ガイドラインの概要
内閣府(防災担当)が公開する「事業継続ガイドライン」は、自然災害、感染症、サイバー攻撃等の緊急事態に備えて事業継続計画(BCP)を策定するための手引きです。2023年3月に改定版が公開されています。
BCP策定の手順
| Step | 内容 |
|---|---|
| 1. 方針の策定 | 経営者がBCP策定の方針を示し、事業継続を経営課題として位置づける |
| 2. 事業影響度分析(BIA) | 重要業務の特定、各業務の中断による影響度の評価 |
| 3. リスクの評価 | 自社に影響する脅威(地震、水害、パンデミック、サイバー攻撃等)の分析 |
| 4. 事業継続戦略の検討 | 目標復旧時間(RTO)の設定、代替手段の検討 |
| 5. BCP文書の策定 | 具体的な対応手順、連絡体制、役割分担の文書化 |
| 6. 教育・訓練 | 定期的な訓練と見直し(PDCAサイクル) |
事業影響度分析(BIA)
BIAは「どの業務が停止すると最も大きな影響があるか」を分析するプロセスです。
- 重要業務の特定:売上への影響、法的義務、顧客への影響度で優先順位を付ける
- 目標復旧時間(RTO):各重要業務をいつまでに復旧させる必要があるかを設定
- 必要リソースの特定:各重要業務に必要な人員、設備、ITシステム、外部サービスを洗い出す
IT-BCPの策定
現代の事業継続ではITシステムの復旧が最重要課題です。
- 重要システムの特定:業務に不可欠なシステム(基幹系、メール、ファイルサーバー等)を優先順位付け
- バックアップ戦略:3-2-1ルール(3つのコピー、2種類のメディア、1つは遠隔地)
- クラウド活用:Microsoft 365等のクラウドサービスは、災害時にもインターネット経由でアクセス可能
- 復旧手順書:システムごとの復旧手順、優先順位、担当者、連絡先を文書化
- 定期的な復旧テスト:バックアップからの復旧が実際に機能するかを定期的にテスト
サプライチェーンBCP
自社だけでなく、取引先・サプライヤーの被災もBCP検討の対象です。代替調達先の確保、取引先のBCP策定状況の確認、サプライチェーン全体での訓練が推奨されています。
まとめ
BCPは「策定して終わり」ではなく、定期的な訓練と見直しが不可欠です。BIA→RTO設定→IT-BCP策定→訓練のサイクルで事業継続力を高めましょう。