対応規格・標準
対象となる企業・組織
- ✓多国籍・多段階サプライチェーンを持ち、中断リスクに敏感な製造業
- ✓金融機関・医療機関・重要 IT インフラ事業者
- ✓地政学的リスクや気候変動の影響を受ける企業
- ✓ISO 22301 事業継続管理認証を目指す企業
実施した場合としなかった場合の差
✅ 実施した場合
921 大地震・COVID 断鏈・日本大地震——ISO 22301 認証を持つ台湾メーカーは迅速に復旧し、競合から流れた欧米受注を獲得しました。BCM を適切に実施した企業にとって、危機はシェア拡大の機会です。
❌ 未実施の場合
BCP のない企業が 2 週間以上操業停止になると、顧客はバックアップサプライヤーを起動します。短期間での受注回復はほぼ不可能で、危機が顧客流出を加速します。
✅ 実施した場合
欧米日サプライチェーンに参入する台湾メーカーは、主要顧客から BCM 認証または BCP 文書の提出を求められます。認証取得企業はコアサプライヤーリストに登録され、発注が安定し、交渉力も向上します。
❌ 未実施の場合
BCM 文書のないサプライヤーは年次顧客監査で「単一障害点リスク」と判定され、バックアップへの格下げまたは交替。数年かけて構築した関係が一夜にして崩れます。
✅ 実施した場合
完全な RTO/RPO 機構を構築した企業は、金融規制審査や上場審査でレジリエンス能力を示し、低い保険料・高い信用格付け・低い資本コストを獲得します。
❌ 未実施の場合
BCM 文書はあるが演習のない企業は、実際の危機発生時に計画が機能せず、担当者が何をすべきか分からず、損失が想定をはるかに超えます。コンプライアンスのための支出が実際の保護にならない。
フレームワーク比較と実装戦略
一般的な誤解:BCP を BCM と混同する
「事業継続計画」を一つ作成して BCM が完了したと思い込む。各リスク情境の連鎖影響を特定せず、各情境に対応した実行可能な DRP も作成しない。危機発生時に混乱。
正しい三層構造
BCM は全体フレームワークで全営業リスク情境を特定 → 各リスク情境に対して一つの BCP(事業継続計画)を展開 → 各 BCP から複数の DRP(IT・設備・人員・物流それぞれの具体的な復旧計画)を展開。三層すべてが不可欠。
よくある現状
3 か月かけて 200 ページの BCP を作成し、ファイルに保管後は一度も見直さない。危機発生時、計画がどこにあるかさえ誰も知らず、演習を実施している企業と比べて損失がはるかに大きい。
積穗科研のアプローチ
計画構築直後にテーブルトップ演習を実施し、毎年フルスケール演習を行い、各 BCP と DRP の実行可能性と各キー担当者の役割認識を確保。
サービス提供プロセス(4ステップ)
事業影響分析(BIA)
重要な事業プロセスを特定し、中断による財務影響と最大許容中断期間(MTPD)を評価して復旧優先順位を決定します。
リスク評価とシナリオプランニング
主要な脅威(自然災害・サイバー攻撃・サプライチェーン中断など)を特定し、各シナリオへの対応戦略を策定します。
計画策定と文書化
事業継続計画(BCP)・災害復旧計画(DRP)・危機コミュニケーション手順を策定し、完全な文書体系を完成させます。
演習・訓練と認証取得
テーブルトップ演習とシミュレーション訓練を計画してギャップを特定し、継続的に最適化して ISO 22301 認証取得をサポートします。
よくあるご質問
BCM と DRP の違いは何ですか?▼
BCM(事業継続管理)は、危機時に事業運営を維持するために人・プロセス・技術を網羅する包括的なフレームワークです。DRP(災害復旧計画)は IT システムの復旧に特化した BCM のサブセットです。BCM は DRP を含みますが、より広い範囲をカバーします。
BCP 演習はどのくらいの頻度で行うべきですか?▼
少なくとも年 1 回の完全演習が推奨されており、主要な変更(合併・基幹システム更新・移転)後は追加演習が必要です。Winners が規模に見合った演習プログラムを設計し、過度な負担を避けます。
中小企業ですが、BCM は必要ですか?▼
中小企業にとって、単一の重大な中断事象(工場火災・サプライヤー倒産)は致命的になり得ます。BCM は事前に脆弱点を特定し、最小コストで危機を乗り越えるための対応策を整備するものです。
外部サプライヤーのリスクはどのように評価しますか?▼
サプライヤーリスク分類アンケート・BCP 能力評価・集中度分析を通じて高リスクサプライヤーを特定します。Winners がサプライヤー BCM 評価基準の構築と依存度を下げる調達多様化戦略の設計を支援します。
本サービスについてのお問い合わせ
事業継続管理(BCM)
無料体制診断をお申し込みになる