ISO 22301(事業継続マネジメントシステム)・BCP(事業継続計画)とは


事業継続計画(BCP)普及の背景

東日本大震災以降、事業継続計画(BCP)への関心が高まり、中小企業でも何らかの対策をとる会社が増えました。事業の継続,、この当たり前のように思われていることは、何らかのリスクによって、突然断ち切られることがあることを、誰もが現実のこととして受け止めたためです。

これまでも、災害等に備えて何らかの対策をとってきた企業は多いと思います。ただし、『防災』に限ったものが多く、事業継続という視点から、十分対策がとられていないケースも多く見られます。

例えば地震なら、まずは従業員の身を守り、安全な場所への避難させ、従業員の安否確認を行うと思います。そのために、防災訓練や防災グッズ(ヘルメット、消火器等)等の準備を行っている会社は多いでしょう。
ここまでは『防災』の範囲です。現在の日本では、経済産業省による「事業防災継続ガイドライン」や業界が定めた各種ガイドラインによって、多くの会社がこれらの対策をとってます。

しかし、人の命を守れたとしても、その後以前のように事業を再開できるか、というと、また別の話になります。会社として、事業が何とか持ちこたえられるように対策をとるため『会社の継続』を軸として考えるのが、事業継続計画です。


事業継続計画「BCP」とは

地震・水害・伝染病など、将来起こりえる何らかの出来事によって「組織が生き残る」という目的が達成できなくなる可能性を『事業継続リスク』としてとらえ、そのリスクをコントロールすることをBCM(事業継続マネジメント)といいます。
そして、BCMを実施していくにあたって、緊急事態が発生した際に何をすればいいのか等の取り決めを、具体的に盛り込んだものがBCP(事業継続計画)です。

BCPでは、地震など事業を停止せざるを得ない緊急事態が発生した場合に、自社の役割に応じて、どれだけ早急に事業を回復できるかを想定します。そして、BCPでは、「組織が生き残る」ためにどのように行動するべきかを、決めておきます。

そもそも災害に直面することだけが想定されているとは限りません。例えば、東南アジアで災害が起きたとします。その影響で、部品や原材料が手に入らなくなり、結果的に操業ができなくなってしまう、という事態が予想されます。
また、製品の安全性に問題が見つかり、回収しなければならなくなったというケースも考えられます。その場合の、顧客やメディアへの対応方法、回収の為の資金の確保などをあらかじめ計画しておくことも、事業継続計画に含めることができます。


事業インパクト分析(BIA)

BCPを作るためにはまず、事業インパクト分析(BIA)を行います。BIAとは、事業の中断が事業に与える影響を明らかにすることにより「事業継続のために必要なものは何か」を特定する分析手法で、以下のようなことを明確にしていきます。
  • 主要な製品及び、サービスをサポートする活動とは何か。
  • これらの活動の中断(混乱)によって生じる影響はどんなものか。その影響は時間の経過とともにどのように変化するか。
  • それぞれの活動は、最大どのくらいまで停止することが許されるか。
  • 重要な活動に関連する依存関係(供給者及び外部委託先)はどんなものか。
  • 重要な活動を依存している供給者・外部委託先では、どのようなBCMの取組がなされているか。
  • 重要な活動の再開における目標復旧時間の、最大許容停止時間はどのくらいか。
  • 各重要な活動が再開のために必要とする経営資源には、どんなものがあるか(人、設備、情報、技術等)
災害前の状況が100だとして、すぐに100に戻すことは不可能です。100のうちどこまで事業を快復できれば、組織として継続できるか。つまりは、どこを下回れば組織としての継続ができないか。これを許容限界として考え、計画を作っていきます。


BCPのポイント

事業継続計画は、「もしも○○が起こったら」と事象を仮定して対策を考えるのでなく、どのようなリスクが現実化したとしても重要業務を継続していく、という目的意識をもって策定されるものです。
災害・事故・紛争、伝染病による社員の欠席、供給元のトラブル…等、組織の存続を脅かすものがすべて、BCPの内容に含まれます。、これらをすべて仮定して計画をつくるとキリがありません。事象にこだわりすぎると、地震は予期していたが水害はしていなかったなど、漠然としすぎがちになります。
考えること、やることが多すぎて、何から始めればよいのかわからないと お悩みの会社も多いようです。ここが、事業継続計画の難しいところです。

BCPにおいてまず考えるべきはリスクではなく、組織にとって最も重要な業務(優先順位)です。
BCPでは、災害などのインシデントが発生した場合に備えて、防災および事業を復旧させるための計画を作ります。
しかし、それだけではなく、実際に災害が生じていない平常時にも、BCPによって組織を適切に分析することで、業務改善に活かすことができます。
・インシデント発生時
・平常時
という2つの面を考えながら対策を取れるのが、BCP構築の意義だと言えます。


事業継続計画立て方の例

例えば、地震により部品メーカーの工場の生産ラインが損傷したため生産できなくなった場合、顧客から「いつ頃までに供給が再開できるのか」という問合せがきます。主要な部品が供給されないと、顧客の生産計画に影響がでます。再開の目処が立たない場合は、他社からの供給も考えざるを得ません。
そのような事態になれば、部品メーカーにとっては地震の損害と顧客流出というダブルショックになります。
このようなことを防ぐためにも、
 ・在庫を一定量確保する
 ・生産ライン普及に必要な人材を支援してもらう
 ・損傷設備の代替を貸与してもらう
など、緊急時が発生した場合の対応策を定め、協力体制を確立しておく必要があります。

新型インフルエンザ対策として、従業員の家族に発症者が出た場合、その従業員からの感染拡大を防ぐため、1週間の自宅待機にするというルールを決めている会社があります。しかし、自宅待機する人が増え、人手不足となり、生産ができなくなれば、それは企業の存続にかかわって来ます。

BCPでは、例えば、生産量を8割に落とすことを前提として、
 ・受注時に通常よりも納期が遅れることを説明する
 ・優先的に納品すべき顧客の選定
 ・計画的な在庫確保
などを決めておくことが求められます。

また、計画を立てる際のポイントとしては、有事の際に、
 1.誰がリーダーになるのか
 2.優先すべきものは何か(人命優先は大前提)
 3.復旧までに許される時間はどれだけあるか
これらのことをあらかじめ、決めておくことです。他にも、代替ルートの確保をしておくこと、定期的に訓練を行うこと等を盛り込むことができます。
まずはこのようなソフト面の内容から始めることが、無理のない計画を立てる上で有効なのではないでしょうか。


BCPの3ステップ

インシデント対応計画
 通報、安否確認、消火活動、拡大の防止、物資の調達等。 『人を守る』ための初期対応。
事業継続計画
 代替手段、代替人員、情報設備等についての対策。 特定事態下において、目標復旧時間までに目標復旧レベルまで戻すための対応。
事業復旧計画
 年間計画として、完全復旧させるまでの対策。

ISO 22301(事業継続マネジメントシステム)

マネジメントシステムとして、事業継続計画を作るための標準規格が、ISO 22301です。規格は10章構成となっており、ISO 9001:2015、ISO 14001:2015等と同じく共通テキスト化されています。

ISO 223011の規格構成
1.適用範囲
2.引用規格
3.定義
4.組織の状況
5.リーダーシップ
6.計画
7.支援
8.運用
9.パフォーマンス評価
10.改善