BCMを解説！BCP、BCMSとの違いや構築のためのステップ

公開日 2021/06/16

更新日 2022/01/06

セキュリティ従業員数50人未満従業員数50～100人従業員数100～300人従業員数300～1000人従業員数1000人以上情報システム部門総務・人事・経理部門製造業卸売・小売業営業部門食品業金融業・保険業サービス業運輸・物流業建設・不動産業情報通信業

地震や台風、豪雨、津波、テロ、大規模事故など、企業が事業活動を進めるうえでのリスクは多岐にわたります。たとえば新型コロナウイルス感染拡大によって、これまで大前提だった対面での営業活動が難しくなったり、飲食店をはじめとする対面前提で成り立つ事業が大きな打撃を受けることとなりました。

とくに日本は、地震や水害など自然災害が頻繁に発生するからこそ、不測の事態であっても事業を継続する計画を立てておくことは必要不可欠です。さらに重要なのは、計画を立てるだけではなく実際に運用していくことでしょう。

今回は、全ての企業が計画・運用すべき活動「BCM」について、混同されやすいBCPやBCMSとの違い、構築のステップなどを解説します。

BCMとは

BCMとは「Businees Continuity Management」の意味で、「事業継続マネジメント」と訳されます。冒頭に記載したようなインシデントが発生したときに、被害を最小限におさえて可能な限り事業が継続するように行うマネジメント活動のことを示します。

BCMの規格

BCMには、標準的に定義された規格が存在します。以下、2つのBCM規格を見ていきましょう。

ISO 22301

「ISO 22301」は、スイス・ジュネーブに本部を置く非政府機関「International Organization for Standardization（国際標準化機構）」が設定する国際規格です。業種や業界は関係なく、さまざまな組織において認証の取得と利用ができます。

一般財団法人日本品質保証規格では、ISO　22301を以下のように定義しています。

「ISO 22301は、事業継続マネジメントシステム（BCMS）に関する国際規格です。地震・洪水・台風などの自然災害をはじめ、システムトラブル・感染症の流行・停電・火災といった事業継続に対する潜在的な脅威に備えて、効率的かつ効果的な対策を行うための包括的な枠組みを示しています。」

引用：一般財団法人日本品質保障規格「概要 | ISO 22301（事業継続） | ISO認証 | 日本品質保証機構（JQA）」

BS 25999

「BS 25999」は、英国規格協会（BSI）が発行するBCM規格です。前述のISO 22301は、BS 25999を参考にして作成されています。

2006年11月に実践規範となるPart 1（BS25999-1）が、2007年11月には、後述するBCMSのための要件となるPart 2（BS25999-2）がそれぞれ発行されました。

BCPとの違い

BCMと似た用語に「BCP」があります。BCPとは「Business Continuity Plan」の意味で、「事業継続計画」と訳されます。文字通り、インシデント発生時の行動計画を表したドキュメントのことを示し、その発動基準や発動時の体制、対応手順などが明記されるものです。

BCPが有事の際の計画ドキュメントであるのに対して、BCMは企業の活動を継続・改善するためのプロセス全般を示します。つまり、BCMはBCPを包括した存在であり、BCPの出来が、そのまま適切なBCMにつながるといえるでしょう。

関連記事：BCP対策とは？意味や策定のステップ、成功事例をわかりやすく解説

BCMはなぜ重要なのか

もしものときの被害を最小限におさえ、事業を継続できる体制を整えておくことは、自社のみならずさまざまなステークホルダーへの信頼の担保にもなります。

たとえば大規模災害が発生した場合にBCPが適切に策定されていないと、製造業においては部品の調達計画が狂ってしまい、サプライヤーからの部品やサービスの提供がままならなくなってしまいます。あらかじめ有事の計画を立案すれば、調達の代替手段へとスムーズに切り替えることができるでしょう。

さらにBCMが適切に遂行されなければ、せっかく立てた計画（BCP）も意味をなしません。インシデントが発生した場合、スムーズにBCPに沿った対応が進むようにBCMを構築していくことが必要不可欠です。

BCM構築のステップ

それではBCMの構築ステップを説明していきます。ここでは、BCPを策定した後のステップについてご紹介します。

①BCPの教育と訓練

まずは策定したBCPに沿って、従業員に対する教育と、必要に応じて実際のシチュエーションを想定した訓練を実施しましょう。有事にいきなり本番としてBCPを運用しようと思っても、うまくいく保証がありません。基礎訓練はもちろん、判断・意思決定訓練や、部門間の連携訓練など、さまざまなケースに応じてレベルを変えていくと良いでしょう。

従業員が、BCPやBCMの概念と内容を適切に理解し、各々が自分ごと化して役割に応じた行動へと移せるようになることが、BCP教育と訓練の目的となります。

②運用テスト

前述した訓練とは別に、実際のケースを想定した運用テストの実施も必要です。たとえば新型コロナウイルスのような感染症のパンデミックを想定した場合に、各サプライヤーおよび協力会社への対応要請や、従業員へのアナウンス、緊急時の配置計画に準ずるクロストレーニングなど、各ケースに応じた運用テストの実施が、BCPに沿ったアクションの成功確率を高めることになります。

③評価と改善（見直し）

BCMは、一度やったら終わりではなく、常に評価と改善のフィードバックループを繰り返すことで機能します。そのためにも、経営層を含めた社内メンバーのみならず、第三者による監査などを通じて、BCPそのものの見直しとそれに伴う教育・訓練・運用テストの改善PDCAを繰り返していきましょう。

BCMを活用した経営手法のBCMS

以上のようなBCMのPDCAサイクルを、効果的かつ効率的に運用できているのかをレビューする経営手法が「BCMS」となります。これは「Business Continuity Management System」の頭文字をつなげたもので、日本語で「事業継続マネジメントシステム」と訳されます。

BCMSを採用することで、先述したとおり、有事の際のBCPに沿ったコンティンジェンシープラン発動がスムーズになり、対応の成功確率が高まることになります。

画像出典：企業における情報セキュリティガバナンスのあり方に関する研究会「事業継続計画策定ガイドライン」より

不測の事態にそなえ、早めのBCM策定を

今回は、全ての企業が対応すべきBCPについて、BCPやBCMSとの違い、BCMが重要な理由、構築のステップなどについて解説しました。方針は策定して終わりではなく、いざというときにしっかりと運用できるよう、継続的な見直しと改善が必要です。

コネクシオでは、データのクラウド管理などのツールで、有事の際でも安全に事業継続できるような支援ツールを複数揃えています。企業ごとの課題に合わせて最適な提案が可能ですので、ぜひお気軽にご相談ください。

■合わせて読みたいページ

コネクシオがお客様に提供できる価値とは？

コネクシオ株式会社は、法人向け携帯電話の導入・運用実績約9,300社以上。端末調達からセキュリティ、運用、モバイルを活用したソリューションまでを最適の組み合わせで提供し、貴社の売上拡大・業務効率化に貢献します。

一覧に戻る

あなたがいる場所がオフィスになる