事業継続計画(BCP)が重要なことは分かったけれど、それならどうやってBCPを策定すれば良いのか……、これについては多くの企業が頭を痛める所です。そこで、ここではBCP導入の基本的なステップをご紹介します。事業継続計画(BCP)の策定には、以下のような作業があります。
- 事業継続方針の確立
- 復旧優先事業の決定
- 事業影響度分析(BIA)の実施
- リスクアセスメントの実施
- 事業継続計画(BCP)の決定
- 演習の実施
事業継続方針の確立
事業継続方針とは、組織のトップが自社の事業継続マネジメントに関する取り組みや方針を社内外に向けて表明するものです。自社の中核事業は何か、それを継続させる目的は何か、そのためにどのような脅威を想定し、どのような取り組みを行っているかなどを記載した文書で、現在、さまざまな企業が自社サイトなどで自社の事業継続計画(BCP)における事業継続方針を表明しています。
事業継続方針に盛り込むべき主な項目
- 事業継続に関する基本的な考え方
- 事業継続マネジメント構築・運用の目的
- どのような脅威を想定した方針なのか(災害やテロ、設備の故障、感染症など)
- 事業継続に関する目標
- 自社の事業継続マネジメントへの取り組み(演習の実施など)
- 自社のステークホルダー(利害関係者全般)からの信頼や期待に応える宣言
- 法令順守の宣言
これは単なるお題目ではなく、実際にBCPが発動した時の指針となるものですから、取締役会や経営会議などで、社内でもしっかりと周知されている必要があります。
復旧優先事業の決定
災害やその他の要因で事業が中断された時、企業は生き残るために、自社の中核となる事業を優先的に再開させ、そこに経営資源を集中しなくてはなりません。しかし、たいていはこれがなかなかスムーズに決定できないそうです。基本的にどの事業も必要だからやっているわけですし、それぞれの事業を担当する責任者たちも、自分たちの担当分野こそ中核事業であると主張します。脅威に直面してから話し合いを始めるのでは間に合いません。平時の内にしっかりと決めておきましょう。
何を中核事業とするかは最終的には経営者の判断になりますが、選定の基準としては、以下のような基準が挙げられます。
- 収益性
- 市場性
- 財務性
- 顧客や取引先との信頼関係への影響
- 社会貢献度
- 合法性
「収益性は低いものの社会貢献度の高い事業」や、「市場性が低くても信頼関係への影響が大きい事業」など、現実は複雑な事情も多いとは思います。しかし、まずは会社が生き残らない事には、結局すべての事業に未来はありません。感情論は排除して、項目別に点数をつけてみましょう。全項目の合計点がもっとも高い事業が中核事業です。
事業影響度分析(BIA)の実施
事業影響度分析(BIA)とは、災害などによって重要な業務が中断した際の被害やその影響の評価、事業復旧までの目標時間、復旧に至るまでにすべきことなどを洗い出す作業です。この分析には、以下の項目を考慮しなくてはなりません。
最大許容停止時間(MTPD)
最大許容停止時間(MTPD)とは、製品やサービスの提供が停止したり、業務がストップした結果生じる悪影響が、許容範囲を超えるまでの時間のことです。この最大許容停止時間(MTPD)を超えて業務が中断されてしまうと、顧客との契約義務を果たせなくなる、法令・規制要求事項を尊守できなくなる、キャッシュフローが悪化し倒産に至ってしまうといったことが発生します。
目標復旧時間(RTO)
目標復旧時間(RTO)とは、中核事業を復旧させるまでの期限の目安となる時間です。当然のことながら、目標復旧時間は最大許容停止時間より短く設定する必要があります。
最小事業継続目標(MBCO)
最小事業継続目標(MBCO)とは、事業を継続するための最低限の目標水準のことです。「最低限出荷すべき製品の数」や、「最低限提供すべきサービス」などがそれにあたります。最小事業継続目標(MBCO)を決定する際は、予め顧客やその他関係者のニーズ、期待、関心などを把握した上で決定するのが望ましいでしょう。
重要な業務を支える経営資源と、その依存関係を明確にする
例えば電力が、水が、ガスが断たれた場合、施設や設備が故障した場合、知識や資格などを有する限られた人材が業務に就けなくなった場合など、想定されるボトルネックごとにその被害の影響を評価しておく必要があります。
仮に、電力が無くなると操業不可能になると評価したなら、震度6の地震で電力供給が何日止まるのか、止まっている日数は最大許容停止時間(MTPD)の範囲内か、範囲を超えた場合はどうするか、という結論を導くことができます。
リスクアセスメントの実施
リスクアセスメントは、リスクを除去、または低減するための事前対策です。
想定する脅威を地震とした場合、施設の耐震・免震工事や、設備の転倒防止対策、自家発電設備の導入、水や食料の備蓄、業務上重要なデータのバックアップなどがそれにあたります。脅威をサイバーテロなどとする場合は、ウィルスソフトの導入などの施策が挙げられますし、その他、なんらかの原因で中核事業が停止してしまった際に、一定期間耐えうるだけの資金を確保しておく事も、もちろんリスクアセスメントの一環です。
事業継続計画(BCP)の決定
事業影響度分析(BIA)とリスクアセスメントの結果に基き、事業継続計画(BCP)を具体的に決定していきます。初期対応としては、事業継続計画(BCP)の発動条件、災害が起こったときの災害対策本部の設置場所、災害対策本部のメンバー、対策本部長、社員の安否確認の具体的な方法など。一通りの初期対応が落ち着いたら、事業の再開に向けての実務が始まります。
災害対策本部の本部長、およびメンバーを決定する
通常、災害対策本部長は社長ですが、災害時、必ずしも社長が指揮を取れる状況にあるとは限りません。もし社長が動ける状態ではない時は誰が指揮を取るのかも決めておく必要があります。
ちなみに、アメリカの大統領に何ががあった場合は「大統領継承法」により、副大統領が大統領権限を執行します。副大統領がダメなら下院議長が、下院議長がダメなら上院仮議長が、上院仮議長がダメなら国務長官が……と、なんと18番目まで権限の継承が決められています。さすがに、アメリカの大統領権限ほど危機管理を徹底する必要はないかもしれませんが、災害時は何が起こるか分かりません。
万が一、社長が対策本部の指揮を執れない状況になった時、誰がその指揮を代行して行うのかは明確にしておいたほうが良いでしょう。災害対策本部要員の選定基準には、業務スキルや各種資格の有無、居住地の遠近などが挙げられます。災害時は交通機関などにも大きな影響が出ることが考えられますから、居住地の遠近は特に重要です。
災害対策本部の設置場所
災害対策本部には、さまざまな機能が求められます。水や食料の備蓄があるのはもちろんですが、情報収集を行うためのテレビやラジオ、パソコン、社員の安否確認などを行うための通信手段、対策本部要員が食事をしたり仮眠を取ったりするスペースも必要です。通常、対策本部は本社に設置する場合が多いとは思いますが、本社が被災していないとは限りません。もし本社が使えない状態になっていた場合、災害対策本部をどこに設置するか、候補地を決めておく必要があります。候補地では、実際にバックアップデータを使用して事業を再開できるかなどのテストも行ってみましょう。
災害対策本部を設置する場所に、危険がないかどうかの判断をするには
地震などが起こった場合、建物に倒壊の危険がないかを判断するのが難しい場合があります。そういう場合は、建物の安全性を判断する専門家「応急危険度判定士」に判定を依頼します。 応急危険度判定士は、自治体からの依頼を受けて被災した建物を一軒ずつ回り、その建物が使用可能かどうかを判断してくれる人たちです。ただ、災害時には、たくさんの建物が被災するわけですから、自社をすぐに判定しに来てもらえるかどうかはわかりません。建物の安全性の確認が取れない間、ずっと対策本部の設置ができない、となると困りますね。そこで、対策としては、以下の二点が挙げられます。
- 応急危険度判定士を社内で養成する
- いざという時協力してもらえる人材を社外で確保しておく
なお、応急危険度判定士は、各都道府県が民間の建築士などを対象に応急危険度判定に関する講習を行い、受講修了とともに判定士として登録します。建築士の資格を持つ人にとってはそう難しい試験ではないそうですが、建築関係の勉強をしたことがない人が急に取れるような資格ではありません。
次頁では、災害発生時の対策本部の役割や、BCP発動基準、社員の行動基準などについてご紹介します。