bcp bcmとは?中小企業向けに「とはわかりやすく」基本から解説(なんの略/定義)
BCPとBCMは、災害・感染症・サイバー攻撃・大規模障害など「事業が止まる事態」に備えるための考え方です。
BCPはBusiness Continuity Plan(事業継続計画)、BCMはBusiness Continuity Management(事業継続マネジメント)を指します。
中小企業では「計画書を作って終わり」になりがちですが、実際に止めないためには、計画(BCP)と運用(BCM)をセットで捉えることが重要です。
まずは重要業務を絞り、最低限の連絡・代替・復旧手順を整えるところから始めると、最小コストでも効果が出ます。
BCP(事業継続計画)とは:災害時に事業を止めない「計画」の考え方
BCPは、緊急時に「何を優先して」「誰が」「どの手順で」事業を継続・復旧するかを定めた計画です。
目的は、被害をゼロにすることではなく、重要業務の停止時間を短くし、顧客・取引先への影響を最小化することです。
典型的なBCPの中身は、初動対応(安否確認・指揮命令)、重要業務の優先順位、代替手段(人・拠点・IT)、復旧目標(いつまでに戻すか)などです。
中小企業では、全業務を網羅しようとすると作れずに止まるため、「売上・契約・法令・顧客対応に直結する業務」から作るのが現実的です。
BCM(事業継続マネジメント)とは:継続的に回す「事業継続管理/活動」
BCMは、BCPを作った後に、訓練・教育・点検・見直しを継続して回し、実効性を維持・向上させる管理活動です。
計画は、組織変更、取引先変更、クラウド移行、担当者退職などで簡単に陳腐化します。
BCMでは、責任者と役割を決め、訓練の実施記録や改善点を残し、次回の計画改定につなげます。
結果として「いざという時に動ける状態」を平時から作るのがBCMであり、情報セキュリティの運用(ルール+教育+監査)に近い発想です。
Bcp・Bcm表記の違いと、よくある誤解(bcmとは車?の疑問も整理)
「BCP/BCM」は本来すべて大文字で表記する略語ですが、検索や社内資料ではbcp/bcmのように小文字で書かれることもあります。
意味は同じで、表記ゆれに過ぎません。
また「BCM」は文脈によっては車・バイク分野の略称や別概念を指す場合がありますが、事業継続の文脈ではBusiness Continuity Management(事業継続マネジメント)です。
よくある誤解は「BCP=防災マニュアル」「BCM=ITのバックアップだけ」です。
実際は、BCPは重要業務を止めないための全社計画、BCMはそれを回す仕組みで、ITは要素の一部に位置づきます。
bcp/bcmの違いを1枚で理解:目的・範囲・プロセス・成果物の比較
BCPとBCMは対立概念ではなく、BCP(計画)をBCM(運用)で回す関係です。
中小企業の現場では「BCPを作れと言われたが、どこまでやればよいか分からない」という悩みが多いです。
そこで、目的・範囲・プロセス・成果物で整理すると、投資判断と優先順位がつけやすくなります。
特に情報システムや外部委託が増えた今は、紙の計画書よりも、連絡・代替・復旧の実行性が問われます。
| 観点 | BCP(事業継続計画) | BCM(事業継続マネジメント) |
|---|---|---|
| 目的 | 緊急時に重要業務を継続・早期復旧するための方針と手順を定める | BCPを訓練・点検・改善で維持し、実効性を高め続ける |
| 範囲 | 重要業務・拠点・人・IT・取引先など、優先度を付けて対象化 | 全社の運用体制、教育、記録、レビュー、経営判断まで含む |
| プロセス | リスク/影響評価→重要業務選定→対策→文書化 | 訓練→評価→是正→更新(継続的改善) |
| 成果物 | 計画書、手順書、連絡網、復旧目標(RTO等) | 運用ルール、訓練記録、点検結果、改善履歴、定期見直し |
違い① 目的:存続・顧客要求・信頼を守る(必要性と理由)
BCP/BCMの目的は「会社の存続」と「顧客・取引先の要求に応えること」です。
中小企業は代替要員や予備設備が少なく、1回の停止が資金繰り・信用・契約に直結します。
また近年は、取引先からBCP提出や災害時対応の確認を求められるケースも増えています。
BCPは“約束した動き方”を明文化し、BCMは“約束を守れる状態”を維持します。
この2つが揃うことで、緊急時の混乱を減らし、説明責任(なぜその判断をしたか)も果たしやすくなります。
違い② 範囲:全体最適か、重要業務の優先順位か(優先/評価)
BCPは、全業務を同じ重みで守るのではなく、重要業務に優先順位を付けるのが基本です。
一方BCMは、優先順位付けが適切か、対策が現実的か、訓練で機能したかを評価し、全体最適に近づけていきます。
中小企業では「全部大事」で止まりがちですが、優先順位がないと、限られた人員・資金を分散させてしまいます。
売上・顧客対応・法令対応・安全確保など、停止許容時間が短いものから守る設計が、最小コストの近道です。
違い③ 成果物:事業継続計画(計画書)と事業継続マネジメントの運用・改善サイクル
BCPの成果物は「計画書」ですが、紙やPDFがあるだけでは不十分です。
連絡網が古い、クラウドの権限が担当者退職で不明、バックアップから戻せない、といった“運用不全”が実害になります。
BCMでは、訓練で手順を実際に動かし、問題点を洗い出して改定します。
最低限でも、年1回の見直し、連絡網の四半期更新、バックアップ復元テストなどを回すと、実効性が大きく上がります。
最小コストで始めるBCP/BCM:中小企業のための進め方(方法・手順・具体的)
中小企業がBCP/BCMを進めるコツは「完璧を目指さず、重要業務に集中して小さく回す」ことです。
最初からISO認証レベルの文書や全社網羅を狙うと、工数が膨らみ頓挫します。
まずは、緊急連絡・安否確認・重要業務の代替・データ保全の4点を最低ラインとして整備し、訓練で改善します。
以下の5ステップは、一般的なガイドラインや国際規格の考え方とも整合し、社内説明にも使いやすい流れです。
ステップ1:リスク分析と影響評価(災害・感染症・国内外の想定)
最初に、起こり得る事象と事業影響を洗い出します。
日本では地震・台風・豪雨・停電が代表例で、加えて感染症流行、サイバー攻撃、クラウド障害、サプライチェーン寸断も現実的です。
重要なのは「発生確率の当てっこ」より「起きたら何が止まるか」を具体化することです。
拠点が使えない、社員が出社できない、基幹システムが止まる、主要仕入先が止まる、のように業務停止シナリオで整理すると、次の優先順位付けがスムーズです。
- 想定事象:地震・水害・火災・停電・感染症・サイバー攻撃・委託先障害
- 影響の観点:売上、顧客対応、法令/契約、資金繰り、人的安全、信用
- 前提条件:在宅可否、代替拠点の有無、クラウド利用、紙業務の残存
ステップ2:重要業務の決定と優先順位付け(顧客・取引先・サプライチェーン視点)
次に「止められない業務」を決め、復旧の順番を付けます。
判断軸は、顧客影響(納期・サポート)、契約違反リスク、法令対応、キャッシュインに直結するか、代替可能性の5点が実務的です。
サプライチェーンの中にいる企業ほど、取引先の操業再開に合わせた優先順位が必要になります。
ここで重要業務を3〜5個に絞ると、対策設計と訓練が現実的な工数に収まります。
- 重要業務例:受注・出荷、請求/入金、顧客サポート、基幹システム運用、現場の安全確保
- 優先順位の決め方:停止許容時間が短い順+代替が難しい順で並べる
- 外部依存の確認:決済、物流、クラウド、コールセンター、主要仕入先
ステップ3:対策の設計(人・拠点・設備・データ・システムの代替)
重要業務が決まったら、止まる原因(人・場所・モノ・情報)ごとに代替策を設計します。
中小企業で効果が出やすいのは、在宅/代替拠点の手当、手作業への切替手順、クラウド活用、データの多重バックアップです。
高価な設備投資より、権限管理、手順の簡素化、連絡手段の二重化など“運用で効く対策”が多くあります。
情報セキュリティ担当は、バックアップの世代管理、復元テスト、委託先のSLA確認まで含めて設計すると、実害を減らせます。
- 人:代替要員(兼務表)、連絡手段の複線化、出社/在宅の判断基準
- 拠点:在宅運用、近隣拠点の相互利用、最低限の持ち出し物品
- データ/IT:バックアップ、クラウド、MFA、復旧手順(DRP)
ステップ4:作成・文書化(計画/手順/連絡網/安否確認)
対策を「誰でも実行できる形」に落とすのが文書化です。
分厚い計画書より、初動カード(最初の30分でやること)、連絡網、重要業務ごとの手順書、外部連絡テンプレートが役に立ちます。
安否確認は、電話がつながらない前提で、メール・チャット・安否確認サービスなど複数手段を用意します。
また、顧客・取引先への連絡方針(いつ、誰が、何を伝えるか)を決めておくと、信用毀損を抑えられます。
- 最低限の文書:初動手順、連絡網、重要業務別手順、IT復旧手順、対外連絡文例
- 保管場所:紙+クラウド(権限とオフライン閲覧も検討)
- 更新ルール:人事/組織変更時は即時、最低でも年1回見直し
ステップ5:実施・運用・見直し(訓練・教育・改善で維持する)
BCMの要は訓練です。
机上訓練(シナリオを読み合わせ)→部分訓練(安否確認、在宅切替、バックアップ復元)→総合訓練(重要業務の再開)と段階を踏むと、負担を抑えつつ実効性が上がります。
訓練後は、できなかった点を「担当」「期限」付きで改善し、次回の訓練で確認します。
この改善サイクルが回り始めると、BCPは“使える社内ルール”として定着し、監査や取引先説明にも強くなります。
BCM基本方針の作り方:経営判断を「社内の決定」に落とし込む
BCP/BCMは現場任せにすると、優先順位が決まらず、投資判断も止まります。
そこで必要なのが、経営が出すBCM基本方針です。
これは「何を守るか」「どこまでやるか」「誰が責任を持つか」を社内の決定事項として明文化するものです。
中小企業では、A4 1枚でも構いません。
方針があると、拠点・IT・委託先・教育などの施策が同じ方向を向き、形骸化を防げます。
BCM基本方針に入れるべき項目(目的・適用範囲・要求・役割・指標)
基本方針には、目的と範囲を明確に書きます。
加えて、顧客要求や法令・契約上の要求、役割分担、達成度を測る指標を入れると運用に強くなります。
指標は難しく考えず、訓練実施率、連絡網更新率、バックアップ復元テスト実施、重要業務の目標復旧時間など、測れるものにします。
これにより「やったかどうか」が判断でき、担当者が変わっても継続しやすくなります。
- 目的:従業員の安全確保と重要業務の継続・早期復旧
- 適用範囲:対象拠点、対象業務、対象システム、委託先の範囲
- 要求事項:顧客要求、契約、法令、社内ルール
- 役割:統括責任者、IT/総務/現場の責任、代行順位
- 指標:訓練回数、復元テスト、見直し頻度、是正完了率
組織体制の構築:緊急時の指揮命令、従業員の安全確保、連携の設計
緊急時は、平時の稟議や部門最適が機能しません。
指揮命令系統(誰が最終判断するか)と代行順位、連絡手段、集合/在宅の基準を決めておく必要があります。
従業員の安全確保は最優先で、安否確認、危険区域への立入禁止、帰宅困難時の対応などを定めます。
また、IT・総務・現場・営業が連携しないと復旧が進まないため、役割分担と情報共有の窓口を明確にします。
社内周知と理解を進めるコツ:形骸化を防ぐ教育・訓練・セミナー活用
BCPが形骸化する最大の原因は「自分ごと化されていない」ことです。
全社員に分厚い資料を配るより、初動の要点、連絡方法、在宅切替の手順など、行動に直結する内容を短時間で周知します。
新入社員・異動者向けのミニ教育、年1回の全社訓練、部門別の部分訓練を組み合わせると定着します。
外部セミナーや商工会議所の支援を使うと、最新事例を取り入れつつ社内の説得材料にもなります。
災害時に止めないための実務対策:安否確認システム・DR/DRP・復旧計画
実務で差が出るのは「初動の混乱を抑える仕組み」と「IT復旧の現実性」です。
特に中小企業は、担当者が少ないため、属人化した復旧手順が最大のリスクになります。
安否確認、連絡、顧客対応、IT復旧(DR/DRP)を、最小限でも“手順として再現可能”にしておくことが重要です。
ここでは、情報セキュリティ担当が押さえるべきポイントを、BCPとのつながりで整理します。
安否確認と初動対応:安否・連絡・集合/在宅の判断基準(事前準備)
初動で必要なのは、安否確認と状況把握、そして出社/在宅/集合の判断です。
電話が混雑する前提で、安否確認は複数チャネル(専用システム、メール、チャット等)を用意します。
判断基準は「震度」「警報」「交通遮断」「拠点被害」など客観条件で決めると、現場が迷いません。
また、顧客・取引先への第一報(受付窓口、回答期限、代替手段)をテンプレ化しておくと、信用低下を抑えられます。
システム対策:バックアップ、クラウド、代替環境(災害復旧/DR)
ITの継続は、バックアップがあるだけでは不十分で、「復元できること」が要件です。
バックアップは世代管理(ランサムウェア対策としても重要)と、復元テストをセットにします。
クラウドは可用性を高めやすい一方、アカウント停止や設定ミス、委託先障害のリスクもあるため、権限管理と障害時の運用手順が必要です。
代替環境は、全システムを二重化できなくても、重要業務に必要な最小構成(受注、連絡、請求など)に絞れば現実的なコストで実装できます。
DRP(復旧手順)とBCPの関係:復旧時間目標と復旧手順の整合
DRPはDisaster Recovery Planの略で、主にITシステムの復旧手順を指します。
BCPが「事業としていつまでに何を再開するか」を決め、DRPが「そのためにITをどう戻すか」を具体化します。
ここがズレると、事業側は24時間で再開したいのに、IT復旧は3日かかる、といった矛盾が起きます。
重要業務ごとに復旧時間目標(RTO)を置き、必要なシステムの復旧順序と手順を合わせることが、実効性の核心です。
外部ソリューション・支援の活用:最小限の投資で効率的に強化する
中小企業は内製だけで完璧を目指すより、外部サービスを“要所”に使う方が費用対効果が高い場合があります。
例として、安否確認サービス、クラウドバックアップ、EDR/ログ監視、BCP策定支援、訓練ファシリテーションなどがあります。
選定時は、障害時のサポート体制、SLA、データ保管場所、復旧支援の範囲、解約時のデータ返却を確認します。
また、委託先に依存するほど、自社BCPに「委託先障害時の代替」を書く必要がある点も忘れないでください。
経済産業省のガイドラインで押さえる要点:中小企業の制度・資料の使い方
BCP/BCMは、国の防災・レジリエンス強化の流れの中で、各省庁や自治体、支援機関が資料を公開しています。
中小企業にとっては、ゼロから作るより、公開ひな形やチェックリストを使って短期間でたたき台を作るのが合理的です。
経済産業省は、中小企業の事業継続やサプライチェーン強靭化の観点で情報発信を行っており、社内説明の根拠にも使えます。
ここでは「考え方」「使える資料」「費用を抑える探し方」を整理します。
経済産業省が示すBCP/BCMの考え方(防災・レジリエンス向上)
経済産業省の発信は、企業の防災だけでなく、サプライチェーン全体のレジリエンス向上を重視する点が特徴です。
自社が被災しなくても、仕入先・物流・委託先の停止で事業が止まるため、重要業務と外部依存を把握し、代替策を持つことが求められます。
また、従業員の安全確保と早期復旧を両立させるため、平時からの準備(訓練・見直し)を重視します。
これはBCMの考え方そのもので、計画書作成だけでは不十分というメッセージと整合します。
使える資料・ひな形・チェックリスト:自社での検討を最短化
公開資料の価値は「抜け漏れ防止」と「社内合意の加速」です。
特に、初動対応、重要業務の選定、連絡体制、訓練計画などは、ひな形に沿って埋めるだけでも一定の品質になります。
ただし、ひな形をそのまま使うと自社の実態とズレるため、拠点数、在宅可否、主要顧客、委託先、利用クラウドなど“固有情報”を必ず反映します。
完成度よりも、まず運用に乗せて改善することが最短ルートです。
- 活用の順番:チェックリストで現状把握→ひな形でたたき台→訓練で修正
- 自社反映が必要:連絡先、権限、委託先、復旧手順、顧客対応方針
- 保管:最新版の所在を全員が分かる状態にする
補助金・支援策の探し方:導入コストを抑える現実的アプローチ
BCP/BCMは、IT投資や設備対策を伴うと費用が膨らみます。
そのため、国・自治体・支援機関の支援策を確認し、対象になり得るものを早めに把握するのが有効です。
探し方としては、経済産業省や中小企業支援機関の公募情報、自治体の防災・DX支援、商工会議所の相談窓口を定期的に確認します。
申請では「何のリスクを下げ、どの重要業務を守る投資か」をBCPの言葉で説明できると通りやすくなります。
ISOと認証の基礎:BCMを「効果的」に運用するための規格理解
取引先から「ISO 22301に準拠していますか」と聞かれることがあります。
ISO 22301はBCM(事業継続マネジメント)の国際規格で、要求事項に沿って体制・運用・改善を整える枠組みです。
ただし、認証取得はコストと運用負荷があるため、中小企業は「認証が必要か」「考え方だけ取り入れるか」を分けて判断するのが現実的です。
ここでは、規格の位置づけと、認証の向き不向き、審査に耐える運用の要点を押さえます。
ISO 22301の位置づけ:事業継続マネジメントの国際規格とは
ISO 22301は、BCMを組織的に運用するための要求事項を定めた規格です。
リスクと影響の評価、事業継続戦略、計画の策定、訓練と演習、パフォーマンス評価、継続的改善といった要素が体系化されています。
ポイントは「計画書の有無」ではなく、「役割・手順・記録・改善が回っているか」を重視する点です。
認証を取らなくても、規格の考え方をチェックリストとして使うだけで、BCMの抜け漏れを減らせます。
認証が向く企業・向かない企業:顧客要求とコストのバランス
認証が向くのは、顧客や入札要件で求められる企業、停止が社会的影響につながる企業、海外取引で説明が必要な企業などです。
一方、顧客要求がなく、まずは実務対策を優先したい企業は、認証よりも「重要業務に絞ったBCP+訓練」を先に回す方が効果的です。
認証はゴールではなく手段なので、費用(審査・コンサル・運用工数)に見合うリターンがあるかを経営判断で決めます。
中小企業では、将来の要求に備えて“準拠レベル”を目指す段階的アプローチも有効です。
審査に耐える運用とは:記録・点検・定期的な見直しと改善プロセス
審査で問われやすいのは、運用の証拠(記録)と、改善が回っているかです。
具体的には、訓練計画と実施記録、課題と是正の履歴、連絡網更新の記録、バックアップ復元テストの結果、経営レビューの議事などが重要になります。
中小企業でも、テンプレート化して“残す運用”にすれば負担は抑えられます。
また、担当者依存を避けるため、手順と権限を共有し、代行できる状態にしておくことが、実務面でも審査面でも効果的です。
事例で学ぶBCP/BCM:中小企業がやりがちな失敗と成功パターン
BCP/BCMは、正解が1つではありません。
しかし、失敗パターンには共通点があり、先に潰しておくと最小コストで成果が出ます。
中小企業で多いのは「計画書を作ったが誰も見ない」「訓練していない」「IT復旧が属人化」の3点です。
逆に成功している企業は、重要業務に集中し、訓練で改善し続けています。
ここでは典型例を整理し、業種別の工夫も紹介します。
失敗例:計画を作成しただけで運用されない(訓練不足・更新なし)
失敗例の典型は、外部に提出するために計画書を作り、社内では更新も訓練もされないケースです。
連絡網が古い、クラウドの管理者が不在、委託先の連絡先が分からないなど、緊急時に“使えないBCP”になります。
また、現場が関与していないと、手順が実態と合わず、いざという時に守られません。
対策はシンプルで、年1回の見直しと、安否確認・在宅切替・復元テストなど短時間の訓練を定例化することです。
成功例:優先業務に集中し、プロセスを継続的に改善して実効性を上げた
成功例では、重要業務を3〜5個に絞り、復旧目標と代替手段を具体化しています。
例えば、受注と顧客対応だけは在宅で継続できるようにし、出荷は委託先や代替拠点を確保する、といった設計です。
訓練で「連絡がつかない」「権限が足りない」「手順が長い」などの課題を見つけ、次回までに改善します。
この改善の積み重ねがBCMであり、結果として停止時間が短くなり、取引先への説明力も上がります。
業種別の工夫:製造・IT・医療/介護・建設などの具体的対策の違い
業種により、止められないものが異なるため、BCPの重点も変わります。
製造は設備・金型・原材料・品質記録、ITはクラウド/認証基盤/監視、医療・介護は人員確保と物資、建設は現場安全と協力会社連携が要点になりやすいです。
共通するのは、重要業務を定義し、代替手段と連絡体制を具体化することです。
自社の業種特性に合わせて、テンプレを調整し、訓練で現実に合わせていくのが最短です。
- 製造:代替生産、外注先確保、品質・トレーサビリティの保全
- IT:バックアップ復元、権限管理、委託先障害時の切替、顧客告知
- 医療/介護:人員シフト、物資備蓄、感染症対応、家族連絡
- 建設:現場の安全確認、重機・資材、協力会社の連絡網、工程再計画
今日から着手できるチェックリスト:自社のBCP/BCMを構築・改善する
最後に、今日から着手できる形でチェックリストをまとめます。
中小企業は、まず現状を見える化し、最低限の必須項目を埋め、運用の仕組みを作るのが最短です。
特に情報セキュリティ担当は、バックアップと復元、権限、委託先依存、連絡手段の確保が“止まらない体制”の中核になります。
以下を埋めるだけでも、BCP/BCMの土台ができます。
現状診断:リスク、重要業務、リソース、外部依存の洗い出し(分析)
現状診断では、想定リスクと、止まると困る業務、必要リソース、外部依存を棚卸しします。
ここが曖昧だと、対策が過剰投資か、逆に穴だらけになります。
特に外部依存(クラウド、決済、物流、委託開発、コールセンター)は、障害時に自社でコントロールできないため、代替策や連絡ルートを事前に決める必要があります。
まずは1時間のワークで構いません。
経営・総務・IT・現場の代表が揃うと精度が上がります。
- リスク:地震・水害・停電・感染症・サイバー・委託先障害
- 重要業務:売上/契約/法令/顧客対応に直結する業務を3〜5個
- リソース:人、拠点、設備、回線、端末、アカウント、データ
- 外部依存:主要仕入先、物流、クラウド、決済、保守ベンダー
最低限の必須項目:連絡・安否・代替手段・手順・顧客対応(災害時)
最低限の必須項目は「連絡が取れる」「安全が確認できる」「重要業務が回る」「顧客に説明できる」の4点です。
これだけでも、緊急時の混乱と信用毀損を大きく減らせます。
IT面では、バックアップの所在、復元手順、管理者権限の代行、MFAやパスワード管理の非常時対応を明確にします。
顧客対応は、第一報のテンプレと窓口を決め、SNSやWeb掲載の手順も用意すると実務的です。
- 連絡:連絡網(複数手段)と更新ルール
- 安否:安否確認の手順、未応答時のフォロー
- 代替:在宅/代替拠点/手作業切替/委託先切替
- 手順:初動30分の行動、重要業務別の再開手順
- 顧客対応:窓口、第一報テンプレ、復旧見込みの伝え方
継続の仕組み:運用計画、訓練計画、レビュー頻度、改善の回し方
BCMは「続け方」を決めないと始まりません。
おすすめは、年1回の全体レビュー、四半期の連絡網更新、半年に1回の部分訓練(安否確認や復元テスト)を定例化することです。
訓練後は、課題をチケット化し、担当と期限を決めて潰します。
この運用が回ると、監査・取引先調査・保険対応などにも転用でき、結果的にコストを抑えながら強い体制になります。
まずは「次の訓練日」を決めることが、最も効果の高い第一歩です。
- 運用計画:責任者、会議体、文書の保管場所、更新ルール
- 訓練計画:机上→部分→総合の順で段階的に実施
- レビュー頻度:年1回+変更時(組織/拠点/システム/委託先)
- 改善:課題の記録、是正の担当/期限、次回訓練で確認
