ISMS（ISO27001）の要求事項にも記載されている事業継続計画とは、企業が災害やテロ、緊急事態に見舞われた時に事業がストップしないように、それらの対応策を考えて計画をしておくことです。
ISMS（ISO27001）を運用する上で、事業継続計画を作成し、緊急事態が起こってもすぐに通常業務に復帰できるように仕組みをつくり訓練しておきましょう。

１．事業継続計画とは

事業継続計画というのは簡単に説明すると、企業が災害やテロ、緊急事態に見舞われた時に事業がストップしないように、それらの対応策を考えて計画をしておくことです。
BCP（事業継続計画）とも呼ばれます。

また、類義である事業継続マネジメント（BCM）とは直接的な防災や事業継続計画の策定（BCP）からそれらの改善・運用までを総合的に考えるもので、緊急事態等への対策ではなく対策手段の運用プロセスを作るためのシステム全体のことを指します。

BCPとBCMは別物ですが、この2つを上手く活用すればより良い災害対策ができるのです。

２．事業継続計画の作成方法

事業継続計画の作成の流れを確認していきましょう。

（１）想定されるリスク（緊急事態等）を洗い出す
（２）リスクの高さ（事業停止のリスクや起こりうる可能性の高さ）から想定する緊急事態を決める
（３）事業継続の発令条件の明確化（地震なら震度5以上など）
（４）復旧させるべき事業・サーバなどの優先順位を決めて絞る
（５）責任者等を決める
（６） 復旧目標時間、流れを設定する
（７）マニュアルや手順書などに落とし込む
基本はこのような流れで決めていくといいでしょう。

難しいと感じられる方は
（１）起こりうる緊急事態を洗い出す（地震火災、漏洩事故等）
（２）それらに対する対応策を考える（緊急事態の連絡手段等）
（３）マニュアル、手順書等に落とし込む

上記のような考え方でも十分です。
慣れてきたら、どんどん作ったものを改善していくことをおすすめします。

３．業種別サンプル

業種別にどんなものを作っているのかの事例をご紹介したいと思います。
今回は震度6の大型地震が発生したことを想定した事例を記載します。

（１）システム開発業での事例

IT業界ですとやはりデータの保管管理が一番大切だと思います。
サーバのバックアップでの事例をご紹介します。

バックアップを行うことにより、サーバが故障したとしてもデータを復旧することが可能です。
さらに、バックアップも一か所で行うのではなく、複数距離を離してバックアップを行うことで災害が起こった時のリスクが減ります。

事業継続計画のテストでは、それらのバックアップが問題なく通常のデータとして復旧できるかを確認したり、ダウンしたサーバ自体の復旧手順の確認を行うのが良いでしょう。
他には、災害が起こった時にすぐにリモートワークに切り替える手順、緊急事態の連絡体制、セキュリティ事故への対応などの手順を定めています。

（２）運送業での事例

運送業に関しては、道がふさがってしまったら事業継続計画（BCP）もなにもないのですが、できることと言えば、やはり安否の確認が一番なのではないでしょうか？

運転手の安否を確認し、的確な指示を出し、物流が止まらないようにするために、まずは緊急連絡手段を決めることが先決です。

（３）広告業での事例

納期が大切な広告業では、前述と同じように従業員の安否の確認が一番大事かと思います。
安否の確認を行い、どのように帰宅をさせるのか？次の日以降はリモートワークで対応できるように準備を行うなどの手順が良いかと思います。

ルール整備には時間がかかるので、いざこのような状態になってもいいようにリモートワークを実際に数日やってみて改善点を洗い出すような実験もやるべきです。

３．まとめ

事業継続計画とは、企業が災害やテロ、緊急事態に見舞われた時に事業がストップしないように、それらの対応策を考えて計画をしておくことです。

事業継続計画の作成の流れをしっかりおさえましょう。

（１）想定されるリスク（緊急事態等）を洗い出す
（２）リスクの高さ（事業停止のリスクや起こりうる可能性の高さ）から想定する緊急事態を決める
（３）事業継続の発令条件の明確化（地震なら震度5以上など）
（４）復旧させるべき事業・サーバなどの優先順位を決めて絞る
（５）責任者等を決める
（６）復旧目標時間、流れを設定する
（７）マニュアルや手順書などに落とし込む

海外に比べて日本企業は事業継続を想定している企業は圧倒的に少ないです。
会社を守るためにも、人命を守るためにも、ぜひ事業継続計画を立てましょう。