BCP策定の5ステップ

　それでは、BCP策定のためにどのようなことを行えばいいのか、そのステップについて解説していきます。

①BCP策定の目的を設定する

まずは経営理念や経営計画から、自社が目指していることは何なのかを見直しましょう。例えば、『社員一人一人の生活を守る』が理念であれば、それが大前提になります。『いかなる時でもお客様第一に行動する』が理念であれば、それが大前提となります。そのような自社が達成すべき理念や計画にしたがって、何を目的としてBCPを策定するのかを決めましょう。

②重要な業務とリスクをまとめる

目的が定まったなら、続いてすべきことは最重要業務の洗い出しです。災害時に事業を継続するにあたって、最も優先すべき事業をBCPでは中核事業と呼びます。中核事業の例としては「最も売り上げが高い事業」「納期が遅れると、お客様に大きな損害が出る事業」「社会や市場、取引先との信頼関係を築くうえで続けなければならない事業」などが挙げられます。

中核事業を洗い出すときには、危機的状況を前提として、人手や情報、物資などのリソースが平常時より極めて少ない状況で、なお優先して継続すべき事業は何かという視点を持つことが重要です。平常時から7割のリソースが失われたとして、それでもどの事業を続けるべきかを考えてみてください。例えば、製造業の場合であれば、自社のサプライチェーンをいかに維持するかが最も重要になるでしょう。日用品や食料品を供給する小売業なら、災害時に水や食料をいかに販売し続けるかが重要になってくるでしょう。医療や福祉サービスの提供を行っているなら、災害時の限られたリソースで、顧客をいかにして助けるかが最重要課題となるでしょう。

上記を踏まえ、自社の中核事業がどの程度停止しても大丈夫なのか、復旧までにどの程度耐えられるのかを考えましょう。これをBIA（Business Impact Analysis、ビジネスインパクト分析）と呼びます。BIAは4つの指標で測ります。

● MTPD（Maximum Tolerable Period of Disruption、最大許容停止時間）：最大限許容できる事業中断の時間はどの程度か
● RTO（Recovery Time Objective、目標復旧時間）：事業が中断した時に、どの程度の時間で現実的に復旧が可能なのか
● RLO（Recovery Level Objective、目標復旧レベル）：事業が中断した時に、どの程度の水準まで現実的に復旧が可能なのか
● RPO（Recovery Point Objective、目標復旧地点）：事業が中断した時に、どの時点までさかのぼってデータの復旧が可能なのか

これらの指標を使い、どの事業が「止まると致命的な損害になる」のかを考えてみましょう。最も中断することが難しく、一度中断する復旧が難しい業務は、中核事業の中でも特に優先しなければなりません。

続いて、それらの中核事業で起こりうるリスクをまとめていきましょう。想定されるリスクについて、すべて書き出していく必要があります。起きてほしくないことをすべて挙げていきましょう。例えば、地震・津波・台風・火災などの災害、戦争や紛争の発生、大規模な事故、社内の不祥事、コロナウィルスや赤痢などの疫病発生など、あらゆるリスクを書き出していきましょう。

③リスクに対して必要なリソースを見積もる

リスクを書き出し終えたら、リスクに対して必要なリソースがどの程度なのか見積もりましょう。優先させるべき業務に対して、人材、物資、資金、情報など、どのようなリソースが必要となるのか徹底的に洗い出します。製造業であれば作業に必要な人材と時間、製品製造に必要な原材料や機器、最低限必要な物流手段を挙げていきましょう。病院であれば、災害時の傷病者受け入れ態勢として必要な人材や医薬品、設備、患者の運送手段などを挙げていきましょう。

この時、重要なのが業務を遂行する上で必要なリソースと周囲の環境からもたらされるリスクを回避するためのリソースの二つを見積もることです。
業務を遂行する上で必要なリソースとは、自社の従業員や取引先、システムやセキュリティに関する脅威に対処するためのリソースです。

● 特定の仕入れ先企業の物流網が破綻した時に備えて、別の仕入れ先を用意しておくこと
● 社員が出社不能になった時に備えて、テレワークシステムを整備しておくこと
● ハッキングに備えて、外部アクセスが難しいように重要データをスタンドアローン化しておくこと
● 幹部社員と連絡が取れなくなったときに備えて、いざという時の指揮系統移管をどうするか決めておくこと

などは業務を遂行する上で必要なリソースです。

周囲の環境からもたらされるリスクを回避するためのリソースとは、津波や地震、台風などの自然災害で自社設備が倒壊したり、電気やガス、インターネットや流通網などの社会インフラが被害にあって停止するといった脅威に対処するためのリソースです。

● 建物の耐震性・防火性を高めておくこと
● 急な停電に備えて、非常用の電源システムを用意しておくこと
● サーバーが災害で破損した時に備えて、冗長性を持たせておくこと

などは周囲の環境からもたらされるリスクを回避するためのリソースです。

④リスクに優先順位をつける

続いて、リスクの優先順位を決めましょう。すべてのリスクに対してリソースを割くことはできません。起こりうる可能性が低い・被害が小さいリスクと、起こりうる可能性が高い・被害が大きいリスクとで、割り振るべきリソースは変わってきますし、対策に対してあまりにも必要なリソースが多いものは、対策することでかえって事業の持続を困難にしてしまうこともあります。そのリスクがどの程度の頻度で起こるのか、起こった時どれほど深刻な被害が出るのか、この軸で確認をし、リスクとリソースを天秤にかけ、優先順位を決めましょう。

⑤それぞれのリスクに対して具体的な対策を決める

優先度が高いリスクから順番に、具体的な対策を決めましょう。それぞれのリスクに対して細かく具体的な内容を策定しておかないと、緊急時の対応が難しくなります。いつ、だれが、どのように動くのか、災害発生から「被害状況の確認」「代替手段による応急処置」「平常操業に戻すための復旧作業」の3つのタイムスパンに分け、「人材リソース」「施設・設備」「体制・指示系統」「資金調達」「情報管理」の5つの点から具体的な対策を取りましょう。