東北大震災をきっかけに注目されたBCP対策。昨今のコロナウィルスの動きでも、再び注目が集まっています。いざという時のための、企業のBCP対策。その背景やガイドラインを徹底的に解説しました。
BCP対策とは?
まず、BCPとはBusiness Continuity Planの略称です。事業継続計画とも呼ばれます。BCP対策とは簡単に言うと、不測の事態が起きた時でも企業が事業を継続できるように備えておく対策を指します。不測の事態とは地震、津波、大雨などの自然災害、停電や事故などの場合や自社内のシステムダウン、取引先の倒産など様々で自社でコントロールできない企業活動に影響を与えうること全てを指します。
BCP対策の背景
元々日本は自然災害(地震、台風、大雨)の多い国です。これにより企業が大きな損害を被り、経営が立ち行かなるケースはこれまでにもありました。そうなると被災地の経済圏に甚大な影響を与えてしまいます。このような不測の事態で経営の継続が困難になる場合、真っ先に倒産のリスクに晒されるのは中小企業です。そして、日本の企業の内99%は中小企業と言われています。つまり、BCP対策を最も必要としているのは中小企業なのです。そのため、中小企業を中心にBCP対策の必要性が唱えられるようになったのです。また、昨今は自然災害に加えて、企業活動におけるITの需要性が高まっています。サイバーアタックやシステムダウンなどの問題に対する備えも重要と考えられています。
自然災害の影響
不測の事態は様々な要因が考えられますが、一番現実的に、頻度高く起こりうるものは自然災害です。例えば、台風で自社倉庫が浸水し、在庫が被害を受けたとします。その場合、取引先への供給はストップせざるを得ません。売上げが上がらず、利益が稼げない時期が長期間続くと企業は資金がショートし、存続の危機に直面します。
自社が被害を被らなかったケースでも災害の影響を間接的に受ける事は想定されます。取引先(顧客or 仕入れ先)が災害を受けた場合です。取引先が災害を受け、さらに被害を受けた取引先以外の付き合いがほとんどなかったために、販売先or 仕入れ先がいきなり無くなってしまった。その結果、事業が継続できなくなったと言う場合です。
このように自然災害が与える影響というのは何も自社への直接的な被害にとどまりません。自社の取引先、またはその先の取引先が影響を受ける事でも自社の事業に影響が来るのです。この意味では自然災害の与える影響は非常に広範囲であると言えます。
東北大震災
2011年3月11日に日本を襲った東日本大震災の被害はあまりにも甚大でした。特に震源地となった東北地方の被害は凄まじく、地震による被害だけでなく、その後の津波や火事などの二次災害でも多くの被害が出ました。また、震災で被害を受けた企業が事業活動を中断せざるを得なかった事で日本経済は大打撃を受けました。
このような大惨事の中でもBCP対策が役立ったという報告があります。東日本大震災のようなあまりにも大きな自然災害の場合、まず守るべきは社員の命です。しかし、地震により多くの地域で停電が起こり、電話が使用できませんでした。日頃からの備えで非常用発電機を準備していた企業はテレビやラジオなどで情報を収集し、社員の安全を確保しました。特に、その後に襲った大津波の情報を事前にキャッチできた事は日頃からの備えが社員を救ったと言って間違い無いでしょう。社員がいなければ、会社が存続できるわけありませんから、BCP対策が企業の存続につながった一例です。
コロナウィルス
直近の問題で言えば、コロナウィルスの流行が挙げられると思います。コロナウィルスの世界的な流行のため、世界中のどの国・地域でも少なからず企業活動に影響は出ています。日本でもほぼ全ての企業が対策に追われています。この問題に対し、企業が真っ先にとるべきは社員・家族の安全確保でしょう。その意味では出社を控える、そして、いわゆる3密を避けるよう指導するなどの対策が挙げられます。次に、オフィスでできない業務を自宅で行う在宅勤務(テレワーク)があります。元々、日本の政府はコロナの流行に関係なく働き方改革の一環でテレワークを推奨していました。この時期からテレワークの準備に取り組みパソコンなやリモートアクセス環境を準備していた企業は今回の危機にもスムーズに対応できたと思います。
一方、テレワークになかなか踏み込めていなかった企業は今回の問題で半ば強制的にテレワークに取り組むことになりました。テレワークを行うには従業員1人につき1台のPCが必要です。また、業務内容の整理も必要です。いまだに紙媒体での書類チェックや押印などの作業が当たり前のように行われているからです。これらの業務を見直すことなしにスムーズなテレワークの移行はできません。さらに、リモートアクセスを行うにあたり、VPNを利用して行った企業が多いと思います。しかし、これも問題に直面しました。同じ時間帯にあまりにも多くの人が社内システムにアクセスするため、通信が途切れてしまうケースが多発した企業が見られました。
このように日頃からの備えなしに急激な状況の変化に対応するのは簡単ではありません。特に、大企業ともなれば抱える従業員や施設は大きく、いっそう小回りが利きません。そして、急激な変化には副作用も伴います。だからこそ、日頃からのBCP対策が重要なのです。
BCP対策を実施する企業としない企業の実例
では、ここで具体的なBCP対策についての企業の実例をご紹介いたします。BCP対策を実施し、危機を回避できた企業、BCP対策を実施せず、危機を回避できなかった企業の両方の実例をご紹介致します。
実施した業者
東日本大震災時のソフトバンクの実例です。この大地震の際、多くの地域で一時電話回線が使用できなくなりました。そのため、電話回線では従業員の安否確認を迅速に行えませんでした。一方、インターネットはこの災害時でも使用できたため、メールやツイッターなどのコミュニケーションツールでは比較的迅速に連絡が取れました。ソフトバンクでは普段から社員全員にiPhoneやiPadが支給されていました。この端末を使用し、従業員の安否確認を迅速に行うことができました。災害時にはコミュニケーションツールを複数所有している事がリスクに対する備えとなります。
次に、宮城県の企業である皆成建設の例です。東日本大震災が起きる前から同社は大地震の備えとしてBCP対策を行なっていました。従業員の避難訓練はもちろん、避難場所や会社で働けなくなった場合の勤務形態なども準備していました。さらに、災害により事業が止まっても従業員への給料を数ヶ月間支払えるように資金の準備までしていたのです。この地域は歴史的に大地震の多い地域ですから、これまでの歴史上の経験からこのような選択をしたのかもしれません。いずれにしても、日頃の備えが迅速な復旧に繋がりました。
実施しなかった業者
これは平成19年の能登半島地震の被害にあった酒蔵のケースです。地震により、酒蔵がダメージを受けてしまい、酒の生産を止めざるを得ませんでした。被害を受けた酒蔵は修理が必要でした。このような場合速やかに被災状況を把握し、事業再開の目処を立てるため動き出すべきでしたが、この会社は初動に遅れました。慣れ親しんだ地元の建設会社へのコンタクトが遅れたため、地元の企業はすでに予約が埋まっており、馴染みのない業者に依頼せざるを得ませんでした。案の定、工事後に不備が見つかりました。追加費用がかかり、また費用の関係で生産規模を縮小せざるを得ないなどの状況に見舞われました。いざという時の準備と初動の遅れが企業活動に大きな影響を与えてしまった例です。
BCP対策をすべき理由
では、なぜBCP対策を行う必要があるのでしょう?理由は大きく3つあります。以下一つずつ解説していきます。
- 不測の事態でも企業を存続させる
- 自社内部の優先順位を洗い出し、経営戦略を強化
- 外部に対する信頼性や企業イメージの向上
BCP対策が必要な理由①:不測の事態でも企業を存続させる
不測の事態が起きて、企業の事業活動が止まった場合、この状態がいつまでも続くと企業に収入は入りません。一方で、企業はたくさんの従業員を抱えていますので、給料は払い続けなければいけません。給料だけでなく、必要経費や仕入れ先への買掛金、銀行への金利などの支払いができなくなります。収入がゼロになる事で、これらの支払いが一切できなくなります。大企業であれば多少の内部留保はあるかもしれませんが、中小企業ではこの状態は命とりです。収入が止まってしまえば数ヶ月で倒産してしまう企業もたくさんあります。だからこそ、事業活動を少しでも続ける必要があります。企業を存続させるため、従業員を養うために事業を継続する必要があります。
BCP対策が必要な理由②:自社内部の優先順位を洗い出し、経営戦略を強化
不測の事態での事業継続となると、平常時のように全ての事業が満足にできるわけではありません。オペレーションは限定的になります。必然的に優先順位がつけられます。優先順位をつけるという事は各事業の重要度を誰が見てもわかるように評価する必要があります。そして、各事業の評価が行われるとそれぞれの需要度が可視化され、曖昧な評価がなくなります。経営にとって重要な事業が何なのかがはっきりし、平常時でも注力するこの優先順位に基づき事業を進めていく事ができます。
BCP対策が必要な理由③:外部に対する信頼性や企業イメージの向上
①で自社が存続するためにBCP対策が必要であると説明しました。これは見方を変えれば、取引先にとって信頼に足る企業だという事です。自社だけでなく、取引先も不測の事態に備え、BCP対策を行なっています。その中には取引先の選定も含まれるでしょう。当然、BCP対策を行なっていない企業は災害時などに事業が止まることが懸念されますから、候補から外されるでしょう。BCP対策を行なっているという事は取引先からの信頼性を獲得するため、また企業イメージを向上させるために必要なのです。
CSR対策がもたらす影響
CSRとは”Corporate Social Responsibility”の略語で「企業の社会的責任」を意味します。現代において企業活動は収益獲得のためだけでなく社会に貢献することが求められています。この観点から考えると、緊急時に事業活動が止まり、従業員を守れず、取引先に迷惑をかける企業が社会的な責任を果たしていると言えるのか?という考えにもなり得るため、自社でBCP対策を行うことがCSRの観点からも重要だと考えられています。
BCP対策のマニュアル
BCP対策の重要性についてこれまでご説明してきましたが、BCP対策用のマニュアルが必須です。なぜなら、多くの従業員が迅速に同じ目標を持って動くことと、被害を最小限に抑えるためです。やるべきことが日頃から明確になっていない、従業員に周知徹底されていないと、せっかくの計画も何の意味もありません。マニュアルは問題の種類によって3つに分けることをお勧め致します。
- 自然災害時
- 外的要因
- 内的要因
自然災害時
自然災害の場合、まず最優先は従業員の安否確認と安全確保です。これを如何に迅速に行うか連絡ルートや方法を決めておく必要があります。また、停電などのリスクに備えて、代替の電源や複数のコミュニケーションツールを備えておくことも大切です。また、データのバックアップなどの体制を整えておく必要があります。
外的要因
外的要因とは取引先の倒産や外部からの攻撃(ハッキングなどのサイバー攻撃)による影響です。先ほども説明いたしましたが、BCP対策は取引先との信頼関係構築のためにも必要です。逆に言えば、自社にとっても万が一のリスクに備えて、BCP対策を取っている企業と付き合う必要があります。また、コロナが流行している今の時期はテレワークなどの勤務形態が増えていますが、このような時にサイバー攻撃のリスクも高まります。この対策についても講じる必要があります。
内的要因
これは企業内の主に従業員(またはバイト)によって起こされるリスクです。従業員の社内での不正や情報漏洩、あるいは単純なヒューマンエラーなどのリスクに対し、取引先の信頼を失わないような対策を講じる必要があります。また、機器の故障やシステム障害による業務の中断でも事業活動は継続できません。このような事態が起きた場合でも事業が継続できるような準備が大切となります。
BCP対策のガイドライン
BCP対策のガイドラインとしては政府の複数の機関がガイドラインを示しております。中小企業庁、内閣府、経済産業省のガイドラインをそれぞれご紹介致します。
中小企業庁
これは中小企業へのBCP対策の普及を目指し、中小企業庁が作成したものです。冒頭でご説明した通り日本の企業の99%は中小企業となるため、中小企業がBCP対策に取り組む事は日本の経済を支える上でも非常に重要です。このガイドラインの中には4つのコース(入門、基本、中級、上級コース)があり、BCPの運用実績の有無やかけられる時間に応じてコースを選択できます。
内閣府
内閣府からは平成17年にガイドライン第一版が発表されました。BCP計画の策定から実施に向けたフローなどが盛り込まれています。更新を重ねており、現在では第3版まで出ています。
経済産業省
経済産業省から発表されたこのガイドラインでは、BCP対策の必要性だけの解説にはとどまりません。BCP発動から各フェーズごとの仕事内容、対策チームの役割、普及までの手順などが詳細に盛り込まれています。また、BCP対策にITのセキュリティ対策の必要性にも触れられています。
本日は以上となります。企業活動は常に不測の事態が起こるリスクに晒されています。その中で迅速な事業活動の再開は特に中小企業にとって企業の存続がかかる重要なポイントです。また、BCP対策についての理解を深める事で、自社の経営面での強みを可視化できると言った思わぬ効果もあるかもしれません。皆さんの今後の企業活動のご参考になれば幸いです。