自然災害・感染症・サイバー攻撃など、事業を脅かすリスクが多様化している。BCP(Business Continuity Plan:事業継続計画)は、こうした緊急事態が発生した際に、重要業務をいかに継続または早期復旧するかをあらかじめ定めた計画だ。診断士試験ではBCPの目的・策定プロセス・RTO/RPOの概念が頻出となっている。
目次
BCPとは|防災計画との違い
防災計画
被害を最小化する
- 人命・設備の安全確保を最優先
- 「被害をいかに小さくするか」に焦点
- 発生後の対応手順(初動対応)が中心
- 例:避難訓練・消火設備点検
BCP
事業を継続・早期復旧する
- 重要業務を「どう継続・復旧するか」に焦点
- 被害を受けた状態でも事業を動かすことを想定
- 事前の体制・リソース・代替手段を設計
- 例:拠点の代替・在宅勤務切り替え手順
BCPとBCM(事業継続マネジメント)の違い:BCPは「計画書(Plan)」そのもの。BCMはBCPを継続的に運用・改善するマネジメントの仕組み全体を指す。BCPを作って終わりではなく、定期的な訓練・見直しをBCMとして制度化することが重要だ。
BCP策定の核心概念|RTO・RPO
RTO(Recovery Time Objective)
目標復旧時間
- 緊急事態発生から業務を再開するまでの目標時間
- 例:「システム障害発生から4時間以内に復旧」
- RTOが短いほど早期復旧が求められる → コストが増大
- 重要業務ごとに個別に設定する
RPO(Recovery Point Objective)
目標復旧時点
- 復旧後にどの時点のデータまで戻してよいかの目標
- 例:「最大24時間前のデータまで許容」
- RPOが0に近いほどリアルタイムバックアップが必要 → コスト増
- データの重要度に応じて設定
BCP策定の5ステップ
中小企業庁の「中小企業BCP策定運用指針」に基づくと、BCP策定は次の5段階で進む。
01
基本方針の策定
どのような緊急事態を対象とするか、何を優先して守るかを経営者が決定する。BCP全体の方向性を示す
02
重要業務の特定とBIA(事業影響度分析)
業務が停止した場合の影響を分析し、優先して継続すべき重要業務を特定する。売上・顧客への影響・法的義務などを評価
03
RTO・RPOの設定
重要業務ごとに目標復旧時間(RTO)・目標復旧時点(RPO)を設定する。経営上許容できるダウンタイムを基準に決める
04
事前対策と代替策の設計
代替拠点・在宅勤務体制・データバックアップ・サプライヤーの複数化など、RTO・RPOを達成するための具体的な対策を決定
05
訓練・見直し(BCM)
定期的な訓練・演習を実施してBCPの実効性を検証する。訓練結果をもとにBCPを継続的に改善する(PDCA)
中小企業とBCP|国の支援策
大企業と比べて資源に制約がある中小企業では、BCPの策定率が依然として低い。中小企業庁は策定を促進するためのガイドライン・補助金・専門家支援を提供している。
| 支援策 | 内容 |
|---|---|
| 中小企業BCP策定運用指針 | 中小企業庁が公開するBCP策定の手引き。入門編・基本コース・中級コースの3段階で策定を支援 |
| IT導入補助金(セキュリティ対策推進枠) | サイバーセキュリティ・事業継続対応のITツール導入に補助金を提供 |
| 中小企業診断士・専門家派遣 | よろず支援拠点・商工会議所を通じて、BCP策定を支援する専門家を派遣 |
| 事業継続力強化計画(事業継続力強化法) | 策定した計画を主務大臣が認定する制度。認定取得により補助金・融資・税制上の優遇を受けられる |
「事業継続力強化計画」は診断士試験での新頻出ポイント。2019年施行の「中小企業強靱化法」に基づく制度で、国が認定した中小企業はものづくり補助金・IT導入補助金での加点や低利融資の優遇が受けられる。診断士として策定支援を行う場面が想定されている。
過去問で確認する
令和5年度 第22問(中小企業経営・政策)改題
BCP(事業継続計画)に関する記述として最も適切なものはどれか。
(ア)BCPは緊急事態が発生してから策定するものである。(イ)RTOは「どの時点のデータまで復旧するか」の目標を指す。(ウ)BCPは事業が中断した際にできる限り早期に重要業務を再開するための計画である。(エ)BCMはBCPと同じ概念であり区別する必要はない。
解答:(ウ)
BCPは平常時に策定しておく計画(アが誤り)。RTOは「どれくらいの時間で復旧するか」の目標で、「どの時点のデータまで戻すか」はRPO(イが誤り)。BCMはBCPを含むマネジメント体系全体(エが誤り)。
令和3年度 第23問(中小企業経営・政策)改題
「事業継続力強化計画」の認定制度に関する記述として適切なものはどれか。
(ア)大企業のみが認定を受けられる。(イ)認定を受けた中小企業は補助金申請での加点などの優遇措置を受けられる。(ウ)認定には都道府県知事の承認が必要。(エ)計画の実施は義務付けられているが訓練は任意。
解答:(イ)
事業継続力強化計画は中小企業・小規模事業者が対象(ア誤り)。認定は主務大臣(中小企業庁長官等)が行う(ウ誤り)。認定を受けると補助金での加点・低利融資・税制優遇が受けられる。
この記事のまとめ
- BCPは「事業継続・早期復旧」に焦点。防災計画は「被害最小化」に焦点
- RTO:目標復旧時間(どれくらいで再開するか)、RPO:目標復旧時点(どの時点のデータまで戻すか)
- BCP策定は5ステップ:基本方針→重要業務特定(BIA)→RTO/RPO設定→事前対策→訓練
- BCMはBCPの継続的な運用・改善の仕組み全体を指す(PDCAサイクル)
- 「事業継続力強化計画」の認定を受けた中小企業は補助金加点・低利融資等の優遇あり
