暗号化されると、工場も店舗も無事であるにもかかわらず、受注処理や出荷、請求ができなくなります。加えて、サイバー攻撃で基幹システムの利用が制限され、社内業務だけでなく顧客対応で支障が出た事例もあります。復旧や調査、再発防止対応に、多額のコストが発生します。事業停止期間が長期に渡れば、企業に大きな被害をもたらします。

こうした事例は、従来のBCPの「災害時に工場をどう復旧するか」という観点では、十分に想定できなかった事態です。事業継続そのものを左右する、あらゆるリスクに備え、実効性のある最新型のBCPを策定することが必要です。

自社BCPチェックリスト（見直し編）

以下の点、思い当たりませんか？

• BCPはここ1年以上見直されていない
• クラウドやSaaS停止時の対応が決まっていない
• サイバー攻撃をBCPの想定に入れていない

一つでも該当する場合、BCPの見直しが必要です。

次回予告：第3弾「最近のBCPの動向とIT-BCPのエッセンシャル」

次回は、IT-BCP（IT視点の事業継続計画）を取り上げます。自社のIT-BCPを見直すヒントを提示し、実務的な観点から新しいBCPの考え方を解説します。