IT用語集

BCMとは? わかりやすく10分で解説

水色の背景に六角形が2つあるイラスト 水色の背景に六角形が2つあるイラスト
アイキャッチ
目次

災害、システム障害、サイバー攻撃、サプライヤー停止、物流の混乱など、事業を中断させる要因は一つではありません。BCM(事業継続マネジメント)は、こうした事態に備えて「何を優先して継続するか」「どこまで縮退して続けるか」「誰が判断し、どの手段で復旧するか」を平時から定め、訓練と見直しを継続する管理の枠組みです。BCPが個別の計画書であるのに対し、BCMはその計画を維持し、訓練し、更新し続ける運用全体を指します。

BCMを検討するときに先に見たい論点は三つです。第一に、止められない業務を特定できているか。第二に、その業務を支える人員、拠点、システム、委託先、物流の依存関係が見えているか。第三に、訓練結果や組織変更を受けてBCPを更新する仕組みがあるか。計画書の有無だけで判断すると、緊急時に動けないBCPが残りやすくなります。

BCMとは何か

BCMの定義

BCMは、緊急事態が起きても優先業務を継続し、中断した場合でも許容範囲内で復旧するために、組織が継続的に実施する管理活動です。作成済みの計画書を保管するだけでは足りません。役割分担、連絡体制、代替手段、訓練、レビュー、改善まで含めて機能している状態がBCMです。

たとえば、代替拠点を使う方針がBCPに書かれていても、切替判断の責任者、移動手段、接続先システム、必要権限、取引先への通知方法が未整理なら、その計画は実行段階で止まります。BCMは、この実行可能性を平時から点検し続けるための枠組みです。

BCMSとの関係

BCMS(事業継続マネジメントシステム)は、BCMを継続的に機能させるための管理システムです。対象範囲、方針、目標、役割、手順、訓練、評価、改善を体系的に管理します。組織の状況や利害関係者を踏まえて仕組み化し、継続的に見直す点に特徴があります。

BCMで扱う対象

BCMの対象はIT復旧だけではありません。業務継続を左右する要素として、次のようなものを同時に見ます。

  • 人員:出社可否、代替要員、権限保有者の不在
  • 拠点:本社、工場、物流拠点、店舗、データセンターの利用可否
  • システム:認証基盤、業務システム、通信、バックアップ、復旧手順
  • 外部依存:委託先、クラウド、回線、原材料、物流事業者
  • 対外対応:顧客通知、規制対応、契約上の報告、広報対応

この全体像が見えていないと、ITだけ復旧しても事業が継続しない、あるいは現場は動けるが顧客対応が止まる、といったずれが起きます。

BCPとBCMの違い

BCPは計画、BCMは運用全体

BCPは、想定される中断に対して、優先業務、復旧順序、代替手段、連絡手順、発動条件を定めた計画です。BCMは、そのBCPを策定し、訓練し、評価し、改善し続ける運用全体です。

この違いを短く整理すると、BCPは「何をするかを書いた文書」、BCMは「その文書を使える状態に保つ管理」です。BCPだけ整っていても、異動やシステム変更のたびに内容が古くなれば、緊急時に役に立ちません。

BCPだけでは足りない理由

BCPがあっても、現場が内容を把握していない、連絡先が更新されていない、代替手段の契約が失効している、といった状態では実行できません。BCMは、訓練やレビューを通じて、こうしたずれを見つけて修正する役割を担います。

BCMが価値を持つ場面

次のような環境では、BCP単体よりBCMの継続運用が差になりやすくなります。

  • 組織変更や拠点再編が多い
  • クラウド移行や基幹システム更改が続いている
  • 複数の委託先やサプライヤーに依存している
  • 障害、災害、感染症、サイバー事案が複合して起きうる

BCMで先に決めること

優先業務の特定

BCMの起点は「全業務を守る」ことではなく、「止められない業務を選ぶ」ことです。顧客対応、受発注、決済、製造、保守、法令対応などの中で、どこを優先するかを決めます。優先順位を決めないまま計画を作ると、緊急時に資源配分がぶれます。

復旧目標の設定

優先業務を決めたら、どの時点までにどの水準まで戻すかを定めます。システム面では、RTO(目標復旧時間)やRPO(目標復旧時点)で整理する方法が使われます。業務面では、縮退運用時に提供する機能、停止する機能、許容できる処理遅延などを定めます。

依存関係の洗い出し

業務を継続するには、担当者、承認者、認証基盤、ネットワーク、委託先、物資、輸送手段など、複数の前提が必要です。BCMでは、この依存関係を可視化し、どこが止まると優先業務に影響が出るかを確認します。ここで単一障害点が見つかれば、SPOFの解消や冗長化の検討につながります。

BCMの主な要素

リスク評価

何が起きるかを整理する段階です。災害、停電、通信断、サイバー侵害、委託先停止、調達難、交通障害などを列挙し、発生しうる条件と影響範囲を確認します。個別リスクの網羅が目的ではなく、業務継続に影響するシナリオを具体化することが目的です。

BIA(ビジネス影響分析)

BIAは、業務が停止したときの影響を分析し、優先業務と復旧目標を決めるための作業です。売上、顧客影響、法令対応、社会的信用、代替可能性などを見て、どの業務から戻すかを決めます。すべてを最優先にすると、緊急時の判断に使えない分析結果になります。

事業継続戦略

BIAの結果を受けて、どの方法で継続・復旧するかを決めます。代表的な戦略は次のとおりです。

  • 代替:別拠点、別要員、別サプライヤーへ切り替える
  • 冗長化:回線、認証、電源、設備を多重化する
  • 縮退運用:最低限の機能や受付範囲に絞って継続する
  • 外部活用:クラウド、委託先、専門ベンダーを使って復旧速度を上げる

戦略が曖昧だと、BCPの手順も曖昧になります。縮退運用を選ぶなら、何を止めて何を残すかまで決める必要があります。

計画・手順

発動条件、指揮命令系統、連絡手順、代替手段、復旧順序をBCPとして文書化します。文書化の目的は、書類を残すことではなく、緊急時の判断と実行を早めることです。

訓練・レビュー

連絡訓練、机上訓練、代替回線確認、委託先連携確認などを通じて、計画の実行可能性を検証します。BCMで差が出るのはこの部分です。訓練を省くと、BCPは最新でも使えない文書になりやすくなります。

BCMの規格と認証

ISO 22301との関係

事業継続マネジメントシステムの代表的な国際規格がISO 22301です。BCMSを確立し、実装し、維持し、継続的に改善するための要求事項を示しています。規格を参照すると、方針、対象範囲、評価、是正、継続的改善まで含めて整理しやすくなります。

認証取得の位置づけ

第三者認証は、取引先や監査対応で説明しやすくなる利点があります。一方で、認証取得自体が目的になると、実際には動かない手順書が増えることがあります。認証は管理水準を外部に示す手段であり、BCMの中身を置き換えるものではありません。

規格参照が有効な場面

  • 全社で共通の管理枠組みを持ちたいとき
  • 取引先や委託元から説明を求められるとき
  • 担当者依存の運用から、監査可能な形へ移したいとき

BCMの実務の進め方

1. 対象範囲を決める

初回から全社一括で始めると、関係者が増えすぎて進みづらくなります。まずは重要部門、主要サービス、基幹業務など、影響が大きい範囲から始める方が進めやすくなります。

2. 重要業務と復旧目標を決める

BIAを実施し、優先業務と復旧目標を定めます。復旧時間だけでなく、どの水準までサービスを維持するかも合わせて決めます。

3. 依存関係を確認する

人、拠点、システム、委託先、物資、権限、契約の依存関係を確認します。緊急時に必要な前提が整理されていないと、BCPの手順だけでは動けません。

4. 代替策を選ぶ

理想的な完全復旧よりも、実際に実行できる代替策を優先します。たとえば、全機能維持ではなく、受付機能だけ先に戻すといった段階復旧も選択肢になります。

5. 訓練して課題を出す

連絡網が動くか、判断基準がそろうか、代替手段が本当に使えるかを確認します。机上確認だけで済ませると、権限不足や委託先との接続不備が見えにくくなります。

6. 更新を仕組みに組み込む

組織変更、責任者交代、システム更改、拠点変更、委託先変更のたびにBCPを更新するルールを定めます。半年ごとの連絡訓練や、年次レビューを固定する方法も使われます。

BCMが機能しにくい進め方

計画書作成を先に完了させようとする

文書を完成させてから訓練する進め方では、運用課題が後ろ倒しになります。早い段階で訓練し、足りない情報を計画へ戻す方が改善しやすくなります。

重要業務の優先順位が曖昧

すべてを重要業務と扱うと、緊急時の資源配分に使えません。優先順位を付けること自体がBCMの中核です。

IT復旧だけで完結させる

システムが戻っても、承認者不在、物流停止、委託先未復旧、顧客通知未整備のままでは事業継続につながりません。BCMは、ITと業務運用を切り離して扱うと弱くなります。

更新条件が決まっていない

責任者交代や拠点再編が起きてもBCPが更新されない状態では、計画の精度がすぐ落ちます。更新契機を定めないBCMは長続きしません。

BCMが適した場面

  • 停止の影響が大きい業務を持つ組織
  • 複数拠点、複数委託先、複数システムに依存する組織
  • 法令、契約、顧客要件で継続性の説明が必要な組織
  • 災害対策、サイバー対策、委託先管理を個別に進めており、全体整理が不足している組織

まとめ

BCMは、緊急時に備えた計画書を作る活動ではなく、優先業務の選定、復旧目標の設定、依存関係の把握、代替策の準備、訓練、更新を継続する管理の枠組みです。BCPとの違いは、文書そのものではなく、その文書を使える状態に保つ運用を含む点にあります。

導入時に差が出やすいのは、最初から全社の完成形を目指すか、重要領域から訓練を伴って始めるかです。後者の方が課題を早く見つけやすく、更新も続けやすくなります。BCMを機能させるには、止められない業務を明確にし、現実に使う代替手段と判断手順を定め、組織変更や訓練結果を反映し続ける運用が欠かせません。

よくある質問(FAQ)

Q.BCMとBCPの違いは何ですか?

A.BCPは事業継続のための具体的な計画で、BCMはその計画を策定、訓練、評価、改善しながら維持する管理全体です。

Q.BCMはIT部門だけの取り組みですか?

A.IT部門だけでは完結しません。人員、拠点、委託先、物流、顧客対応まで含めて全社で整備する必要があります。

Q.BCMSとは何ですか?

A.BCMSは、方針、目標、役割、手順、訓練、評価、改善を体系的に管理し、BCMを継続的に機能させるためのマネジメントシステムです。

Q.BCMがあれば事業停止を完全に防げますか?

A.完全防止を約束するものではありません。停止の影響を抑え、復旧判断と実行の再現性を高めるための枠組みです。

Q.BIAは何のために行いますか?

A.業務停止が与える影響を整理し、優先業務、復旧順序、復旧目標を決めるために実施します。

Q.訓練はどの程度実施すべきですか?

A.連絡網、発動判断、代替手段、委託先連携のどこかは定期的に確認した方が、計画の実行可能性を保ちやすくなります。

Q.ISO 22301は何を扱う規格ですか?

A.事業継続マネジメントシステムに関する国際規格で、BCMSを確立し、維持し、改善するための要求事項を示します。

Q.認証取得のメリットは何ですか?

A.取引先や監査対応で説明しやすくなる点に加え、要求事項に照らして不足を見つけやすくなる点があります。

Q.BCM導入は何から始めるのがよいですか?

A.対象範囲を絞り、優先業務と復旧目標を決め、依存関係を確認したうえで、早い段階で訓練を実施する進め方が取り組みやすくなります。

Q.BCPが古くなるのを防ぐにはどうすればよいですか?

A.組織変更、責任者交代、システム更改、拠点再編、委託先変更を更新契機として明文化し、定期訓練とレビューを固定すると維持しやすくなります。

記事を書いた人

ソリトンシステムズ・マーケティングチーム

申込受付中 イベント&セミナー 医療情報セキュリティ GIGAスクールも校務DXもソリトンでまとめて解決 2025年度 セキュリティ実態調査

ピックアップ Pick up

Pick up一覧

タグ Tag

金融 流通・小売 医療 エネルギー 運輸 サービス 情報通信 中央省庁・独法 自治体・地方公共団体 教育・文教 認証 エンドポイント ネットワーク ゼロトラスト 販売店インタビュー メーカーインタビュー セミナーレポート 展示会・フェアレポート サイバーセキュリティ リモートアクセス テレワーク 社内LAN 無線LAN プロダクト検証 サプリカント設定 技術解説記事 調査報告 Windows iOS macOS Android ChromeOS DHCP/DNS Soliton OneGate NetAttest EPS NetAttest D3 SmartOn ID InfoTrace 360 Soliton SecureBrowser Soliton SecureDesktop WrappingBox FileZen S VVAULT コラム 調査レポート目次 Soliton SecureWorkspace HiQZen 外部リンク VVAULT AUDIT サイバー攻撃 SASE
強固な認証で企業ネットワークを安全に 止まらないネットワークを実現する SSW 1/10程度のコストで実現 ゼロトラストを実現するIDaaS

関連記事

Related Article