自社にとって重要な業務(復旧優先活動)とは
「BCP(事業継続計画)」は、不足の事態(インシデント)が起きた際に、損害を最小限にとどめるための対策や、影響を受けた重要な業務を早期復旧させ、継続するための手続きをまとめたものを指します。
この重要な業務(活動)は「復旧優先活動」と呼ばれ、以下の業務が該当します。
- 事故や災害などの有事の際に停止すると大きな影響を与える業務
- 事故や災害などの有事の際に最も短い期間で復旧する必要がある業務
BCPを策定する際には、この復旧優先活動を特定する必要があります。このとき、複数事業を行なっている会社でかつ、複数の事業から復旧優先事業を選定する必要がある会社は、最初に優先事業を選定します。
BCPの作成手順
BCPは、以下のステップで作成します。
1.優先事業の特定
事業の特性や状況を通じて、優先順位をつけます。この工程は、自社が注力すべき事業を特定する意味も含まれます。複数の事業を展開する会社が、優先事業を選定する場合に行います。
2.優先事業を支える活動の特定
優先事業を支える活動には、業務、工程などが該当します。
3.各活動の「最大許容停止時間」の特定
「最大許容停止時間」とは、インシデント発生により業務がストップしてしまった際に、その結果として生じる悪影響が事業の継続を決定的に脅かす状態になるまでの時間を指します。時間の経過とともに会社に与える影響も変わるため、その変化も考慮して特定します。
4.「復旧優先活動」の決定と「目標復旧時間」の設定
3で特定した最大許容停止時間から得られた情報を元に、BCPの対象となる復旧優先活動を決定します。「目標復旧時間」とは、事業が中断した際に組織にとって許容可能なレベルまで事業を再開させるまでの目標時間のこと。最大許容停止時間より短く設定する必要があります。
5.復旧優先活動を支える経営資源の特定
復旧優先活動を支える経営資源を特定する理由は、次に続く、復旧優先活動と資源の依存度を特定するためです。経営資源は、大きく「設備」「情報」「人」「物資」「施設・作業環境」に分けられます。特定する際には、洗い出す資源の種類を定義しておくことが大切です。
6.復旧優先活動の依存関係の特定
復旧優先活動について、仕入れ先や外部委託先などの「外部依存度」、設備・情報・人などの「内部依存度」を特定します。
たとえば、人の依存度が高いと判断された場合は、復旧優先活動に従事する従業員の専門性が高く、容易にほかの従業員に代替できないケースが該当します。そのようなケースでは、感染症への感染や事故や怪我などにより、その従業員が復旧優先活動に従事できなくなると、事業の停止につながります。
7.復旧優先活動を支える経営資源に対するリスクアセスメントおよびリスク対応の実施
「リスクアセスメント」とは、リスクを「特定・分析・評価」するプロセスを指します。
- リスクの特定
復旧優先活動を支える経営資源に対する、脅威とその脅威が現実になった場合の影響、その脅威の発生を抑えるための現状の対策状況を明確にすること。脅威の内容は、経営資源によって異なる - リスクの分析
リスクの特定で得られた情報を用いて、リスクの影響度とリスクの発生可能性を基に、それぞれのリスク値(リスクの大きさ)を算出すること - リスクの評価
リスクの分析で算出されたリスク値と、自社であらかじめ定めたリスク受容基準と比較し、追加対策の必要性を判断すること
8.インシデントが発生した場合の対応(初期初動対応含む)と、復旧優先活動を復旧し、継続するための基本要件の決定
手順7で行ったリスクアセスメントの結果に基づき、以下に関する基本要件を決定します。
- インシデントの発生を抑える対応(リスクアセスメントの結果で追加対策が必要と判断されたリスクについての具体的な対策)
- インシデント発生時の対応(インシデントの検知、評価、初動対応、影響を最小化させるための対応)
- 事業の復旧及び継続(「いつ・どこで・誰が・どのように」業務を復旧し、継続するかの方法)
ここで決定された基本要件に基づき、リスク対応計画、インシデントマネジメント計画、BCPが作成されます。
9.インシデント対応(体制も含む)、事業継続(事業回復を含む)に関する計画の策定
事故や災害など有事の際の初期・初動計画を書面にした「インシデントマネジメント計画」と、事業を復旧、継続し、また回復させるためのBCPを作成します。
10.各計画に対する演習プログラムの確立と実施
策定されたインシデント対応やBCPの実効性を評価するための演習を行います。演習では、下記2点についても検証します。
- インシデントマネジメント計画に定められた初期初動の対応は適切か
- 目標復旧時間内に目標復旧レベルの事業の継続が可能か
社員にBCPを理解してもらい、インシデント発生時の対応を習得してもらうためには、教育や訓練が必要です。しかし、教育や訓練は演習プログラムのゴールではありません。演習プログラムの本来の目的は、BCPが有効に機能するかを確認することであり、BCPに対する効果的な演習を継続して行うことが重要です。
◆取引先や顧客との連携が必要になる場合も
復旧優先活動の依存関係の特定で「外部依存度が高い」と明らかになった場合は、取引先(仕入先や協力会社など)との連携が必要です。
この場合、取引先に対してBCPの「内容の検証」を行います。検証の際には、下記2点がポイントとなります。
- 取引先のBCPの復旧優先活動に自社に対する事業がカバーされていること
- 取引先が設定した目標復旧時間が、当社の契約上の要件を満たしていること
また、顧客との連携が必要になるケースもあります。顧客がBCPを策定する際に、自社が「会社の事業継続に影響を与える重要な取引先(クリティカルサプライヤー)」と認定された場合は、顧客から自社に対して「BCPの策定の有無」や「内容の検証」などの事業継続能力の評価が行われます。その場合は、下記2点を考慮します。
- 自社の復旧優先活動に当該顧客に対する事業がカバーされていること
- 最大許容停止時間の特定などにおいて、当該顧客との契約上の義務が考慮されていること
◆BCPで“抜け漏れ”になりやすいもの
見落としやすい分野が、災害や事故の発生時に、復旧優先活動以外の業務に従事している従業員の活動です。
本来は事業継続戦略において以下のように分類され、復旧優先活動以外の業務に携わっている従業員の活動も明確にされます。
- 継続すべき業務(=復旧優先活動)
- 規模・頻度を減らすことが可能な業務
- 休止・延期できる業務
<復旧優先活動以外の業務に従事している従業員の活動>
- 復旧優先活動の代替要員として活動する
- その他の活動に従事する(外部とのコミュニケーション、メディア対応など)
- 自宅待機する
上記が明確でないと“抜け漏れ”につながる可能性があります。インシデント発生後に混乱を招かないためにも、BCP策定時には復旧優先活動以外の業務に携わる従業員の活動も明確にしておく必要があります。
BCPを見直すタイミング
BCPは、策定後の見直しも必要です。タイミングは、大きく分けて2つあります。
- 環境が変化した時
設備や工程、ITシステムの変更など、特定された復旧優先事項やそれらを支える経営資源に変化があった場合にBCP策定時に特定された事業影響度分析が妥当かどうかをチェックします。このほか、リスクアセスメントで特定された脅威に変化がないか、新たな脅威が想定されていないかの見直しも必要です。 - 演習後
演習を行いBCPの実効性を評価した結果、問題点や課題がないかを確認・見直すことができます。
◆BCPを社内に定着させるためには
実効性の高いBCPを策定しても、社員がBCPの重要性や必要性を正しく認識できなければ、“絵に描いた餅”になり、社内に定着させることはできません。このような状況を解決するために、事業継続マネジメントに関する認識向上プログラムを確立し、有事の際に適切に行動できる企業文化を醸成することが重要です。
自社に何が必要なのかを見極めてBCPを策定し、必要に応じて見直す。社内にBCPを定着させるよう取り組みながら、有事に強い組織文化をつくることが大切です。
<取材先>
株式会社TWS総合研究所 代表 上席コンサルタント 打川和男さん
TEXT:畑菜穂子
EDITING:Indeed Japan + 南澤悠佳 + ノオト
