BCPとは？事業を守る施策の進め方と業界別事例

想定されるリスクの例

企業が対応すべきおもなリスクには、以下のような例が挙げられます。

• 自然災害：地震、台風、洪水、火災など
• 感染症：病気の流行による人的リソースの変動や移動の制限
• サイバー攻撃：ランサムウェアや不正アクセスなどによる、システム停止、情報漏えい
• 人的リスク：不祥事や社内外のトラブルなどによるキーパーソンの離脱
• サプライチェーン障害：取引先の事業停止、物流網の寸断

BCP導入の効果

有効なBCPの導入によって、以下のような効果が期待できます。

• 操業維持：緊急事態発生時でも重要業務を継続でき、収益機会の損失を最小限に抑えられる

• 企業価値の維持：迅速な事業復旧によって、市場での信頼性と競争優位性を保持できる

• ステークホルダーの信頼確保：顧客、投資家、取引先からの信頼を維持し、長期的な関係性を強化できる

BCMとの違い

BCPと近い言葉に「BCM（Business Continuity Management：事業継続マネジメント）」があります。BCPは「計画」そのものを指すのに対し、BCMは、BCPを含む事業継続の仕組み作りやマネジメント活動の全般を指します。

BCMにおいては、「方針を定める→分析をする→対策を検討する→計画を立てる（BCP策定）→演習、訓練→見直し」のサイクルを継続的に回すことで、BCPを実効性の高い施策として維持します。

また、BCPを単発的な計画策定で終わらせず、組織的な管理体制のもとで運用することが重要とされます。

①中核業務の特定とビジネスインパクト分析（BIA）

まず「自社の中核業務は何か」を特定し、その業務が停止した場合の影響度を分析します。業務停止による財務的な損失はもちろん、顧客への影響や法的なリスクなども定量的に数値化して比較します。

比較の結果「より影響が大きい」と判断できた業務を中心に、復旧の優先順位付けをします。

②MTPD・RTO・RPOの設定と意味を理解する

再開させる業務の優先順位を定めたら、次に「災害発生時にどの程度の時間で、どのシステムを復旧させるか」を決め、再開までの時間をビジネス目標として設定します。

この際に重視されるのが、「MTPD」「RTO」「RPO」です。

• MTPD（Maximum Tolerable Period of Disruption）：事業が中断してから業務再開までに許容される最大停止時間を指します。この時間を超えると企業の存続が不可能になります。
• RTO（Recovery Time Objective）：事業が中断してから業務を再開させるまでの目標時間を指し、MTPDより短い時間を設定します。たとえば、基幹システムのRTOを4時間に設定した場合、障害発生から4時間以内の復旧が目標になります。
• RPO（Recovery Point Objective）：データ損失が許容される直近の時点を示します。たとえばRPOを1時間に設定した場合、最大1時間分のデータ損失までは許容し、1時間前の時点のデータまで復旧することを目標とします。

③ リスク分析と目標設定

業務停止の原因となるリスクを特定し、対策の優先順位付けをします。

そのリスクが発生したときの影響度と発生する可能性を数値化してリスクマップとリスクシナリオを作成し、高リスクとなった項目に対して詳細な対策を検討します。

同時に、各リスクシナリオに対する復旧目標時間や許容可能な損失レベルを明確に設定します。

④ インフラ設計：バックアップ・マルチゾーン・クラウド活用

各リスクシナリオをもとに、事業再開に必須となる業務データを守る方法を検討します。

オンプレミス環境での冗長化（RAID構成、サーバークラスタリングなど）はもちろん、クラウドサービスの活用や、地理的に分散した拠点での運用体制構築も有効です。

どの情報を、どのツールで、どのストレージに、どのような頻度で保存するかは、事業形態や中核業務によって変わります。先に決めた優先順位に従うことで、過剰投資を抑制できます。

⑤ BCPにおけるマニュアル整備・教育・訓練

策定した計画を実際の緊急事態で機能させるため、詳細な対応マニュアルを整備して、全社員への教育と訓練を実施します。

また、定期的なトレーニングでRTOとRPOが実現できそうかを確認し、必要に応じて計画を再検討して、実現可能なBCPを維持します。

マルチゾーン化で拠点停止に強い構成を

単一拠点での障害に対しては、複数のアベイラビリティゾーンを活用する「マルチゾーン化」で耐性を強化できます。マルチゾーン構成では、1つのデータセンターが停止しても、ほかのゾーンで業務を継続できるため、RTOの大幅な短縮が期待できます。

また、複数のクラウドリージョンを併用すると、広域災害に対する事業継続体制も強化できます。

クラウドバックアップによる柔軟なデータ保護

クラウドバックアップでは、復旧時にデータがいつまで遡るのかの許容範囲をビジネス要件として確認し、そのうえでバックアップ頻度を決定するプロセスが必須です。

日次バックアップの場合、最長で1日前のデータをさかのぼって復旧するため、1日分のデータ損失は許容することになります。

リアルタイム同期であればほぼデータ損失のない状態で復旧できますが、データ量やバックアップの頻度が増えるほどコストも上がります。業務の重要度に応じた適切な頻度を選択しましょう。

たとえばさくらのクラウドは、国内データセンターによる高信頼の運用体制と柔軟なスケーラビリティを備え、BCP強化に最適なインフラ基盤を提供します。

➡︎さくらのクラウドで冗長構成を今すぐ検討する

金融業の冗長化施策

日本取引所グループ（JPX）は首都直下地震の発生に備え、関西にバックアップセンターを構築しています。

広域災害などで東京取引所がストップした場合、BCPに基づいてシステムを関西のバックアップセンターに切り替えることで、市場取引の継続を目指します。

参考：首都直下地震等に備えた関西データセンター等の整備について | 日本取引所グループ

自治体の取り組み

鳥取県は、県と市町村、企業、医療福祉施設が連携するDCPの策定を目指した基本方針を定めています。

市町村のBCPを推進するワーキンググループを設置し、地区ごとに部会を置いてBCP策定作業を実施しました。

参考：事例集 （対策準備編） 令和5年5月

IT企業ならではの施策

IT企業では、サイバー攻撃やシステム障害が事業に直接影響します。BCP策定においては、情報資産の保護と迅速なシステム復旧がカギになります。

オンプレミス環境の被災に備えてデータやシステムをクラウド移行する、システムの冗長化によるデータ損失の抑止、不正アクセスやマルウェア対策をはじめとする多層防御、テレワーク環境の整備などが有効です。