U過去問を解いていて、「BCPって名前は知ってる。でもBCMとの違いは? RTO・RPOって何が違うの? 策定手順の核心はどこ?」と一気に混乱しました。言葉が似ていて、概念も重なっているように見えて、整理しきれずにいたのです。今回、時系列図を描きながら頭の中を並べ直してみたら、ようやくそれぞれの輪郭がはっきりしてきました。
BCP(事業継続計画)は、自然災害・感染症・サイバー攻撃など事業を脅かす緊急事態が発生したとき、重要業務をいかに継続・早期復旧するかを平時から定めておく計画です。診断士試験ではRTO・RPOの定義、策定手順(BIAを含む5ステップ)、BCMとの違い、中小企業への支援制度が繰り返し問われます。このページで体系的に整理しておきましょう。
目次
BCPとは
BCP(Business Continuity Plan:事業継続計画)は、緊急事態が発生した際に重要業務を継続または早期復旧するための計画です。「何が起きても事業を止めない」ための設計図ともいえます。
DISASTER PREVENTION
防災計画
- 人命・設備の安全確保が最優先
- 「被害をどれだけ小さくするか」に焦点
- 発生直後の初動対応手順が中心
- 例:避難訓練、消火設備の点検
VS
BCP
事業継続計画
- 被害を受けた状態でも業務を継続・復旧することに焦点
- 「いつまでに・どうやって事業を再開するか」を事前に設計
- 代替拠点・在宅勤務・調達先の複数化など
- 例:本社が使えない場合の拠点移転手順
試験でよく問われるポイント:防災計画は「被害最小化(発生前・発生直後の備え)」、BCPは「事業継続・早期復旧(被害後の業務復旧)」。両者は補完関係にあり、どちらか一方でよいわけではありません。
RTO・RPOとは(最重要概念)
BCP策定で最も重要な2つの概念が RTO と RPO です。試験では「どちらが時間でどちらがデータか」を混同しないことが肝心です。
RTO — Recovery Time Objective
目標復旧時間
- 緊急事態の発生から、重要業務を再開するまでの目標時間
- 例:「システム障害発生から4時間以内に復旧させる」
- RTOを短く設定するほど早期復旧が可能だが、代替システム・待機設備のコストが増大する
RPO — Recovery Point Objective
目標復旧時点
- 復旧後にどの時点のデータまで戻してよいかの目標(許容データ損失量)
- 例:「最大24時間前の状態までなら許容できる」
- RPOを0に近づけるほどリアルタイムバックアップが必要となり、コストが増大する
RTOが短い=コスト高
業務の早期再開が可能になる
代替設備・待機システムの常時確保が必要
初期投資・維持コストが増加する
RPOが短い(0に近い)=コスト高
復旧後のデータ損失をほぼゼロにできる
リアルタイム・高頻度バックアップが必要
ストレージ・通信コストが増加する
覚え方:RTO は「Time=時間」、RPO は「Point=時点(データ)」。RTO は「いつまでに再開するか」、RPO は「どこまでのデータを戻すか」と整理すると混同しにくくなります。
BCPの策定手順(5ステップ)
中小企業庁の「中小企業BCP策定運用指針」に基づくと、BCP策定は次の5段階で進みます。特にBIA(事業影響度分析)と重要業務の特定が核心であることを押さえておきましょう。
01
POLICY
基本方針の策定
どのような緊急事態(地震・感染症・サイバー攻撃など)を対象とするか、何を優先して守るかを経営者が決定します。BCP全体の方向性を示す出発点であり、経営者のコミットメントが不可欠です。
02
BIA
リスク分析・BIA(事業影響度分析)
業務が停止した場合に生じる影響(売上損失・顧客信頼の毀損・法的義務の不履行など)を分析します。この分析を通じて、優先して継続・復旧すべき「重要業務」を特定します。BIAはBCP策定の中核作業です。
03
KEY OPERATIONS
重要業務の特定とRTO・RPOの設定
BIAの結果をもとに重要業務を絞り込み、それぞれについてRTO(目標復旧時間)とRPO(目標復旧時点)を設定します。経営上許容できる最大のダウンタイムを起点として逆算します。
04
COUNTERMEASURES
対応策の検討・資源確保
設定したRTO・RPOを達成するための具体的な手段を検討します。代替拠点の確保、在宅勤務への切り替え手順、調達先の複数化(サプライチェーンの冗長化)、データバックアップ体制の整備などが典型的な対策です。
05
PDCAサイクル
計画書の作成・訓練・見直し(BCM)
BCP文書として計画を整備し、定期的な訓練・演習を通じて実効性を検証します。訓練の結果や環境変化(組織改編・新リスクの出現など)を反映して継続的に改善することが「BCM(事業継続マネジメント)」です。
試験の着眼点:「重要業務の特定(BIA)」がRTO・RPO設定より前に行われることが試験で問われます。「計画書を作って終わりではなく、訓練・見直しを繰り返すことがBCM」という流れも整理しておきましょう。
BCM(事業継続マネジメント)との関係
BCPとBCMは混同されやすいですが、役割が異なります。BCPを「計画書」とすれば、BCMはその計画書を生き続けさせる「運用の仕組み」です。
Plan
BCP策定
Do
訓練・実施
Check
評価・検証
Act
改善・更新
BCP
事業継続計画(計画書)
- 「緊急事態発生時にどう動くか」を記した文書・計画
- 重要業務・RTO・RPO・対応手順を記載
- BCMの「P(計画)」に相当する成果物
BCM
事業継続マネジメント(仕組み全体)
- BCPを策定・運用・改善するPDCAサイクル全体
- 訓練の実施・結果の評価・計画の更新を継続的に行う
- 国際規格ISO 22301が体系を定義
ISO 22301 との関係:事業継続マネジメントシステム(BCMS)の国際規格が ISO 22301 です。大企業・グローバル企業での認証取得が進んでおり、診断士としてもその存在を把握しておくとよいでしょう。
中小企業のBCP策定支援
大企業と比べて資源制約の大きい中小企業では、BCPの策定率がいまだ低い水準にあります。そのため中小企業庁を中心に、複数の支援策が整備されています。診断士として現場で活用できる知識として整理しておきましょう。
| 支援策・制度 | 内容 |
|---|---|
| 中小企業BCP策定運用指針 | 中小企業庁が公開するBCP策定の手引き。入門編・基本コース・中級コースの3段階で構成され、企業規模や策定経験に応じて活用できる |
| 事業継続力強化計画(認定制度) | 2019年施行「中小企業強靱化法」に基づく制度。策定した計画を主務大臣(中小企業庁長官等)が認定。認定企業はものづくり補助金・IT導入補助金での加点、低利融資、税制優遇(特別償却)が受けられる |
| よろず支援拠点・専門家派遣 | 都道府県よろず支援拠点や商工会議所を通じて、BCP策定を支援する専門家(中小企業診断士等)を無料または低廉な費用で派遣する制度 |
| IT導入補助金(セキュリティ対策推進枠) | サイバーセキュリティ・事業継続対応のITツール導入に対して補助金を提供。BCPの観点から情報システムの冗長化・クラウド移行費用などが対象になる場合がある |
| 入札・取引条件での加点・要件化 | 大企業・行政機関が取引先にBCP策定を求めるケースが増えている。公共調達では認定取得が有利になる場面もあり、中小企業にとって取引継続の観点からも策定の動機付けになっている |
U のメモ
「事業継続力強化計画」の認定制度は近年の試験頻出です。認定主体が「都道府県知事」ではなく主務大臣(中小企業庁長官等)であること、認定によって補助金加点・低利融資・税制優遇(設備の特別償却)が受けられることをセットで記憶しておくとよいかと感じています。
身近な場面で考えてみると
抽象的な概念をより身近に感じるために、具体的なシナリオで考えてみます。
SCENARIO — 地震発生時の食品卸売会社
早朝に大規模地震が発生。停電・通信断・従業員の出勤困難が同時に起きた。
停電への対処:BCPで「受注管理システムのRTO=6時間以内」を設定していたため、クラウド経由の代替受注ルートに自動的に切り替わる。事前にサーバーをオンプレからクラウドへ移行する対策が功を奏した。
通信断への対処:「取引先への納品情報は前日24時時点のデータまで許容(RPO=24時間)」と定めていたため、前日バックアップのデータで顧客への連絡が可能だった。
出勤困難への対処:BCPで「重要業務(受発注・配送手配)は在宅勤務5名で対応可能」と規定していたため、最低限の業務継続が可能だった。BCP策定時に在宅勤務環境の整備(VPN・端末の貸与)を実施しておいたことが活きた。
このシナリオのポイントは「発生してから考えるのでは遅い」ということです。RTO・RPOという数値目標があるからこそ、事前に必要な対策(クラウド化・バックアップ頻度・在宅勤務体制)が具体的になります。BCPは「リスクが起きてから動くのではなく、起きる前にどう動くかを決めておくもの」なのです。
試験での頻出ポイント
POINT 01
RTOは「時間」・RPOは「時点(データ)」
RTOは「いつまでに業務を再開するか」、RPOは「どの時点のデータまで戻してよいか」。Tは Time、Pは Point と覚えると混同を防げます。
POINT 02
BCPは「計画書」・BCMは「運用の仕組み」
BCPはPDCAの「P」に相当する成果物。BCMはBCPを含むPDCAサイクル全体を指します。「作って終わり」がBCP、「回し続ける」がBCM。
POINT 03
「重要業務の特定(BIA)」がRTO設定より先
策定手順の核心はBIA(事業影響度分析)による重要業務の特定。まず「何を守るか」を決めてから、RTO・RPOを設定します。
POINT 04
防災計画との違い:「最小化」vs「継続」
防災計画は被害を最小化するための「発生前後の初動対応」。BCPは被害を受けた後に「事業をどう継続・復旧するか」に焦点を当てた計画です。
POINT 05
「事業継続力強化計画」の認定は主務大臣
都道府県知事ではなく主務大臣(中小企業庁長官等)が認定。認定により補助金加点・低利融資・設備の特別償却(税制優遇)が受けられます。
POINT 06
RTO短い=コスト増、RPOゼロ近い=コスト増
迅速な復旧・データ損失ゼロはコスト増を意味します。経営上許容できる範囲でRTO・RPOを設定するトレードオフの視点も問われることがあります。
過去問で確認する
平成30年度 第23問(中小企業経営・政策)改題
BCP / 概念整理
BCP(事業継続計画)に関する記述として、最も適切なものはどれか。
- (ア)BCPは緊急事態が発生してから策定するものであり、平時の準備は不要である。
- (イ)RTO(目標復旧時間)は「どの時点のデータまで復旧させるか」の目標を指す。
- (ウ)BCPは、事業が中断した際にできる限り早期に重要業務を再開するための事前計画である。
- (エ)BCMとBCPは同一の概念であり、区別する必要はない。
解答・解説
正解は(ウ)。BCPは平時にあらかじめ策定しておく計画です(アが誤り)。RTOは「どれくらいの時間で復旧するか(時間)」であり、「どの時点のデータまで戻すか(時点・データ)」はRPOの定義です(イが誤り)。BCMはBCPを策定・運用・改善するPDCAサイクル全体の仕組みであり、BCPは計画書という成果物を指します(エが誤り)。
令和3年度 第23問(中小企業経営・政策)改題
事業継続力強化計画
「事業継続力強化計画」の認定制度(中小企業強靱化法)に関する記述として、最も適切なものはどれか。
- (ア)認定を受けられるのは大企業のみであり、中小企業は対象外である。
- (イ)認定を受けた中小企業は、ものづくり補助金等での加点や低利融資・税制優遇などの支援措置を受けられる。
- (ウ)計画の認定は都道府県知事が行う。
- (エ)計画の実施は義務付けられているが、訓練の実施は任意とされている。
解答・解説
正解は(イ)。事業継続力強化計画は中小企業・小規模事業者を対象とした制度です(アが誤り)。認定は主務大臣(中小企業庁長官等)が行い、都道府県知事ではありません(ウが誤り)。認定を受けると補助金での加点、低利融資(日本政策金融公庫等)、設備投資に係る特別償却が活用できます。なお、計画の実施・訓練についても計画に盛り込んで取り組むことが求められます(エが誤り)。
UBCPは「リスクが起きてから動くのではなく、起きる前にどう動くかを決めておくもの」という本質を理解すると、RTO・RPO・BIAなどの概念がすべてつながってきます。試験対策としてはもちろん、診断士として中小企業の現場で活用できる知識として整理しておけるとよいなと感じています。
- BCPは「事業継続・早期復旧」に焦点。防災計画は「被害最小化・初動対応」に焦点
- RTO=目標復旧時間(T=Time)、RPO=目標復旧時点・データ(P=Point)
- BCP策定の核心はBIA(事業影響度分析)による重要業務の特定。これがRTO・RPO設定の前提
- BCPは計画書(Plan)、BCMはPDCAサイクル全体の運用の仕組み(ISO 22301が国際規格)
- 「事業継続力強化計画」の認定は主務大臣。認定で補助金加点・低利融資・設備特別償却の優遇あり
