多様化するリスクに対して、企業のレジリエンス力がより一層求められており、企業の危機管理やBCP担当者の役割と責任は増える一方です。新しくBCPの推進に携わることになった皆様は、会社や組織を守るために何から手をつけるべきでしょうか。

本記事では、下記の順番で、新任BCP担当者の仕事を考えていきたいと思います。
①自社の危機対応ルールを把握する
②平時の活動を整理する
③危機発生時にすぐ動けるよう準備をする

自社の危機対応を把握する前に、「そもそもBCPとは何ぞや」ということについて、簡単に説明したいと思います。
BCP（事業継続計画）とは自然災害、火災、サイバー攻撃など、さまざまな危機から人命を含む、会社の重要資産を守り、事業継続するための計画を指します。計画策定後は定期的に訓練や演習を行い、危機発生時に対応できるよう、継続的な活動に落とし込みます。BCPを作りっぱなしにせず、継続的に改善活動を行うことで、自社のレジリエンス力が高まります。

とはいえ、新しく企業のBCP担当者になった皆様であれば「継続的な活動とは何をすればいいのか」、「どこから手をつければよいのか」という疑問が湧くと思います。今回は危機が発生した時の対応から逆算して考え、どのような対応や準備が必要かを紹介していきます。

まず始めに、緊急時の判断や対応方針の拠り所となるBCPは自社に存在するのかを確認しましょう。危機管理規程、消防計画、初動対応計画、事業継続計画など、関連する文書がどこにあるか、何が記載されているか、目を通しておきましょう。

会社のルールを確認するという観点から、BCPの一般的な考え方を整理します。

BCPは危機の予兆検知から収束に向かうまで、ERP、CMP、BCP、BRPの順に分けることができます（上図参照）。ERPとCMPは初動対応に関するルールで人命保護・二次被害の防止・対策本部の運営を対象としています。BCPとBRPは危機発生時にどのように事業を継続し、復旧していくかを整理した計画です。狭義のBCPと呼ばれます。これら4つの計画を順に説明していきましょう。

緊急時対応計画（ERP：Emergency Response Plan）

突然、危機が発生しました。皆さんは何をしますか。それを定めてあるのがERPです。 ERPには、従業員の避難や安否確認、情報収集などの規定や対応手順を定めます。つまり人命・資産保護が目的です。ERPにはまず身を守る行動や避難方法などの待避活動などが記載されています。けが人、従業員、来客者の対応や避難場所なども記載します。安否確認や被害情報の収集に関しては、連絡や情報収集の方法（連絡系統、使用ツールの選定など）をあらかじめ整備します。初動が混乱すると、その後の復旧にも大きな影響が出ます。危機発生時の状況に想像を巡らせて内容を作成する必要があります。

危機管理計画（CMP：Crisis Management Plan）

危機発生後、ERPに沿って避難や身の安全確保、けが人の有無などが把握できました。次は会社として情報を集め、意思決定をしていく対策本部を立ち上げます。 CMPは全社的な危機対応を行う対策本部の体制・役割・対応方針および社内外のコミュニケーションを取りまとめた計画です。対策本部を設置する基準、招集すべきメンバー、収集すべき情報や全社的な対応方針などを記載します。対策本部では、経営者を中心に全社的な初動対応後の対応方針を議論することで、事業復旧へとつなげていきます。

事業継続計画（狭義のBCP：Business Continuity Plan）

被害の全容が把握でき、優先度を決めて、事業を再開する時期が来ました。狭義のBCPの出番です。 狭義のBCPは、危機発生時においても、事業やサービスを継続していくための考え方をまとめた計画です。自社にとって、どの事業・業務は緊急性が高く、優先的に復旧すべきか。人員・施設設備・ITシステム・外部サービスなど、優先事業を維持するための必要なリソースを整理し、代替策または復旧策を定めます。

事業復旧計画（BRP：Business Recovery Plan）

危機発生対応に目途が立ち、平時に向けた活動を推進していくBRPを参照します。
BRPには、危機で物理的に被害を受けたリソースを被災前の状態に戻し、事業の本格・全面復旧を目指していく手順が記載されています。主要リソースに対する社内外の連携先の情報や、どのタイミングでどういったコミュニケーションを取るのかが記載されています。

以上の４つが広義のBCPを構成する対応計画です。
文書体系は、各社の考え方や特徴がありますので、必ずしも、上記4つの分類である必要はありません。まずは、上記4つの観点で、自社のBCPがどこまでの活動をカバーしているかを把握することが大事です。

最初のステップとして、危機発生時に対応すべきルールが自社にどこまであるかを確認しました。
ここから、本格的に仕事が始まります。危機発生時に自社のBCPが機能するようにするためには、平時の活動が重要です。新任担当者の皆様は何をすべきでしょうか。

それは訓練の実施と継続的な計画の改善に尽きます。

ルールや計画だけでは、実際には動けません。継続的な訓練や演習なしでは、限られた情報やリソースの中で、対応することは難しいのです。スポーツでも練習しなければシュートは入りません。事業継続活動も同じです。

訓練や演習とは、目的に応じてBCPの習熟度、実効力を高めるトレーニングです。
訓練は目的に応じて参加範囲を変更します。さまざまなステークホルダーが適切なトレーニングをすることが肝要です。例えば、対策本部訓練には経営層の参加が期待されます。また、緊急時の初動を担うERPの防災訓練は一般の従業員の参加が求められます。
自衛消防隊の連携や、従業員が参加する避難訓練、防災訓練を定期的に繰り返し、あらゆる階層の従業員の教育に努めましょう。

訓練を実施するとBCPの改善点や見直すべきポイントが出てきますので見直しを行いましょう。BCPの見直しは大きく分けて2種類の観点があります。

• 環境変化：組織改編、人事異動、事業内容の変化、ITシステムの入れ替えなど
• 学びや気づきからの改善：訓練から抽出された課題への対応、自社に起きた危機からの学び

下記に訓練や演習の例を挙げます。

時間の経過とともに組織を取り巻く環境、組織風土は変わります。昨今ではリモートワークの導入や働き方改革が進みました。新型コロナ発生以前と比較し、労働環境は一変しています。実態に即したBCPのアップデートが必要です。理想的には都度、最新の状態にアップデートしていくことですが、少なくとも年1回は必ず見直し、更新していくことを徹底しましょう。

最後に、BCP担当者の皆様は、対策本部の事務局として、危機発生時には全社の調整役となると推察されます。そこで、来たる危機に際して、(1)安否確認(2)情報収集(3)対策本部の運営については、自分が能動的に動けるように準備しておきましょう。

(1)安否確認
安否確認は、従業員の安全を把握すること、そして今後の対応方針を決める上で重要です。従業員の被害状況を把握することで、危機対応に必要な人員の確保ができ、今後の対応方針について、具体的に検討できます。しかし、能登半島地震では安否確認が思うように機能しなかった例も散見されました。安否確認に対する社内の回答意識の醸成に日頃から努めることが大切です。ご自身におかれましては、安否確認の発報基準、安否確認システムの仕様、安否確認の取りまとめと報告方法を熟読しておきましょう。

(2)被害情報の収集
被害情報が集まらなければ次の一手を打ち出せません。危機発生直後はとにかく被害が見えていないケースがほとんどです。安否に加えて、社内や社会環境の被害状況をどのように把握するか、収集方法と取りまとめ、社内への共有方法を確認しておきましょう。被害状況は対策本部の設置判断に繋がりますので、設置基準と合わせて理解しておくことが肝心です。

(3)対策本部の運営
全社的な意思決定を行うために、対策本部を設置して、情報収集と危機対応方針を検討します。対策本部は通常の縦割りではなく組織横断かつ経営陣や主要部門長が参画し、危機対応に特化した臨時組織を構築します。
BCP担当者としては、対策本部の設置基準と設置手順（休日・夜間発災時も含む）、招集方法（会社に出社するのか、ウェブ会議となるか）、情報の共有・記録方法、通信機器など、対策本部の運営を誰がどのように行うかを頭に入れておくことで、危機発生時に迅速に動くことができます。

加えて、ご家族にも危機発生時のご自身の役割を伝えておきましょう。

以上が新任BCP担当者が最初にやるべき３つの仕事です。総括すると、BCPには危機発生から時間軸で、初動対応（ERP、CMP）と狭義のBCPとBRPがあり、それぞれに動きや目的があります。危機発生からどういった動きをするのか、逆算して考え、全社の対応をしっかり頭に入れましょう。そして、危機発生時にすぐ動けるよう、どんな準備が必要なのか、定期的な訓練と平時の活動を推進していきましょう。