「止まりました」では許されない――BCP導入の「強い」ススメ：本当に大丈夫？ 災害危機管理対策（1/2 ページ）

欧米に比べ非常に遅れが目立つ日本の事業継続計画（BCP）策定。今回は、なぜ欧米はBCPの策定が進んでいるのか。今後日本はどうなるのかといった点を中心にBCPの必要性を紹介していこう。

[水野宏美，ITmedia]

　企業規模を問わずITへの依存度が高まる中、情報システムの安全性、信頼性を確保し、運用することが求められている。

　しかし、災害やコンピュータウイルス、人為的ミスなどによる業務停止といった事故のニュースは日常茶飯事だ。こうした事故は企業のブランドイメージを損なうだけでなく、場合によってはマーケットシェアの大幅な変化、さらには企業の存続をも危ういものにする。もちろんこうした事故の発生を完全に防ぐことは困難だが、対症療法的に対応しているだけでは立ちゆかなくなる。事故の発生を防ぐことと、発生してしまった事故からの早期回復は一対として考えるべきで、そうしたものを計画としてまとめたものが事業継続計画（Business Continuity Plan：BCP）である。加えて、実際の活用にあたっては、その実効性を確保するためにBCPの運用、見直しまでを含めたマネジメント手法である「BCM」（Business Continuity Management）も考える必要がある。

　ここで、BCPおよびBCMの定義を紹介しておこう。BCMに関するガイドラインとして有名なのは、BSI（英国規格協会）が発行したPAS 56「Guide to Business Continuity Management」だ。それによると、BCPやBCMは次のように定義されている。

BCP 潜在的損失によるインパクトの認識を行い実行可能な継続戦略の策定と実施､事故発生時の事業継続を確実にする継続計画｡事故発生時に備えて開発､編成､維持されている手順及び情報を文書化した事業継続の成果物 BCM 組織を脅かす潜在的なインパクトを認識し､利害関係者の利益、名声､ブランド及び価値創造活動を守るため､復旧力及び対応力を構築するための有効な対応を行うフレームワーク､包括的なマネジメントプロセス

　BCPはコンティンジェンシープラン（緊急時対応計画）と混同されることもあるが、両者は幾つかの点で異なる。例えば、コンティンジェンシープランは事故発生時の行動を中心とした計画であるのに対し、BCPは事前にビジネスインパクト分析を行い、それに基づいた計画を立て実践する。リスク要因となる事象の発生に備えた対応計画を策定するという点では同じであるが、BCPは事業の継続性の観点から手順、体制といった計画を具体化したものだといえる。

　BCPの策定について、リスク意識が高い欧米企業では、「事故は起こるもの」という前提に立ち、そうした事故から自らの事業をどう守るかという観点から積極的に推進されており、策定済みの企業は全体の7割を超える。

　また、自社だけでなく原材料調達企業や納入先企業、アウトソース企業といった取引先の事業停止による影響で自社の事業が継続不可能な状態に陥らないようにするため、それらの企業にもBCPの策定を求めることも半ば常識化している。つまり、欧米企業のサプライチェーンを構築する企業もBCPを策定、運用することが求められており、そうしなければ取引先選定から漏れてしまうのだ。

次ページ：遅れる日本企業のBCP策定