国際的な規格であるISO22301は、それぞれの言葉について次のように定義しています。

【BCP】
事業の業務の中断・阻害に対応し、事業を復旧し、再開し、あらかじめ定められたレベルに回復するように組織を導く文書化された手順（ISO22301:2019より)

【BCM】
組織への潜在的な脅威、及びそれが顕在化した場合に引き起こされる可能性がある事業活動への影響を特定し、主要なステークホルダの利益、組織の評判、ブランド、及び価値創造の活動を保護する効果的な対応のための能力を備え、組織のレジリエンスを構築するための枠組みを提供する包括的なマネジメントプロセス（ISO22301:2012より）

【BCMS】
マネジメントシステム全体の中で、事業継続の確立、導入、運用、監視、レビュー、維持及び改善を担う部分（ISO22301:2012より）

こうした定義を眺めると、いずれも組織の事業継続能力を高めるためのもの、という点で違いはありませんが、少しずつ意味が異なっていることだけは分かります。さてこれ以降、これら3つの言葉の本質的な違いを正しく理解するため、より深掘りをしていきたいと思います。

事業継続という言葉を表現するのに、おそらくは世間で最も一般的に使われているであろう言葉がBCP（Business Continuity Plan）です。この言葉は文字通り”事業継続計画”であり、有事の際の行動計画を表した文書を指します。文書には一般的に、目的や目標、BCPの発動基準（BCPを利用するトリガー）や体制、具体的な行動手順などが記載されます。当然のことながら計画書は組織の事業継続能力を支える重要な要素の1つであり、後述するBCM活動によって得られるアウトプット（成果物）の1つです。

BCPは策定後、BCMやBCMSといった活動を通じて、しっかりとしたメンテナンスを行っていかなければ、組織の人員の変化や事業環境の変化とともに、内容が古くなり陳腐化していく可能性があります。

BCM（Business Continuity Management）は、組織にとって重要な事業の継続能力を維持・改善させるための活動です。事業の継続能力と一言で言っても、そこには先述した計画書――すなわちBCPだけではなく、併せて導入されるツール（例：代替システムなど）や、それらを実際に使う人員のスキルなどが含まれます。BCMはこうした要素――言わばソフト（人的側面）とハード（文書やツール）のバランスを取りながら事業の継続能力を高めてゆくための活動全般を指しています。具体的にはたとえば、重要業務や重要な経営資源を特定するための分析（例：BIAやRAなど）や文書化、教育、演習などといった活動がこれに該当します。

BCMS（Business Continuity Management System）は、先述したBCMに関わる活動が、経営と確実に密接に結びついた形で実施され、なおかつ、効果的・効率的・継続的に運用されるようにするための活動を指します。具体的にはたとえば、方針策定や内部監査やマネジメントレビューなどがこれに該当します。

ちなみに、BCMS適合性評価制度など第三者認証を受ける場合には、単に先述したBCPやBCMが実施されているだけではだめで、このBCMSという仕組みが整備・運用されていることが必須条件となります。

これまで見てきたとおり、BCPが成果物（の1つ）であるのに対し、BCMやBCMSはそうした成果物を出すためのプロセスです。この考え方を図示すると以下の通りになります。

見方を変えてとらえれば、こうした成果物（BCP）あるいはプロセス（BCMやBCMS）は、場合によっては1年後・10年後・30年後に起こる事故・災害に備えたものであり、組織は長期間にわたり、事業継続能力を維持・改善していく努力が求められます。つまり瞬発力よりも持久力が求められるということです。組織は、この点を踏まえながら上図に示されるBCPやBCM、BCMSに関わる活動と自組織の活動を見比べ、不足しているところはどこか、あるいは、不足している中で必要なところはどこかを特定し、より効果的・効率的な運用をめざしていくことが必要です。