新型コロナウイルスに代表されるように、企業が台風・大雨、地震などの自然災害等に直面し平常時のように事業を継続することが難しくなった際の備えについて、見直す必要性が高まっています。

今回の記事では、そのような非常時に対して企業がとるべき「BCP対応」について、事前の計画策定の流れや災害発生時におけるフェーズごとの対応について紹介していきます。

BCP（事業継続計画）とはそもそも何か

BCPとは事業継続計画（Business Continuity Plan）の略で、緊急時でも事業を継続するための計画だけでなく、実際に自然災害などが発生した際の対応なども指します。

新型コロナウイルスによる外出自粛・接触の制限などにより通常の業務を進められない状況や、台風・大雨・地震などによる自然災害で利用できる設備に制限がかかるなど、従業員の勤務状況が通常と異なる状況下においての準備・対応について、あらかじめ計画に定めておきます。

BCPは、事業の中でもとくに重要となる業務をストップさせずに進める、事業活動を早期に復旧させるための環境を整備する、最終的な本格復旧を目指すなどの目的があります。

BCP_とは記事への参考リンク

BCPの作成の流れ

実際に災害が起こる前の計画段階として、BCPを作成する流れについて説明します。

①基本方針を決める

BCPを作ることの目的や、事業の優先順位付けなどの基本方針をまず決めます。非常時にはすべての事業を並行して進めることが難しくなることが想定されるため、「自社にとって重要なことは何か」という優先順位付けと社内での共通認識を作っておくことで、実際に災害が起きたときの迅速な意思決定・行動に役立ちます。

②事業への影響度を考える

災害が起きた時の事業への影響度を多角的に考えます。BIA（Business Impact Analysis）という手法で事業影響度分析を行います。利益・売上・マーケットシェア・資金繰りへの影響や、顧客・取引先への影響、従業員への影響などを時系列順に定量的に評価します。

その中で、災害時にも継続や早期復旧を優先的に行う事業を選定します。また、復旧に必要な時間や復旧度合いの想定、必要になるリソースの把握、復旧が難しい業務や確保が厳しいリソースなどの「ボトルネック」の特定なども行います。

③リスク分析を行う

災害の種類ごとに事業へのリスク分析を行います。事業の中断につながる危険性のある事象の洗い出しや、「発生可能性」「発生した場合の影響度」の2つの観点からの評価などの詳細な分析を行います。

④計画書を作成する

ここまでの内容を計画書に落とし込み、災害が起きたときの事業の優先順位や事業の回復までに必要な時間の目安、災害ごとのリスクなどを記載します。

計画書の作成と平行して、社内への周知や啓蒙・またBCPのアップデートを定期的に行うためのスケジュールなども決めましょう。

⑤BCPに必要なシステム環境を整備する

BCP対応のために必要なインフラ関係、情報システムなどを整備します。テレワークで勤務するためのサテライトオフィスでもすぐに利用できるクラウドシステム、また在宅ワークを可能にするVPNやオンラインストレージ、オフィスにいなくてもビジネスフォンが利用できるようになるクラウドPBXなどが代表的です。

このようなシステム環境の整備は、BCP対応としてもまずは始めやすく実用性の高いものです。

簡単・セキュアなオンラインストレージ「コワークストレージ」

「クラウド型の電話機を選ぶ8つのポイント」

フェーズごとのBCP対応

BCP発動時の、実際の対応についてフェーズごとに紹介します。本記事では経済産業省が発表している「事業継続計画策定ガイドライン」から抜粋して紹介します。詳細のステップについてはガイドラインをご参照ください。

参考・出典：企業における情報セキュリティガバナンスのあり方に関する研究会
https://www.meti.go.jp/policy/netsecurity/downloadfiles/6_bcpguide.pdf 23ページ目

①BCP発動フェーズ

災害などが実際に発生したときの最初のフェーズです。重要な業務を継続・再開することができるのか、また本格的な復旧はいつになるのか、などの見通しを立てるために、情報収集と分析、総合的な判断をしていきます。

（１）現場の初期対応

会社全体としてBCPを発令する前に、実際に災害が起きたタイミングでは人や事業への被害を最小限に抑えるために、現場での初期対応が重要となります。BCPを取り仕切るチームなどからの指示を待たずとも対応できることも多いため、災害が起こる前から部署やチーム内での初期対応方針やガイドライン、チェックリストなどを設けておくのが良いでしょう。

（２）被害状況などの確認

最初にどのような被害状況なのか、従業員の安全は確保されているかなど、被害状況の確認を行います。事前にスマートフォンやGPSから安否確認ができるツールを導入しておくなども手です。

システム障害が起きていないか、電話やインターネット回線といった通信インフラは確保されているかなど、災害の種類によって確認項目はそれぞれあるため、事前に策定したBCPに従って確認しましょう。

緊急時にはあらかじめ経営層に情報伝達されるような取り決めをしておく必要があります。

（３）業務影響の確認

発生した災害などがどのように業務に影響が出るのか確認します。自社の従業員が勤務可能であるか、設備・インフラ関係は正常に作動しているか、重要な取引先の状況、などです。事前に想定しているBCPの計画の中のどの状況に該当するのかチェックしながら、その後の想定される影響を予測しましょう。

（４）基本方針の決定

各チームや部門から収集した情報を元に、事前に想定していたBCP対策を選択し、継続するべき業務や停止している業務の復旧の目標を決めます。本格的な復旧ではなく、一時的な代替措置を選択するのか、またその代替措置から本格的な復旧までの目安はどのくらいかなどです。

必要になる情報の一例は以下です。

• 設備の被害状況
• 従業員が勤務可能であるか
• 取引先や調達元などの状況
• 継続可能な業務範囲の確認
• 切り替えに必要な時間、本格的な復旧に必要になる時間

このような情報を収集し、事前に決めた重要な事業・業務の継続と復旧に力を入れ、重要度の低いものは停止するなどの優先順位付けをしながら、BCP対応を行う範囲や期間を決めます。

（５）復旧目標の決定

基本方針を決定後は、被害を受けた設備やシステムなどの復旧目標を決めましょう。あらかじめBCPで想定していた目標復旧時間がそのまま適応されるケースは少ないため、現状のリソースを考慮しながら見直しを行います。

優先順位の高い業務の早期復旧を行う際、復旧すべき業務の範囲を広くすると、それぞれの復旧のスピードは落ちる傾向にあります。各部門からの情報収集をしながら必要な経営判断を行いましょう。

②業務再開フェーズ

BCP発令後、代替手段等による業務の再開を行うフェーズです。通常、本格的な復旧には時間がかかるため、その間に重要な事業を継続するために優先度の高い業務に絞って再開することが多いです。

再開にあたっては事前に策定したBCPで、代替手段に切り替えるための手順を決めておく必要があります。必要となる環境や設備、その調達先や利用先などの想定などをしておきましょう。

（１）人的資源の確保

業務を再開する時には業務を行う人や復旧作業を行う人など、平常時よりも追加の業務が生じるため、従業員の配置は適切に行う必要があります。人員が不足している場合は一部の業務は縮小するなどの対応を行いましょう。

（２）代替オフィスの確保

災害によりいつものオフィスが利用できない、または感染症により出勤が困難な場合は、代替オフィスを用意する必要があります。サテライトオフィスなどの一時利用や、在宅勤務をはじめとするテレワーク環境に移行することなどの選択肢があります。とくに2020年の新型コロナウイルスのパンデミックでは、感染防止のため外出自粛でテレワークを実施する企業が増加しました。

一方で、もともとテレワークに向いていない業種だけでなく、業務内容としてはテレワークに向いている業種でも、情報システムやセキュリティの観点からテレワークを実施する体制が整っていない企業も少なくありません。

従業員の安全や安定した事業継続のためにも、災害時のBCP対応としてあらかじめテレワークなどの代替オフィスでの勤務環境の準備をしておく必要があるでしょう。

（３）物的資源の確保

業務を再開するにあたり、必要になる機器・備品・システム・その他業務上必要になるもの・生活物資などを確保します。

（４）モニタリング

実際に業務を再開したら、稼働状況は常にモニタリングしましょう。代替オフィス、自宅などでの業務が問題ないか、代わりに用意したシステムにトラブルが起きていないかなどが項目として挙げられます。

③業務回復フェーズ

業務回復フェーズとは、平常時の業務形態に戻すための準備・回復段階のフェーズです。このフェーズでは、重要な事業を代替手段で継続しつつ、オフィスやインフラ、従業員などの状況を確認しながら、全面復旧の目処や計画を立て回復作業を行っていきます。

（１）業務拡大範囲の見極め

平常時の業務形態に戻す際に、どこまでの業務拡大ができるかを判断していきます。判断材料としては、リソースの状況や代替業務の稼働状況のモニタリング、データセンターやオフィスなどのインフラ関係の復旧状況、競合他社の稼働状況、取引先との関係や業績予想などの分析結果などです。ここでの判断を間違えると業務に重大な影響を与える可能性があるため、慎重に判断しましょう。

（２）リソースの追加

復旧状況を確認しつつ、必要であれば追加で設備や機器などの追加購入などを行います。

（３）事業の継続・縮小判断

業務再開フェーズで業務が問題なく進んでいるか、うまく進んでいない業務があるかなどを確認していきます。その結果、復旧が難しい業務や事業については縮小を選択することもあり得ます。

中途半端な状況で無理やり本格的な復旧をしても、むしろ収益的に損害が増えることもあります。経営判断が重要になるため、情報収集は漏れのないよう行いましょう。

業務を復旧させる範囲を徐々に広げていくケースもあるため、現場での混乱がないように影響範囲を想定しつつ、モニタリング継続しながら進めていきます。

（４）復旧計画の作成

業務拡大の目処を立てたあとは、実際に復旧させるための計画を立てていきます。全面復旧のための準備はリソースの追加だけでなく、どの順番で設備やシステムを復旧させていくのか、事業収益へのインパクトと回復作業の速さなどから戦略的に定めていく必要があります。全面復旧の目処が立たない場合は、代替体制をどの程度維持するのか、またその体制の中での改善をどう進めていくのかを決めます。

新型コロナウイルス時の対応を例にあげると、一時的に感染者数が低下して外出自粛が解禁されても、その後また緊急事態宣言が発令される可能性を考慮して、一時的な勤務形態であったテレワークを通常の形態として採用するケースなどが該当します。

その場合、テレワークでは実施できない業務内容の見極めや、社会情勢的に市場が縮小している事業からの撤退、またテレワークで生産性が低下しないための継続的な業務改善活動が必要です。このような総合的な判断をしつつ、復旧計画を立てていきます。

④全面復旧フェーズ

全面復旧フェーズでは、前述した復旧計画を実行していくフェーズとなります。実際に手配した施設や設備、またシステムやソフトウェアなどの復旧・乗り換え、また勤務規則の刷新などを行います。

起きた災害における影響をまとめ、今後同じような事態になったときのためのBCPの見直しや振り返りも行っていきましょう。

（１）切替えの判断

代替設備からの切り替えは、それまでの期間で慣れていた方式から人員の配置や業務フローなど含め、業務環境が大きく変わります。仮に切り替えがうまくいかず、前の状態に戻す場合、そのための労力が必要です。切り替えの判断は多角的な情報をもとに慎重に行いましょう。

（２）復旧手順の確認・全面復旧の実施

前述した復旧計画をもとに、実際に復旧作業を行います。データセンターやソフトウェアなどのシステムは、復旧時には大規模な作業になるケースがあるため、トラブル対応を想定した作業が必要です。テストを行いながら段階的に移行する、バックアップ行う、チェックリストを作成することなどが大切です。

（３）リソースの再配置

復旧時に設備・システム・物流などの再配置を行う場合、同時に人員の再配置なども起きます。平常時の体制に戻るだけでなく、本格復旧にあたり新しい仕組みを導入するケースもあるため、従業員が混乱しないような説明やサポートのための体制も構築しましょう。

（４）業務制限への対応

代替手段での業務では、コア業務にリソースを集中するため、利用できる情報やデータが制限されているケースもあります。全面復旧時にはデータの修正や、制限や権限の適切な再設定などが必要です。

（５）ITシステムの導入

本格復旧時には、できれば今後のBCP対策も踏まえてITシステムを導入するのが好ましいです。例えば、オフィスにいなくてもビジネスフォンが利用できるクラウド型の電話機や、データセンターの物理的な損傷に影響を受けず、リモートでもセキュアに情報をアクセスできるオンラインストレージなどです。

今後も大規模な自然災害などが起こる可能性はゼロではありません。万一不測の事態が起きた場合、交通インフラが利用できなくなりオフィスで勤務が難しいケースも想定されるため、テレワークができる状況を整えておくことをお勧めします。

まとめ

今回の記事ではBCP対応について、事前の計画作成の流れと災害発生時のフェーズごとの対応について紹介していきました。関係する場所・人員・関係企業などが多くなる規模の大きな企業ほど、このような計画・対策をしっかりと立てておく必要がありますが、小規模や中規模な企業でも非常時に事業を継続できる準備が必要です。

NTT東日本では、オフィスや事務所などが被害を受けたり、出社が難しい状況になった場合でも事業の継続に役立つサービスを多く提供しています。

遠隔地からもデータにアクセスでき、セキュリティ性が高いオンラインストレージやクラウド型の電話機など、社内に専任の担当者がいなくても、手厚いサポートで導入・運用がしやすいので、ご興味ある方は以下のリンクから資料をダウンロードしてみてください。

簡単・セキュアなオンラインストレージ「コワークストレージ」

「クラウド型の電話機を選ぶ8つのポイント」

関連リンク：スマートフォンで仕事用番号を受信「ひかりクラウドPBX」
https://business.ntt-east.co.jp/service/pbx/