企業のBCP対策
第2回 BCP対策の手順

1. BCP策定で検討すべきこと
2. 計画後に実施する事前対策
3. 情報リスクを意識したBCP策定

前回は、BCP対策の必要性や企業の対策状況などについてお話しました。特に初動対応により、その後の結果が大きく変わることなどをお話しましたが、初動対応からより適切な対応を行うためには、形式的な対応策ではなく、いざという時にすぐに動ける体制づくりが大切です。
今回はBCP策定を行うために検討しなければならないことや手順について、お話させていただきたいと思います。

1.BCP策定で検討すべきこと

BCP策定を行う際に検討しなければならないこととして、まずリスクの想定があります。自然災害の他、感染症の罹患やサイバー攻撃なども加味しておくことが推奨されています。次にそのリスクに対して、被害を最小限に抑えるための事前対応、発生してしまった場合に早期復旧するための緊急時の対応となります。これらを明文化し、運用することで経営として有効な「事業継続計画（BCP）」となります。

① 基本的なリスク対策

例えば、地震を想定した場合、事前対応として設備の固定や避難路の確保、事後の対応として従業員の安否確認など、基本的なリスク対策を行い、発生時にスムーズに実施できる状態となっていることが非常に大切です。

これらの基本的なリスク対策は、伝達経路や役割分担など、BCP対策以外のリスク対策とも関連させ、リスクマネジメントの一つとして検討することで、効率よく、効果的な対策が行えます。また、緊急時対応訓練を毎年実施し、定期的に内容を見直すなど、継続的な対策を含めることも重要です。その際、準備した備蓄品、防災用品などの所在・装備などを確認します。

② 具体的な計画とするためのBIA（ビジネスインパクト分析）

災害発生時に企業活動を継続させるためには、優先する事業を定め、その事業を集中的にカバーできる体制や、早期復旧できる体制を検討する必要があります。そこで、有力な指針となるのがBIA（ビジネスインパクト分析）です。

BIAとは、災害などの様々なインシデントにより企業活動が停止した際に受ける影響を評価する分析で、この分析を行うことにより、事業継続可能な復旧猶予として設定された最大許容停止時間などに照らし、停止した際の企業活動継続への影響やその企業にとって重要な中核事業が再稼働するのに必要な復旧優先順位、目標復旧時間、目標復旧レベルや、それらに必要となるリソースなどを具体的に策定することができます。

目標復旧時間を短く設定すると、人的リソースやインフラ投資のコストが上がりますので、適正な時間を設定する必要があります。加えて、目標復旧レベルはインシデント発生前のレベルにまで戻すことが本当に必要なのかなど、検討する余地があります。こういった検討を行い計画することで、不測の事態に対処できるだけでなく、本当に強い企業となり、金融機関の信頼を得ることや各種保険料の軽減にも繋がる可能性があります。

2. 計画後に実施する事前対策

計画を行った後、計画に基づき実施する事前対策として、ハード面での対策とソフト面での対策、それに加え代替資源の確保があります。

① ハード面の対策とソフト面の対策

・ハード面での対策例
施設の分散、施設耐震化、棚や機械の固定、防災用具準備等

・ソフト面での対策例
避難計画、従業員リスト、従業員教育、ハザードマップおよび避難場所の確認

例えば地震を想定した場合、ハード面ではデータサーバーを複数拠点に分散することや、自社ビルの耐震強化工事を行うなど、コストや時間を要するものも多いため投資計画も含めた検討が必要です。
ソフト面での対策については、環境や状況の変化に応じる必要があるため、定期的な内容見直しや定期的な教育を計画に含むことが重要です。

② 代替資源の確保

・ 拠点および施設、設備
現在の役割が担えなくなった場合に代替できる場所を考えておく必要があります。設備については、スペアを確保するなどの他、同業者に代替生産を依頼できる関係を作っておくことなども有効です。

・ 取引先
自社の事業継続が困難な状況だけでなく、取引先が事業継続困難な場合も想定する必要があり、取引先の支援活動や代替流通網を検討しておくことも大切です。

③ その他の重要な対策

・ 従業員
安否確認のシステム導入や連絡網の整備、従業員に緊急時対応の教育を行う他、臨時雇用や協力会社への依頼など、業務復旧に必要な人的資源の確保ができるようにしておきます。

・ 資金
損害保険への加入や災害時など、緊急時の貸付制度の把握、手元資金の確保などを行い緊急時に備えます。

・ 通信手段・インフラ
電話、メール、インターネットなどの複数の通信手段の用意に加え、蓄電や2系統電力などによる電力確保や水の備蓄などのインフラ対策を行います。

・ 情報類
データのバックアップは、クラウドサーバーの利用や、CD媒体、紙媒体で定期的にバックアップすることが必要です。情報のバックアップの頻度は、どの時点に戻すのかという目標復旧時点の検討結果により設定します。
紙媒体は自然災害に弱いが、サイバー攻撃には強いなど、情報の内容や想定されるリスクに応じた対策を行います。

3. 情報リスクを意識したBCP策定

BCP策定は、特に日本では予期せぬ災害対策という印象が強いのですが、現代は予期せぬサイバー攻撃などの情報セキュリティ対策が企業のリスク対策として非常に重要となっており、BCP策定にもサイバー対策を含めることが推奨されています。
サーバーの停止やシステムの停止、情報漏えいなどをリスクとして想定し、災害対策と合わせて事前対策や復旧対策を行っておくことで、効率よく対策が行えます。また、サイバー対策については、攻撃方法や攻撃内容の変化が早いため、見直しの頻度にも注意が必要です。
そして、もし万が一発生してしまった後の対策として、それにより発生した損害費用をカバーするためのサイバー保険への加入も有効です。

BCP対策が事業継続のための早期復旧に主眼を置いたものであるのに対し、リスクマネジメントでは、未然防止や被害抑制に主眼を置いています。その特性を十分に理解し、BCP対策だけで検討するのではなく、リスクマネジメントや内部統制と関連させて対策を行うことで、教育や訓練、組織体制など、より総合的な対策を行うことができると考えられます。

株式会社TMRでは、リスクマネジメント体制の構築支援を行っています。組織体制の最適化支援や内部通報制度、従業員研修による意識改革など、独自のノウハウと豊富な実績を元に効果的な支援を行っています。また、内部統制の運用支援も行っており、踏み込んだ内部監査サポートなど、企業の強みを損なわないことを視野に入れた客観的・多角的な第三者のセカンドオピニオンとしてアドバイスを行うことも可能です。