BCP・事業継続計画の種類と特徴
最終更新日:
執筆者:高荷智也
BCPの目的は「非常時に事業を継続する」ことですが、自社独自で策定をするか、ISOなどの国際認証を取るかに大別されます。担当者ががんばって作成をするケース、テンプレートや様式を活用して策定をする方法、ISO22301を取得する場合など解説をします。
BCPは独自策定するか国際規格を取得する
① 自社独自に策定したBCP
BCPはあくまでも概念ですので、基本的には自社が独自に策定をすることになります。ただし策定方法には様々なやり方があり、書籍やガイドラインを参考にがんばって策定をする方法、行政や各種団体が用意しているテンプレートを用いて作成する方法、専門家やコンサルタントに依頼をしたり一緒に策定したりする方法など様々です。いずれの場合も「非常時に事業を継続する」という目的は共通になります。
② 国際規格に基づいたBCP
BCPを策定していることを対外的にアピールする場合には、各種国際規格に基づいたBCPを策定することになります。具体的には、ISO23001(事業継続マネジメントシステム)や、その旧規格であるBS25999、また情報システムの維持に特化したISO27001(情報セキュリティマネジメントシステム、通称ISMS)などが存在します。今後BCPの国際規格を取得しようとする際には、基本的にISO23001を選択することになります。
① 独自に策定するBCPについて
テンプレートを用いてBCPを策定する
最も手軽にBCPを策定する際には、行政や商工会などが配付しているBCPのテンプレートを用いることになります。例えば取引先や親会社からBCP策定の要請を受けた際に、さしあたり急いで作成する必要がある(むろんいずれはきちんとしたものに差し替えることが望ましいですが)、というような場合に有効な方法です。最もよく使われるテンプレートとしては、中小企業庁の『中小企業BCP策定運用指針』があります。
書籍やガイドラインを参考にしてBCPを策定する
自分自身がBCPの担当者として、本質や内容を理解しながら策定する場合は書籍やガイドラインを参考に策定することになります。資料の中には様式やテンプレートを用意しているものもありますので参考になります。BCPを理解しなければ作業が進まないため運用面まで考えればよい作り方ですが、策定に手間と時間がかかることがネックです。中小零細企業が自社のためのBCPを策定する際にはよい方法です。
コンサルタントに依頼をしてBCPを策定する
間違いのないBCPを策定したい場合や、大企業や中堅企業など広い事業範囲と多数の拠点を抱える企業がBCPを策定する場合に用いる方法です。コストはかかりますが、抜け漏れの少ない非常時に役立つBCPを策定できる可能性は高くなります。なおBCPは策定後の運用が重要ですので、専門家に丸投げするのではなく自社のBCP担当者が窓口となり策定するとよいでしょう。
② 国際規格に基づいたBCPについて
ISO22301(事業継続マネジメントシステム)を取得する
2012年(平成24年)の5月15日に、事業継続マネジメントがISO化された「ISO22301:2012」が、ISO(国際標準化機構)より発行されました。正式名称としては、「社会セキュリティー事業継続マネジメントシステム-要求事項」ですが、一般的には単に「ISO22301」、または「BCMS」(Business Continuity Management System)と表記されます。
BCPの最上位に位置づけられるのが、ISO22301で、これはISO9001(品質管理マネジメントシステム)やISO14001(環境マネジメントシステム)と同じISOシリーズのひとつです。比較的新しいISOですのでまだ普及途上の段階であり、また認証のための手間と取得・維持コストはかかりますが、対外的に事業継続の仕組みをアピールする必要がある場合に用いる手段となります。
BS25999について
BS25999は英国規格協会(BSI)が発行している、事業継続に関する英国の国家規格です。BCPがISO化される前は、この規格の日本語訳版を参考に事業継続計画を策定する企業が多くありました。ISO22301の原案の一部としても用いられており、基本的にISOはBS25999の上位互換になります。今後ISO22301に乗り換えていく企業も増加していくと考えられます。
ISO/IEC27001(ISMS)について
ISO27001は、2005年(平成17年)の10月15日に、情報セキュリティマネジメントシステムの国際規格として発行されました。要求事項の多くがISO23001と一致しているため類似企画として捉えられることがありますが、こちらは情報システムの維持に特化をしたものになっています。日本の場合は2005年の個人情報保護法の施行以後、プライバシーマークと関連づけてISMSを導入する企業が増加しました。