#26 BCP（事業継続計画）の現状可視化と課題解決

はじめに

近年、自然災害や感染症、サイバー攻撃など、企業活動を脅かすリスクが多様化・深刻化しています。

こうした状況下で、BCP（事業継続計画）の策定と運用は、企業の存続と社会的信頼を守るうえで不可欠な取り組みとなっています。

しかし、BCPの現状を正確に可視化し、実効性のある計画とするためには、業務プロセスや経営資源の依存関係を明確にし、具体的な課題を洗い出すことが求められます。

今回は、BCPの現状可視化の重要性と、現場で直面する主な課題、そしてその解決に向けたアプローチについてご紹介いたします。

事例

BCPは、企業が自然災害やサイバー攻撃といった危機に直面した際に、業務を継続または迅速に復旧するための重要な取り組みです。

以下の2つの事例は、それぞれBCPの取り組みが実行されなかった事例と、実行された事例です。

事例①：名古屋港コンテナターミナルのランサムウェア被害

2023年にランサムウェア攻撃を受け、約2日間の業務停止を余儀なくされました。

システム障害を想定したBCPやバックアップ体制が十分ではありませんでした。

事例②：堀場製作所におけるBCPの活用

東日本大震災や熊本地震時にBCPを活用し、医療機器の生産を継続することで市場ニーズに応えました。

重要事業に焦点を絞ったBCP策定が、迅速な対応と経営効率向上につながったと思われます。

リスクマネジメント対策としてどのような事をしているのかを自社のホームページに掲載しており、BCPに対する意識の高さが見られます。

BCPの課題

形骸化リスク

計画が現実とかけ離れている場合、緊急時に役立たない可能性があります。
解決策として、年１回以上の訓練やシミュレーションを実施し、その結果を基に計画を更新することが効果的です。

コスト負担

特に中小企業ではコスト面での負担が大きい場合があります。
これにはクラウド技術や外部専門家の活用など、コスト効率の良いソリューションが有効です。

全社的理解不足

経営層を含めた従業員全体が計画内容を理解していないと、有事対応がスムーズに進みません。
これには教育プログラムや簡潔なマニュアル作成が役立ちます。

BCP成功の為の要因（可視化）

リスクアセスメント

自社が直面する可能性のあるリスク（自然災害、サイバー攻撃、パンデミックなど）を洗い出し、その影響度を評価することが必要です。

重要業務の特定

業務停止時の財務的影響や、顧客・社会への影響を考慮し、優先的に継続すべき業務を明確化します。

経営層のコミットメント

経営層がBCPの必要性を理解し、全社的な方針として推進することが不可欠です。

多くの会社はこれが足枷になり話が進まないところもあるようです。

訓練と見直し

定期的な訓練や計画の見直しを行い、現実的で実効性のある計画にすることも重要です。

NISTIR 8374^※1でも、年1回以上の訓練や復旧手順の検証が推奨されています。

例えば、中小企業では従業員の安全確保や社会的信頼性向上を柱にしたBCP策定が有効であり、実施されている会社も多いかと思いますが、実施することでビジネス機会損失を低減することができます。

【課題と要因】

まとめ

企業規模や業種にかかわらず、有効なBCPは従業員・顧客・社会への責任を果たすだけでなく、新たなビジネスチャンスも創出します。

企業としては雇用・労働人生100年時代に向けて持続可能な経営基盤構築には欠かせない取り組みと言えるでしょう。

IIMでは、NISTIR8374^※1の情報を基に、BCPを含めた現在の状況の見える化や、実践可能な計画の策定までをご提案可能です。

現状、何ができていて何ができていないのかを可視化し、最新のBCP対策がとれるようサポートさせていただきますので、ぜひお気軽にご相談下さい。

※1：NISTIR 8374

NISTIR 8374は、米国国立標準技術研究所（NIST）が作成したレポートで、特にサイバー攻撃（ランサムウェア）に対する組織のレジリエンス強化を目的とし、BCPの策定・運用における実践的なガイドラインが提供されています。

これにより組織がどのように事業継続性を確保すべきかがわかります。

NISTIR 8374, Cybersecurity Framework Profile for Ransomware Risk Management