見出し画像

「BCP とは何か?」に関する情報が入り乱れているので整理したい

「事業継続計画」の略である「BCP」という用語が、数年前から世間で広く使われるようになってきました。私自身が仕事で BCP に関わるようになったのは 2001 年ごろですが、それ以降に大規模な地震や感染症の流行(注 1)が発生するたびに、BCP が話題に上ってきたように思います。

このような用語が広く認知されるようになるのは良いことなのですが、一方で本来の意味から微妙に外れた解釈や自己流の定義、さらには明らかな誤用まで入り乱れ、混沌とした状況となっています

BCP について全く知らない人が、とりあえずネットで検索してみる可能性が高いと思いますので、 Google で「BCP とは」で検索してみます(「とは」の前に空白を入れます)。すると BCP の定義や意味、取り組み方などに関する説明が書かれた Web サイトが山ほど出てきます。

Google で「BCP とは」で検索した結果
https://www.google.com/search?q=BCP+%E3%81%A8%E3%81%AF&oq=BCP+%E3%81%A8%E3%81%AF&aqs=chrome..69i57j0l4j69i60l3.7932j0j4&sourceid=chrome&ie=UTF-8

検索結果をざっと眺めていただければ、「BCP」という用語に関する説明の仕方が、それぞれ少しずつ違うことがお分かりいただけると思います。これは Web サイトに限らず、様々な書籍や雑誌などでも同様です。このような状況が BCP の意味を理解する上で混乱を招く一因となっています。

意味が変わらない範囲で、分かりやすくするために表現を工夫してあるのなら良いのですが、独自の解釈や定義の拡張、誤用などが横行すると、BCP の普及を阻害することになりかねませんし、実務上のトラブルに繋がる可能性もあります

例えば、ある製造業の会社が自社の BCP について検討を進めるなかで、いくつかの重要な部品メーカーに対して、各社における BCP の整備状況を調査・確認することになったとします。このとき、自社と部品メーカーとの間で BCP の定義が大きく異なっていたら、話が噛み合わなかったり誤解が生じたりするかもしれません。同じことは顧客との間にも言えます。

製造業に限らず多くの企業において、BCP への取り組みは顧客、サプライヤー、業務委託先などの取引先とコミュニケーションを図りながら進めることになります。したがって「BCP」のような基本的な用語の定義については、組織や国境を超えた共通認識が必要です。そこで本稿では、国際的に受け入れられている標準的な BCP の定義をご紹介したいと思います。


BCP の標準的な定義は、国際規格「ISO22301」の 2019 年版で次のように決まっています(注 2)。

business continuity plan
documented information that guides an organization to respond to a disruption and resume, recover and restore the delivery of products and services consistent with its business continuity objectives
事業継続計画
事業の中断・阻害に対応し、組織における事業継続目標に基づいて、製品・サービスの提供の再開、復旧、修復をできるように組織を導く、文書化された情報)

なお、この規格は和訳されて日本産業規格「JIS Q 22301」となっています。こちらは ISO22301 の 2012 年版をベースに和訳されているため、表現が若干異なりますが、基本的な意味は同じと考えて差し支えありません(注 3)。

事業継続計画(business continuity plan)
事業の中断・阻害に対応し、事業を復旧し、再開し、あらかじめ定められたレベルに回復するように組織を導く文書化した手順。
注記 多くの場合、この計画は、重要業務の継続を確実にするために必要な資源、サービス及び活動を対象とする。

これらが国際的に受け入れられている標準的な BCP の定義です。

では、この標準的な定義と、他の様々な Web サイト、書籍、雑誌などに書かれている説明とでは、どこが違うのでしょうか?

もちろん、標準的な定義から「一字一句変えてはいけない」という訳ではありませんが、標準的な定義にはいくつか、最低限押さえておくべきポイントがありますので、本稿ではこれらに絞って以下に解説させていただきます。

-   -   -   -   -

ポイント 1) 文書化された計画である

「BCP」の「P」は Plan の頭文字ですから、BCP は何らかの「計画」ということになります。当たり前だと思われるかもしれませんが、実はこの点についても誤解や間違いが見られます。

かつて(まだ日本で BCP があまり知られていなかった時代に)BCP を「Business Continuity Planning」の略だとする説明がありました。つまり事業継続をどのように実現するかを計画したり、そのような取り組みをマネジメントする活動(つまり事業継続マネジメント(BCM)と同じ意味)を指す言葉として「BCP」が使われていたことがありました。しかし、現在はこのような説明はなくなり、BCP は計画そのものであるという定義に収束しています。

このような流れとは別に、そもそも「P」が Plan の頭文字であることが理解されていないと思われる例もあります。例えば「BCP 対策」、「BCP 計画」、「BCP 戦略」、「BCP ソリューション」という表現をたまに見かけますが、「P」を「計画」に置き換えていただければ、これらが明らかな誤用であることがお分かりいただけると思います。

そして、ISO の定義で「documented information」、JIS の定義で「文書化した手順」と明記されているとおり、BCP は何らかの形で文書化されている必要があります。もちろん紙でなく電子データでもよいのですが、社長の頭の中だけで「いざとなったら外注しようと思っている」などというのは BCP とは言えません。

なお、必ずしも「事業継続計画」という単一の文書になっている必要はありません。部署ごとに別々のファイルに分かれていたり、連絡先リストが別紙になっていたりしてもよく、それらを集めた文書全体として BCP の機能を果たせば良い、ということが規格からも読み取れます(注 4)。

-   -   -   -   -

ポイント 2) 製品やサービスの提供を再開・復旧させるために必要なことが書かれている

ISO の定義に「resume, recover and restore the delivery of products and services」(製品・サービスの提供の再開、復旧、修復)をできるようにする計画だと書かれています。

ここで「製品・サービス」とは、顧客などの取引先やステークホルダーに対して提供されるものです。損害保険のように無形の商品や、商品販売後のアフターケアなど無償のサービスも含まれます。自治体の BCP であれば、ゴミ収集のような公共事業も対象になり得ます。

これらのように、組織が外部に対して提供している製品やサービスの提供が、災害や事故など何らかの理由で中断されてしまった場合(または中断されそうになった場合)に、それらの提供を継続、再開、復旧させるための方策や手順、およびその際に必要になる情報(例えば連絡先のリストなど)が、BCP には含まれている必要があります(注 5)。

なお、製品やサービスの提供を継続・再開するためには人的資源が不可欠だという観点から、従業員の安否確認や、避難経路、消火活動、負傷者の救命救護、災害発生後に必要となる食料や日用品の準備などといった内容が BCP に含まれる場合もあります。しかしながら、このような従業員の安全確保や二次災害の防止といった内容にとどまり、製品・サービスの提供に関する具体的な内容が書かれていなければ、それは BCP とは言えませんので、「災害対応計画」や「地震対応マニュアル」など別のタイトルを付けていただいたほうが良いでしょう。

-   -   -   -   -

ポイント 3) 事業を「できるだけ早く再開・復旧」させるためのものではない

災害などによって事業活動が中断してしまった場合、恐らく多くの方々が、できるだけ早く再開・復旧させたい(もしくは、させるべき)と考えるでしょう。しかしながら ISO の定義には「できるだけ早く」とは書かれていません

その代わり、ISO の定義には「consistent with its business continuity objectives」(組織における事業継続目標に基づいて)と書かれています(注 6)。これはどういう意味なのでしょうか?

これは、どのくらいの時間内に事業活動を再開させるべきかは、組織が自分で決めるべきだという考え方に基づいています。実際には事業影響度分析(BIA)というプロセスで具体的に検討するのですが、BIA のやり方については別途あらためて解説させていただくとして、本稿では基本的な考え方をお示ししたいと思います。

どのくらいの長さの事業中断が許されるかは、業種や事業内容、顧客との関係など様々な要因によって変わります。例えば仮に金融機関の基幹システムがトラブルで停止した場合、数分あるいは数時間以内に復旧することが期待されるかもしれませんが、大規模な地震で被災した工場にこれと同じくらいの復旧を期待するのは現実的ではありません。したがって、自社の事業をどのくらいの時間で再開・復旧させるべきかを検討し、自ら目標を設定する必要があります。

また、ある企業で「3 週間以内に生産を再開させる」という目標を設定した場合に、全ての製品の生産を同時に再開させる必要があるのか、それとも優先順位の高い 2 割程度の製品さえ生産再開できれば、他の製品はもう少し後でもいいのか、というような量的な観点からも、目標を決める場合があります。これらの時間的、および量的目標を総称して、ISO の定義では「事業継続目標」と言っています(注 7)。

そして、BCP ではその目標に基づいて事業を再開・復旧させることを目指しています。「3 週間以内に生産を再開させる」という目標が決まっているのならば、3 週間に間に合うための現実的な方法が検討され、計画に書いてあれば良いのです。このとき、3 日以内に再開させるための方策が書かれていたらオーバースペックと言えます。一般的に、より早く再開・復旧させようとするほど、そのための準備や実施にかかる費用は大きくなりますので、費用対効果を考慮する必要があります。また、本来はさほど急ぐ必要がないにもかかわらず、従業員が「一刻も早く復旧しなければ」と不眠不休で頑張って体を壊すという事態も避けなければなりません。したがって、その組織にとってちょうどいいペースで事業の再開・復旧を行うことが重要であり、それを実現するための計画が BCP だということです。


さて、書き始めたら予想以上に長くなってしまいましたが、1)文書化された計画である、2)製品やサービスの提供を再開・復旧させるために必要なことが書かれている、3)事業を「できるだけ早く再開・復旧」させるためのものではない、という 3 つのポイントを押さえていただければ、標準的な定義から大きく外れることはないと思います。

実は、本稿の序盤でお示しした「BCP とは」の検索結果の上位 20 位まで(私のマシンのブラウザでの検索結果の 2 ページ目まで)のうち、BCP の定義が ISO や JIS の規格を参照して書かれたと思われるページはありませんでした。日本でこれらの規格が普及していないことが、このような混乱を助長しているように思います(注 8)。本稿を読んでくださった皆様におかれましては、ぜひ標準的な定義に基づいて BCP を理解し、皆様の組織での実践に繋げていただきたいと思います。

長文になりましたが、最後までお読みいただき、ありがとうございました。

[本稿に関するお問い合わせ]
本稿の内容に関してご不明な点やご意見などありましたら、下記 URL の問い合わせフォームからご連絡いただければ幸いです。
http://office-src.com/contact

【注釈】
1) 本稿執筆時点では新型コロナウィルスの第 1 波がようやく収束しつつあるかな、という状況ですが、2003 年に SARS、2009 年に新型インフルエンザ(当時の呼び方)の感染拡大が問題になったときにも、BCP に対する関心が高まりました。

2) 出典は次の通りです(ただし和訳部分は筆者)。
ISO 22301:2019 Security and resilience — Business continuity management systems — Requirements

3) 出典は次の通りです。
JIS Q 22301:2013 社会セキュリティ - 事業継続マネジメントシステム - 要求事項

4) ISO 22301 では「Collectively, the business continuity plans shall contain:」(事業継続計画には、全体として次の事項が含まれていなければならない)という行の後に、BCP に書かれるべき内容が列挙されています。「plans」と複数形になっていますので、BCP が複数の文書で構成されることが想定されていることが分かります。

5) 事業影響度分析(BIA)の結果を踏まえて、優先度の高い製品・サービスについて書かれていれば良いので、必ずしも全ての製品・サービスがカバーされている必要はありません。

6) JIS の定義では「あらかじめ定められたレベルに回復するように」という表現になっていますが、実質的には ISO における定義と同じ意味だと思っていただいて差し支えありません。

7) なお、BCP を作る際に決めた目標が現実的かどうかは、災害や事故などが発生した後の状況にもよります。したがって災害や事故などが発生した後に、被害状況などの調査結果に基づいて、BCP で決められた目標を修正することもあります。

8) ISO 22301(日本では JIS Q 22301)に基づく認証制度がありますが、本稿は読者の皆様に認証取得をお勧めするものではありません。また、この規格は認証制度のためだけに作られた規格ではありません。たとえ認証取得に興味がなくても、規格で定められている用語を参照し、規格に示されている枠組みや手法を取り入れていただくと、より合理的に事業継続に取り組むことができるようになります。実際に、欧州ではそのように規格を活用する組織が多いのですが、日本ではそのような活用方法がまだ広まっていないようです。規格は日本規格協会の Web サイト(https://webdesk.jsa.or.jp/)で購入できますので、ぜひ有効に活用していただければと思います。



よろしければサポートをいただければ幸いです。 これからも有益なノウハウをお届けできるよう、再投資に使わせていただきます。