BCMとBCPの違いとは?対策の必要性と実施手順について解説
BCMとBCPは、緊急事態が発生した際でも企業活動を継続するために必要な考え方です。しかし、呼び方が似ているため、混同してしまう…という方も少なくありません。
そこで今回は、BCMとBCPそれぞれの意味の違い、関係性について解説していきます。また、実際にBCM・BCPを策定する際の手順についてもまとめていきますので、緊急時のリスク対策について検討中の方は参考にご覧ください。
目次
BCMとBCPの意味の違いは?
BCPとBCMには、どのような意味の違いがあるのでしょうか?
まずは、BCPとBCMについて、それぞれの意味と関係性についてまとめていきます。
BCP(事業継続計画)とは
BCPとは「事業継続計画」のことで、「Business Continuity Plan」の頭文字を取ったもの。緊急事態に陥った場合でも、会社組織として従業員の安全を守りつつ、事業への影響を最小限に抑えて企業活動を継続することを目的とした計画・取り組みのことを指しています。
このBCPを策定する際には、地震・台風などの自然災害、火災や事故、感染症やテロ攻撃など、想定し得るさまざまなケースに備え、復旧を優先すべき中核事業や目標復旧時間、緊急時の連絡系統や伝達手段などをあらかじめ計画しておきます。
BCM(事業継続マネジメント)とは
BCP とあわせて使用される言葉に「BCM」があります。BCMとは「Business Continuity Management」の略で、「事業継続マネジメント」を指す言葉です。
前述のBCPで策定した緊急時の事業継続計画を効果的に活用するために、社内にどう浸透させるべきか、どの点を改善すべきかなどをマネジメントすることを意味します。
参考:中小企業庁「中小企業BCP策定運用指針」
BCPとBCMの違いと関係性は?
BCPとBCMの違いについて、わかりやすくまとめると下記になります。
| BCP:事業を継続させるための「計画」自体のこと BCM:BCPをどう運用・活用するかを考える「マネジメント」のこと |
BCPは緊急時における事業継続の「計画」そのものを指すのに対し、BCMはBCPで策定した計画を上手く機能させるための「マネジメント」のことを指します。それぞれ意味する部分に違いはありますが、BCPとBCMのどちらも企業が緊急事態に備えるための重要な考え方となります。
BCP・BCMの必要性
緊急時に向けて策定が望まれるBCP(事業継続計画)とBCM(事業継続マネジメント)ですが、近年、BCPとBCMはどうして重要視されているのでしょうか?
その理由をまとめると下記になります。
- 緊急時に事業を継続させるため
- 従業員や顧客を守るため
- 企業としての信用獲得のため
- 世界的に必要性が高まっている
地震や津波など大規模な自然災害や事故・サイバー攻撃などが発生して、企業としての活動が遅延・停止してしまうと、自社の売上に影響するだけでなく、業務が長期間停滞することによって社会的な信用を失ってしまう可能性があります。それが結果的に、事業の縮小や最悪の場合は廃業につながってしまう可能性もゼロではありません。
特に日本は、地震や台風などの自然災害が発生しやすい地形となっているほか、近年ではIT技術の普及にともない、サイバー攻撃なども増加しています。しかし、“もしも”に備えて十分な対策がされている企業は、まだそれほど多くはありません。
緊急事態は前触れもなくやってくるもの。企業は従業員を守りつつ、顧客・取引先はもちろん社会的な信用を獲得するためにも、緊急時にどう対応すべきか、あらかじめ計画を立てておく必要があるのです。
関連記事「ITシステムに求められるBCP対策って?自然災害やサイバー攻撃に向けて備えておきたいBCPの具体策や策定ポイント」
BCM ・BCPを構築する手順
BCP(事業継続計画)とBCM(事業継続マネジメント)の違いや重要性について理解が深まったところで、それぞれを構築する際の手順についてまとめていきます。
基本方針の策定・体制の構築
はじめに、BCP・BCMの基本方針を決めていきます。自社の事業戦略や経営方針を整理し、緊急時に求められる企業としての役割、自社にとって何が重要なのかなどを明確化しておきましょう。
- 事業戦略
- 経営方針
- 地域・社会から求められているもの
- ステークホルダーに対する責任…など
また、BCP・BCMの計画から運用にあたっては、あらかじめ経営層を交えて対策チームを組むのが望ましいです。BCP対策を立案する際は、経営判断が必要になるシーンも多くあるため、対策チームの立ち上げから経営層に参加してもらうようにしましょう。
事業への影響度・リスク分析
基本方針が決まったら、重要業務を洗い出すとともに、緊急事態が発生した場合に事業にどのような影響がでるか、その影響度やリスクを分析していきます。
具体的には、以下のような項目について分析・検討していきます。
- 影響が想定される業務
- 利益や売上
- 市場への影響
- 従業員の雇用
- 顧客・取引先への信頼度
- 法令 …など
緊急事態と一言で言っても、その原因は地震・台風・感染症・テロ攻撃…など多岐にわたります。ですので、あらゆるケースを想定した上で影響度やリスクを分析し、「事業の復旧にかけられる時間」と「どの程度の復旧を目指すべきか」を整理しておきましょう。
優先順位・対策の検討
各業務に対する影響度とリスク分析が終わったら、次は優先順位付けとその対策を検討します。
災害時においては、洗い出したリスク全てに対応することは難しいため、自社の中核となる事業は何か、リスク事業への影響度や被害の深刻度はどの程度か…などをもとに優先順位を付けていきます。
優先順位が決まったら、それぞれの目標復旧時間や対応方法、指揮系統などを整理して具体的な対策を検討していきましょう。
BCP(事業継続計画)の策定
災害時に優先的に復旧させる事業や業務、リスクへの対策が整理できたら、BCP(事業継続計画)として落とし込みます。
こちらの「ITシステムに求められるBCP対策って?自然災害やサイバー攻撃に向けて備えておきたいBCPの具体策や策定ポイント」でもご紹介していますが、BCPを策定する際には、具体的に下記のような内容について整理・検討しておく必要があります。
- 優先して継続・復旧すべき中核事業
- 緊急時における中核事業の目標復旧時間
- 緊急時に提供できるサービスレベル
- 緊急時における事業拠点や生産設備・仕入品調達等の代替案
- 従業員に対する訓練計画 …など
また、中小企業庁の「中小企業BCP策定運用方針」ではBCPの策定に落とし込むべき項目が細かくまとめてありますので、こちらも参考にすると良いでしょう。
教育・訓練の実施
BCP策定後は、従業員に対する教育や訓練を実施する必要があります。
BCPを策定したとしても、従業員がそれらを理解していなければ、逆に混乱を招いてしまう可能性もゼロではありません。策定したBCPは必要な部分をわかりやすく可視化してマニュアルを作成し、研修を行うなどで社内周知を目指しましょう。
また、実際に緊急事態が発生すると、人間は冷静な判断ができなくなるもの。そのため、万が一の時でもスムーズに対応できるように、定期的に社内訓練を実施しておくと安心です。
定期的な見直し
BCPは一度策定して終わりというわけではありません。事業内容や経営戦略が変わることもありますし、人事異動もあります。特にサイバー攻撃などの可能性があるITシステムやサービスの場合、時とともに想定されるリスクも変化します。
さらに、定期的に社内訓練を行うことで、問題点や従業員からの要望などが出てくることもあるため、それらを踏まえて、BCP・BCMを定期的に更新・ブラッシュアップするようにしましょう。
BCMとBCPの違いを理解して緊急時に備えよう!
自然災害やサイバー攻撃は、いつ発生するか予測できないもの。そのため、緊急時にどう対応すべきかを計画するとともに、普段の業務からBCM・BCPを意識したツール・サービスを取り入れていくことが大切です。
ホスティング型プライベートクラウドの仕組みを利用した「プライベートクラウド版SONR」なら、独自のプラットフォームが構築可能。業務に合わせたオリジナル機能が追加できるほか、自社専用のサーバーで運用するためセキュリティも高く、企業のBCP対策にも有効です。
「BCPに有効なシステム・ツールを導入したい」
「自社のセキュリティ要件に合わせた運用がしたい」
「すべてのメッセージログを自社のサーバーで管理したい」
「クラウドに関する知識があまりないため具体的なアドバイスがほしい」
このようにお考えでしたら、まずはSONRにご相談ください。クラウドのプロによるアドバイスやサポートで、お悩みや課題点を解決することができます。
- 自社独自のコミュニケーションインフラを自由に構築できる
- 企業のニーズに合わせた機能を追加
- 既存ツールと連携が可能
- スマホアプリで外出先からアクセス
- 自社のセキュリティポリシーに合わせた運用が可能