■基本的なBCPの策定の流れ

(1) 経営層の参加とBCP会議の立ち上げ
筆者の経験で言えば、中小企業のBCPの作り方には2通りあるように思われる。一つは総務担当者などがセミナー/講習会に参加して一通りBCPの作り方を教わった上で社内に持ち帰り、社長と各部門長を交えて具体的に検討しながら中身を固めていく。もう一つは最初から社内会議を立ち上げ、BCPの専門家を同席させて複数の会議を経て完成させる。どちらのアプローチを採るにしても社長(経営層)自らBCPの重要性や価値性を認識し、できる限り会議に参加することが必須である。最初から最後まで社長が関与しないBCPは作っても機能しない。

(2)BCPの基本方針を決める
大きな災害が起こって会社の業務がとつぜん停止し、あるいは混乱した状況に置かれたとき、安否確認や被害状況のチェックなどはもちろん大切なことだが、それだけでは十分ではない。業務の停止は内外の多くの利害関係者に迷惑をかけたり、信用を失ったりすることになるからである。危機的状況に直面したとき、あなたの会社は何を守り、何を維持するのかーいわゆる「中核事業」のことだがーこれを基本方針もしくはBCPの目的として明確にしなければならない。

(3)重要な活動(重要業務)を特定する
(2)の基本方針が決まったら、この方針を達成するために必要な活動(いわゆる「重要業務」)を特定する。一般的には顧客や取引先に向けた自社製品やサービスの提供にかかわる業務ということになるが、きわめて緊急性の高い地域貢献や行政への支援協力など変則的な活動があれば、それらが「重要業務」となる場合もある(例:医薬品を被災地の病院に搬送するサービスなど)。

(4)災害リスクを特定する
欧米では「リスクアセスメント」と呼ばれてステップである。災害は地震や洪水、火災、爆発事故、テロ、サイバー攻撃、感染症のまん延などさまざまである。このあたり、会社として警戒しなければならない災害を選択することになっている。とは言うものの、日本では自然災害が切迫した危機であることから、ややハードルが高いかもしれないが、「地震」や「豪雨災害」などを念頭にBCPを策定するのが望ましい。

(5)災害危険度のチェック
これも広い意味では「リスクアセスメント」に含まれるものだが、日本的には「防災・減災点検」「災害危険度チェック」とでも呼ぶほうがしっくりする。(4)で選定した災害を念頭に置き、社内を一巡してどの程度のぜい弱性があるか(被害を受けやすいか)をチェックする。これに関してはすでに連載の第4~6回(「BCPのベースとなる防災・減災対策のあり方」)で述べているので参考にしてほしい。

(6) 緊急対応手順を決める
いわゆる「緊急対応」「初動対応」(海外では「インシデント対応」をはじめ複数の呼び方がある)と呼ばれている最も緊急性の高い活動(初期消火、避難誘導、救護、二次災害の拡大防止、安否確認そのほか)のことである。安否情報などについては、その手順、担当者、複数の確認、報告先、情報共有手段などをしっかり決めておかなければならない。大規模災害では場所を問わず帰宅困難者の問題も起こる。自社の対応方法をわかりやすく規定したい。

(7)緊急対策本部の要件と役割を決める
大きな災害では、ただちに緊急対策本部を立ち上げて事態の収拾をはからなくてはならない。対策本部に参集するメンバーは経営層~部門長クラスの意思決定者たちである。重要なのは誰々が、いつまでに、どこに集合するのか、呼びかけか自主参集か、各自がどんな役割を担うのかといったこと。このルールがあいまいだと、肝心なときにメンバーが集まらないといった問題が起こる。

(8)戦略的な業務の継続方法を決める
会社が被災して「いつも通りのやり方」で業務が行えない中、どうすればBCPの方針にかなう活動(重要業務)を遂行できるだろうか。PCや固定電話、OA機器などの通常の手段が使えないことを前提に、これらに代わる「代替手段」を考えるわけである。大掛かりな生産設備を有する製造業などは、ひとたび被災すれば自社の代替手段だけではカバー仕切れないこともある。このためガイドラインでは、前もって取引先や同業他社と協力・連携関係を築いておくことを奨励している。

(9)BCP文書を書く
(2)~(8)について決定・合意したら、これを文書にまとめる。どんな目次や構成が良いのかは各社各様だが、中小企業庁版をはじめ多くのひな型が普及しているのでそれらを利用するとよい。