緊急事態に備える｜事業継続計画 | わっくんの品質コラム

2025年秋、日本国内の複数の有名企業がランサムウェアによるサイバー攻撃を受けて大騒ぎになっています。
※ ランサムウェアとは、コンピューター内のデータを勝手に暗号化して使用不能にするコンピューターウィルスのことです。被害を受けた側は、重要なデータが使えなくなるために業務に重大な影響を受けます。暗号化したデータを復元（復号）する見返りに身代金を要求する犯罪です。

今回のサイバー攻撃に際して、多くのニュース番組において「事業継続計画」の重要性が報道されています。そこで今回は、「事業継続計画」についてお話ししたいと思います。
過去記事『修正、再発防止、点検、予防、未然防止』に関する追加情報です。
サイバー攻撃を防ぐ方法については触れません。詳しく知りたい方は報道や他のサイトをご覧ください。

–

事業継続計画（BCP：Business Continuity Plan）とは、企業が自然災害、紛争やテロ、サイバー攻撃、システム障害などの緊急事態に見舞われた際に、事業を中断することなく継続する（または、できるだけ早く復旧させる）ために、事前に策定しておく計画です。事業の継続が目的であり、そのために「被害拡大の制止」「代替手段」「復旧」などの具体的な対策を予め計画して準備しておくのです。

過去記事『修正、再発防止、点検、予防、未然防止』において、問題に対して次のように対処するように書きました。
　①悪影響が広がるのを防ぐために応急処置する。
　②悪影響を生む問題箇所を修正する。
　③悪影響によって壊れた環境を復旧する。
　④原因を突き止めて再発防止を講じる。
　⑤類似の原因によって起きるかも知れない問題を予防する。
　⑥想定外の原因による重大問題を未然に防止する。

事業継続計画とは、さらに次のことです。

　⑦重大問題が起きてしまうことを想定して、事前に備える。

⑥が「防止する」ことであるのに対して、⑦は「防止できなかった」ときの備えです。そして、業務を継続する（または、できるだけ早く再開する）ために、特に①と③の行動を予め決めておくことが重要なのです。

事業継続計画を作成する具体的な手順は他のサイトや専門書を参考にしてください。その中でも、私は次の２つを特に意識すべきだと考えています。

(1) 事業継続計画を実行する基準
「どうなった時にその計画を実行するか？」という基準です。基準が曖昧だと発動するタイミングを逃してしまいかねません。ですので、計画を実行に移す基準が大切です。
事業継続計画を実行に移す基準を決めるためには、どういう問題が会社にどのような影響を及ぼすのかを知っていなければなりません。つまり、影響度分析やリスク評価が重要です。

(2) 即応体制
緊急事態が起きた際に多くの人にあれこれ確認している時間はありません。緊急時に決断して指示する人（指揮命令系統）と、誰が何を行うのか（役割分担）を明確にしておくことが重要です。
また、緊急時にそれらが滞りなく出来るように、日頃から再確認し、定期的に訓練することも大切です。

–

事業継続計画は、緊急事態の際に、それまでやっていた事業を中断せずに継続するための計画です。この “それまでやっていたことを継続すること” が必要なのは、企業の事業活動だけではありません。普段の日常生活においても多く存在します。例えば、

◆家庭における災害への備え（地震や水害など）
飲み水や食べ物の備蓄、避難場所の確認、家族への連絡手段、などです。
これは、「事業継続」と言うよりも「生活継続」ですね。

◆現金持参
最近は電子決済が浸透して現金を持ち歩かない人も多いようですが、ネット障害の際に飲み水や食べ物を買えなくて困ったというニュースを最近よく聞きます。普段は電子決済でも、万が一に備えて最低限の現金は持ち歩いた方が安心です。

◆データのバックアップ
パソコンデータのバックアップなどです。機器が壊れたり、誤ってデータを消してしまったときへの備えです。最近はクラウドが浸透しており自分の環境にバックアップを取っていない人もいるでしょうが、ネットワークが使えなくなった時に備えて必要なデータを自環境のストレージに保存している人もいます。

◆システムログ
コンピューターやプログラムに不具合が起きた時に、原因を調べるための情報源です。多くのコンピューターシステムは、システム障害に備えてログを出力する仕組みを設けています。予め設けておくので、ある意味 “計画的” と言えるでしょう。

◆保険
万が一のときに家族に残しておくための生命保険や、入院や手術に備える医療保険などです。ｘｘ保険というのはすべて “緊急時への備え” です。いわゆる「日常継続」ですね。さらに、保険は将来設計の一部ですから「日常継続計画」です。

このように、”緊急時にｘｘを継続するための備え” は至る所に存在します。事業継続計画は、企業活動に限った特別な取り組みではなく、ごく当たり前のことなのです。
企業活動では、問題が起きた時によく「応急処置・修正・再発防止・予防」と言われますが、もうひとつ、『緊急事態に備える』ことも頭に入れておいてください。

–

企業活動における「事業継続計画」は、元々は地震や洪水などの自然災害から企業を守ることを目的として始まりましたが、最近ではテロやサイバー攻撃や感染症など幅広い範囲に広がりました。
今回のランサムウェアによるサイバー攻撃事件については、「サイバー攻撃から守る」ことはもちろん大切ですが、「守り切れなかった時にどうするか … いかにして事業を継続するか」を考えることも極めて重要なことです。
日本は他国に比べてサイバー攻撃や事業継続計画に対する認識が足りないと言われていますが、産・官・学が協力して、一刻も早くこれに対処することを願っています。