BCMとは？BCPや防災との違いや必要性、策定手順～ポイントをまとめて解説

BCM(事業継続マネジメント)は、企業経営において非常に重要な概念です。本記事では、BCMの基礎知識やBCP（事業継続計画）や防災などの用語との違い、BCMの策定手順などについて分かりやすく解説します。

BCMの基本情報
- BCMとは（事業継続マネジメント）
- BCMの規格
BCMと類似語の違い
なぜBCMが必要なのか
- 事業の中断に備えるため
- 企業／組織の信頼性向上のため
BCMの体制構築のポイント
- 企業／組織の存続に関わる事業を優先する
- BCMの実施自体を目的にしない
BCMの策定手順
BCMは予期せぬリスク（災害／事故／感染症）から企業を守る大枠の計画！

BCMの基本情報

BCM（事業継続マネジメント）は、企業の存続が危ぶまれるような緊急事態が発生した際に役立つ考え方です。まずは、BCMの基本情報について詳しく解説します。

BCMとは（事業継続マネジメント）

BCMとはBusiness Continuity Managementの略称で、緊急事態が生じた際に被害を最小限に抑え、事業の中断を防ぐための計画などを平時より運用／管理する考え方です。

BCMは、自社内外の環境変化にあわせて定期的に改善する必要があります。定期的な改善をしていくためには、計画を策定し（Plan）、その計画を訓練などで実施し（Do）、訓練結果をもとに計画を評価し（Check）、必要に応じて計画や計画に記載されている体制／対応等を改善していく（Act）といったPDCAサイクルによってBCMを行うことが効果的です。

BCMの規格

BCMに関する規格としては、ISO（国際標準化機構）の規格である、「ISO 22301:2019　セキュリティ及びレジリエンス－事業継続マネジメントシステム－要求事項」です。

2012年に初版が発行され、2019年に改訂版が発行されました。これはJIS（日本産業規格）によって、「JIS Q 22301:2020　セキュリティ及びレジリエンス―事業継続マネジメントシステム―要求事項」として日本語訳されていますのでこちらを参考にしてもよいかと思います。

事業継続管理（BCM）に関する調査報告書－BCM(BS25999)と関連領域の整理

BCMと類似語の違い

ここでは、「BCM」と類似する概念である「BCP」「BCMS」「防災」などの違いについて解説します。

もちろん緊急事態などにおいて用いられる考え方ですので、意味は似ているのですが、それぞれの意味や特徴を正しく理解することが重要です。

BCMとBCPの違い

BCMはBusiness Continuity Managemntの略で、日本語では事業継続マネジメントと訳されます。BCPはBusiness Continuity Planの略で、日本語では事業継続計画と訳されます。

BCPは、自然災害やテロ、感染症などの緊急事態において、被害を最小限に抑え、被害が出たとしても迅速に復旧して事業を継続させるための「計画」のことを指します。

BCMは、BCPのような種々の計画を、事前にどのように研修／訓練などに生かしたり、そこでの検証結果をもとに計画を修正／更新したり、それをもとに体制や対応を改善したりするかというマネジメントのことを指します。

BCMとBCMSの違い

BCMSは、Business Continuity Management Systemの略で、事業継続マネジメントシステムと訳されます。これは、BCMを効果的かつ継続的に運用し続けていくための仕組みのことです。

自社におけるBCMSの品質を保証するためには、第三者認証の取得が有効です。先ほど述べたISO22301については、BCMS（事業継続マネジメントシステム）適合性評価なども実施されています。

ここでは、BCPやBCMだけではなく、BCMSという仕組みも認証評価の必須条件になっています。

BCMと防災の違い

BCMとはまた違った用語として「防災」という考え方があります。日本の災害対策に関する基本法である災害対策基本法では、防災を「災害を未然に防止し、災害が発生した場合における被害の拡大を防ぎ、及び災害の復旧を図ることをいう」と定義されています。

防災は、一般用語としてもよく利用されており、防災訓練、防災教育などを経験された方も多いかと思われます。

防災がこのような一般用語としての広い概念であるのに対し、BCMは企業や組織の「事業継続」に焦点を当てた考え方です。防災の対象は、自然災害や火災／爆発などの人為的災害となるのに対し、BCMは事業の中断を余儀なくされるような突発的な外的環境の変化（ストライキ、法制度改正、通信障害）なども対象に含まれます。

また、防災の目的は、被害を出さない被害抑止策、出てしまった被害を大きくさせない被害軽減策など、事前／事後の具体的対策に焦点がおかれているのに対して、BCMは、策定計画などを事前に管理／運営するというマネジメント手法に焦点がおかれている点も異なる点でしょう。

なぜBCMが必要なのか

BCMは、現代社会のリスクマネジメントにおいて広く取り入れられている概念です。なぜここまで受け入れられるようになったのでしょうか。ここでは2つのポイントを挙げて解説します。

事業の中断に備えるため

BCMが重要視されるようになった理由として、企業や組織の事業中断のリスクが多様化してきたことが挙げられます。

自然災害、テロ、感染症、コンピュータシステムの障害など、近年、事業中断のリスクが多様化しています。これらによって事業が中断すればするほと、被害は甚大になります、また企業や組織の存続自体に関わる可能性も大きくなります。また、被害は、施設、資機材、商品だけではなく、機密情報を含んだデータや顧客／取引先からの信用など、広範囲に及ぶ可能性があります。

このようなリスクが顕在化した際に、ゼロから対応を考え始めるのでは、被害／影響に対して対応が間に合いません。それどころか二次災害を含めて被害／影響が拡大する危険性もあります。そのため、平時より対策を立てておき、緊急事態になったとしても、なるべく事業を中断させないことが重要です。

企業／組織の信頼性向上のため

BCMを導入し「緊急事態において被害を最小限に抑え、被害が出たといても迅速に復旧し事業を継続する」という姿勢は顧客や取引先、株主などの利害関係者からの信頼獲得につながります。

サプライチェーンが複雑であればあるほど、ある一社の事業中断が、関係する多数の企業の事業継続に影響を与えます。

BCPおよびそれを運用するBCMがあるということで、顧客や取引先は安心して平時から取り引きをすることができます。

BCMは、利害関係者から信頼を得ると同時に、同業他社との差別化を図る上でも有効な手段になるでしょう。

BCMの体制構築のポイント

ここでは、BCMの運用体制を構築する際に重要なポイントについて解説します。これらを踏まえれば、より効果的な運用ができるでしょう。

企業／組織の存続に関わる事業を優先する

BCMの目的は、企業や組織の存続です。そのため、企業や組織の存続に関与する事業を優先することが重要です。

具体的に何を優先的な事業にするのかは、企業／組織によって異なります。例えば、原材料の確保なのか、顧客への対応なのか、機密データの保持／流出防止なのか、事業内容と照らし合わせて、自社が優先的に守るべきものを確認し、社内で共有することが重要です。

また、顧客や取引先、株主など、自社と利害関係がある社外の第三者からの意見も取り入れるとよいでしょう。

BCMの実施自体を目的にしない

BCMを実施すること自体を目的化しないことも重要です。

BCMは、緊急事態における事業継続を目的とした平時からのマネジメントです。例えば、BCPを一回策定して見直さなかったり、BCMを数年間実施した後に終了したりでは、緊急事態における事業継続は難しくなります。「BCMを実施した」というアリバイづくりではいけないのです。

BCM、それ自体を目的化してはいけません。あくまでも目的は、緊急事態における事業継続です。そのため、策定したBCPが実行可能か、平時から訓練などで検証を続けながら、その結果を効果的な体制／対応に反映し続ける必要があります。

BCMの策定手順

ここからは、BCMの具体的な策定手順を4つのステップに分けて紹介します。

BCMの方針を決める

BCMの基盤となる、事業継続の目標／基本方針などを設定します。

まず、自社を取り巻くリスク、被害／影響などを想定した上で、自社が最も優先的に守りたい事項を決定します。それが事業継続における目標や基本方針になります。

例えば、顧客や従業員の安全、会社の施設／資機材／商品など財産の保全、原材料の確保、受給／供給ルートの確保などです。

想定されるリスク分析／マニュアル作成

目標や基本方針が決定した後は、自社に起こりうるリスクを洗い出します。目標や基本方針に被害／影響を与えるリスクをまんべんなく洗い出しましょう。

次に、それらのリスクについて、発生確率や、実際に顕在化した場合の被害／影響の大きさなどを計算しましょう。

その上で、特に自社にとって驚異となるリスクを同定します。同定されたリスクに対して、この後、BCPを策定することになります。

BCPを策定

リスクが同定された後は、実際にそれらのリスクに対してどのような対策が必要か、BCPを策定することになります。BCPでは、被害を出さないためにはどうすればよいか、被害が出た場合にどう迅速に復旧しながら事業を継続するかなどについて、具体的に対策を明記していきます。

例えば、従業員の安全確保、緊急時の通信手段、安否確認の方法、備蓄品や資機材の使用法、サプライチェーンの確保、行政や地域との協力体制などです。

緊急事態においては、従業員の安否を確認することも大切です。従業員の安全確保を確認するだけでなく、その後の対策に必要な人員確保にもつながるからです。迅速に確認したい場合は、安否確認を専門とするサービスの導入も検討してください。

BCPの評価と改善

BCPを策定したら、研修などで社員と内容を共有するとともに、訓練などで計画を実施して検証しましょう。そして検証結果をもとに、計画の改善を図りましょう。

自社内外の環境は常に変化します。社内の体制が変わったり、社会情勢が変化することで、BCP策定時点では有効だったものも、不適切なものになる必要があります。

そのためにBCMによって、BCPなどを常に改善しながら、社内の体制や対応にも反映させていきましょう。

BCMは予期せぬリスク（災害／事故／感染症）から企業を守る大枠の計画！

BCMは、継続して行っていくことで、予期せぬ様々なリスクから会社の存続を守ることになる重要なマネジメントです。また第三者認証なども活用することで、対外的な信頼性向上にも役立てることができます。

BCMを実施するためには、BCPの策定と訓練などにおける検証／改善が必要です。しっかりと手順を繰り返すことで、単なる「やりました」というアリバイ作りではない、効果的なBCMにしていきましょう。

BCP策定について、興味がある方は以下なども参考にしてみてください。