BCMとは？ わかりやすく10分で解説

災害やシステム障害、サイバー攻撃、サプライチェーンの寸断など、事業を止める要因は年々増えています。本記事ではBCM（事業継続マネジメント）を「計画を作る」だけで終わらせず、変化に合わせて回し続ける仕組みとして捉え、BCPとの違い、要素、規格・認証、実務の進め方までを整理します。

はじめに

BCMとは？

BCMとは、Business Continuity Management（事業継続マネジメント）の略称で、緊急事態や予期せぬ事態が発生しても、重要な事業を止めない・止まっても早く立て直すために、組織として継続的に取り組む管理の枠組みを指します。BCP（事業継続計画）を「作ること」自体が目的ではなく、BCPを実行できる状態にして、維持し、定期的に見直して改善する管理体制がBCMです。

BCMの運用では、状況の変化に合わせて計画と体制を更新し続ける姿勢が欠かせません。たとえば、拠点の追加・統廃合、主要ベンダーの変更、人員体制の変化、クラウド移行、法規制の改定などが起きれば、過去に作ったBCPはそのままでは使いにくくなります。BCMは、こうした変化を前提に「使える計画」を保ち続けるための実務です。

このような管理を支える仕組みとして、BCMS（事業継続マネジメントシステム）が用いられます。BCMSは、組織の状況（事業環境・利害関係者・対象範囲など）を踏まえて、方針・目標・手順・役割・訓練・評価を整備し、継続的改善につなげるためのマネジメントシステムです。 

BCMの歴史

BCMは「IT業界で生まれた概念」と単純化されがちですが、実態としては、1970年代以降に拡大した技術的・運用上のリスクへの対応（例：ITの復旧・代替手段の確保）を起点にしつつ、危機管理の一領域として発展し、現在は組織全体のレジリエンス（回復力）を扱う枠組みとして定着してきた、という捉え方が近いです。

特に2000年代以降は、災害・感染症・地政学リスク・サプライチェーン断絶・サイバー攻撃など、停止要因が複合化しやすくなり、情報システムだけでなく、人的リソース、調達、物流、外部委託、拠点運用なども含めた「全社的なマネジメント」としてのBCMが重視されるようになりました。 

BCMの必要性

BCMが必要とされる理由は、大きく分けて3つあります。

• 止められない業務を明確にできる：何を優先して守るべきか（顧客提供、決済、製造、コールセンターなど）を可視化し、限られた資源の使い方を決められます。
• 復旧の意思決定を速くできる：代替手段・指揮命令系統・連絡手順が事前に整理されていれば、混乱が起きやすい状況でも判断がぶれにくくなります。
• 平時の改善に効く：単なる非常時対策ではなく、業務の依存関係や単一障害点（SPOF）を洗い出し、運用や設計の弱点を改善するきっかけになります。

注意したいのは、「BCMがあればどんな緊急事態でも事業継続が保証される」という言い方は強すぎる点です。BCMは万能の保険ではありません。想定外を減らし、復旧の再現性を上げ、損失を最小化するための取り組みとして捉えるのが現実的です。

大規模災害等に対するBCMの役割

大規模災害や広域障害が発生すると、現場では「通常の手順が通らない」状態が起きます。BCMの役割は、こうした状況でも重要業務を維持するために、優先順位の判断基準と代替手段と指揮系統を、使える形で用意しておくことです。

たとえば、同じ「停電」でも、短時間の停電と長時間の停電では判断が変わります。通信が生きているのか、出社が可能なのか、在庫や原材料の供給が止まるのか、といった条件によって、取るべき行動は変わります。BCMでは、こうした条件分岐をあらかじめ洗い出し、最低限のサービスレベル（どこまで提供するか）を決め、実行可能性を確かめておきます。

BCPとBCMの違い

企業の危機管理では、BCP（Business Continuity Plan）とBCM（Business Continuity Management）がセットで語られます。両者は似て見えますが、役割が異なります。

BCPとBCMの基本的な違い

BCPは「計画（Plan）」そのものであり、想定されるリスクや中断に対して、どの業務を優先し、どの手順で、どの資源を使って継続・復旧するかを具体化したものです。

BCMは「計画を回す仕組み（Management）」であり、BCPを作って終わらせず、実行・訓練・評価・改善を継続的に行い、状況変化に耐える状態を維持するための管理です。ISO 22301が扱うのも、このBCMS（事業継続マネジメントシステム）という考え方です。

BCPとBCMの連携の重要性

BCPが立派でも、現場が理解していなければ、緊急時に機能しません。逆に、体制だけあっても、具体的な手順や代替策がなければ動けません。BCPとBCMは、「内容」と「運用」として噛み合って初めて価値が出ます。

たとえば、BCPに「代替拠点へ切替」と書かれていても、誰がいつ判断し、何をもって切り替えるのか、切替に必要な権限・通信・手順・周知が整っていなければ、実行できません。BCMは、その“実行できる状態”を作る仕事です。

BCP実行時のBCMの役割

災害や障害が起きてBCPを発動する局面では、BCMが中心となって、判断と連携と復旧を回します。具体的には、次のような役割が現実的です。

• 状況把握と情報の集約（被害範囲、継続可否、外部影響）
• 優先業務の決定とリソース配分（人・拠点・システム・外部委託）
• 対外コミュニケーション（顧客、取引先、委託先、場合により当局対応）
• 復旧の進捗管理と方針転換（想定と違う状況への適応）

ここで重要なのは、BCPは「手順書」ではあるものの、現実の事象は必ずしも手順通りに進まない点です。BCMは、手順を土台にしつつ、状況に合わせて優先順位を再調整し、現場の判断を支える枠組みとして機能します。

BCMにおけるBCPの立案・修正・改善

BCMには、BCPを「作りっぱなし」にしないための更新プロセスが含まれます。たとえば、次のようなタイミングは、BCPの見直し理由になります。

• 組織変更（統廃合、責任者交代、外部委託の追加）
• 重要システム更改（クラウド移行、ID基盤変更、拠点NW刷新）
• 実災害・訓練での課題発見（連絡網が機能しない、代替手段が遅い）
• 法制度や取引要件の変更（監査観点、サプライチェーン要求）

BCMは、リスク環境の変化を拾い、BCPを現実に合わせて更新し続けることで、危機時の対応力を底上げします。

BCMの要素

BCMは「復旧のための大枠」ではなく、実務として運用できる要素の組み合わせで成立します。ここでは、BCMを組み立てる代表的な要素を整理します。

BCMの主な構成要素

BCMを支えるBCMSでは、一般に次のような要素を整備します。

• 方針・目標：何を守るか、どこまでを対象にするか、優先順位は何か
• 役割・責任：意思決定者、実行責任者、連絡担当、現場責任者
• 手順・計画（BCP）：発動条件、代替手段、復旧手順、連絡手順
• 訓練・テスト：机上訓練、実動訓練、切替訓練、サプライヤー連携確認
• 評価・改善：監査・レビュー・是正措置、計画の更新

BCMSの考え方は、継続的改善（PDCA）と相性がよく、ISO 22301でもマネジメントシステムとしての運用・改善が重視されます。

BCMのライフサイクル

BCMを「作って終わり」にしないためには、サイクルを意識して設計することが重要です。実務では次のような流れで回すと整理しやすくなります。

• 理解：事業と依存関係の把握（拠点、システム、委託、要員）
• 決定：重要業務と優先順位の決定（復旧目標の設定）
• 計画：BCPの策定（代替策、連絡系統、手順、資源）
• 実装：訓練・周知・必要な整備（契約、設備、権限）
• 改善：レビュー・監査・更新（変化への追随）

ここでのポイントは、計画（Plan）が完成しても、実装（Implement）と改善（Improve）を回せないと、実際の対応力は上がらないことです。

BCMにおけるリスク評価とビジネス影響分析

BCMの基礎になるのが、リスク評価とビジネス影響分析（BIA）です。

• リスク評価：何が起き得るか（災害、障害、攻撃、委託停止など）と、その起こりやすさや前提条件を整理する
• BIA：業務が止まった場合の影響（売上、顧客影響、法令、社会的信用）を見積もり、重要業務の優先順位と復旧目標を決める

よくある失敗は、リスクを網羅しようとして「結局、全部が重要」という結論になることです。BCMは現実の資源制約の中で回すため、BIAでは「止められない業務」と「止まっても許容できる業務」を線引きし、復旧の順番を決めることが肝になります。

BCMにおける事業継続戦略の策定

戦略は「復旧の考え方」を決める部分です。BCPの手順は戦略の具体化ですが、戦略が曖昧だと、手順も実行不能になります。代表的な戦略は次のように整理できます。

• 代替：拠点・要員・システム・サプライヤーの代替を用意する
• 冗長化：単一障害点をなくす（通信、認証基盤、バックアップ回線など）
• 縮退運用：最低限のサービスレベルに落として継続する
• 外部活用：委託先・クラウド・専門ベンダーを組み合わせて回復を早める

たとえば「縮退運用」を選ぶなら、縮退時に提供する機能、停止する機能、顧客への説明、社内の承認プロセスまで含めて決める必要があります。ここが曖昧だと、緊急時に合意形成ができず、復旧が遅れます。

BCMの制度と認証

BCMの取り組みには「正解が一つ」という性質がありません。だからこそ、一般的な基準として国際規格や認証制度が活用されます。ここでは代表例としてISO 22301を取り上げます。

BCM関連の国際規格ISO 22301

ISO 22301は、事業継続マネジメントシステム（BCMS）に関する国際規格です。組織がBCMSを確立・実装・維持し、継続的に改善するための要求事項を示す規格として位置付けられています。 

実務的には、ISO 22301を参照することで、BCMを「属人的な取り組み」から「仕組みとして回る取り組み」へ移しやすくなります。何を文書化し、どこを訓練し、どう評価し、どう改善するか、という観点が揃うためです。

BCMの認証制度とそのメリット

第三者認証を取得するメリットは、単に「対外的にアピールできる」だけではありません。認証審査のプロセスを通じて、要求事項に照らした不足が見つかり、社内の改善につながる点が現実的な利点になります。

対外的には、取引先や委託元からBCMの状況を求められるケースもあるため、説明の枠組みとしても役立ちます。ただし、認証は目的ではありません。認証取得に寄せすぎて、現場で使えない手順書が増えると本末転倒なので、実行可能性を優先して設計することが重要です。

BCMの評価方法と監査

BCMの評価方法としては、内部レビュー（自己点検）と内部監査、そして第三者監査（外部審査）が代表的です。特に「訓練で見つかった課題を是正し、次の訓練で改善を確認する」という流れが作れると、BCMが形骸化しにくくなります。

評価の観点は、書類の整合性だけではありません。連絡網が実際に機能するか、代替手段が手順通りに動くか、意思決定が遅れないか、といった実行面の検証が重要です。

BCMの制度と組織的取り組み

BCMは、担当部署だけが頑張っても回りません。意思決定者の関与、現場の理解、外部委託先との合意、必要な投資判断が噛み合って初めて機能します。

現実の導入では、「全社で完璧を作ってから回す」より、「重要領域から小さく回して改善する」方が成功しやすい傾向があります。BCMは“完成品”ではなく、回しながら育てるものだからです。

BCMの実践と改善

BCMを実務に落とすときは、「何から始めればいいか」が最大の壁になりがちです。ここでは、現場で迷いやすい部分を、手順として分解します。

BCMの実践方法とステップ

BCMの実践は、概ね次の流れで進めると現実的です。

1. 対象範囲の決定：全社か、重要部門からか。まずは範囲を決める
2. 重要業務の特定：止められない業務と復旧目標を決める（BIA）
3. 依存関係の洗い出し：人、拠点、システム、委託先、物資、権限
4. 戦略の選択：冗長化・代替・縮退・外部活用の方針を決める
5. BCP策定：発動条件、指揮系統、連絡、手順、代替策を具体化
6. 訓練・テスト：机上だけでなく、可能な範囲で実動確認を入れる
7. レビューと更新：課題を是正し、計画を更新して次サイクルへ

ここで大事なのは、初回から“完璧なBCP”を作ろうとしないことです。完璧を狙うほど、範囲が広がり、関係者が増え、合意形成に時間がかかります。まず回せるサイズで始め、訓練と改善で精度を上げる方が、結果として強いBCMになります。

訓練とテスト

訓練とテストは、BCMの「効く・効かない」を分ける核心です。机上訓練だけで満足せず、可能なら次のような確認を入れると、課題が具体化しやすくなります。

• 連絡訓練（連絡網が実際に回るか）
• 意思決定訓練（発動条件の判断が揃うか）
• 代替手段の実動確認（代替拠点、代替回線、代替システム）
• 委託先連携の確認（連絡窓口、復旧SLA、切替手順）

訓練で見つかるのは、手順の誤りだけではありません。「権限がない」「担当が不在」「前提条件が変わっている」といった運用課題が露出します。BCMはこれを拾って改善に繋げます。

継続的な監視とレビュー

BCMの難しさは、平時には優先度が下がりやすい点です。だからこそ、レビューの仕組みを“予定として固定”しておく必要があります。たとえば、組織変更や重要システム更改のタイミングでBCPの更新を必須にする、半年に一度は連絡訓練を行う、といった運用ルールがあるだけでも形骸化を防げます。

また、外部環境の変化（法制度、サイバー脅威、自然災害リスク、委託先の変更など）を拾う窓口を決めておくと、更新の抜け漏れが減ります。

改善サイクル

BCMを改善していく上では、PDCAを「書類の更新サイクル」にしないことが重要です。PDCAの目的は、実行可能性を上げることです。

• Plan：目標と対象範囲、重要業務、戦略を定める
• Do：BCPを整備し、訓練・周知を行う
• Check：訓練結果、監査、レビューで課題を抽出する
• Act：課題を是正し、計画・体制・手順を更新する

この循環が回ると、BCPは「紙」から「使える道具」に変わっていきます。ISO 22301の文脈でも、継続的改善はBCMSの中核として扱われます。

企業でのBCMの導入

BCMは「必要性は分かるが、重い」と感じられやすい領域です。ここでは、導入時の論点を整理します。

企業が直面する可能性のあるリスク

企業が直面するリスクは多様で、しかも複合しやすいのが特徴です。自然災害や停電、設備障害、サイバー攻撃、委託先の停止、原材料の供給不足、感染症拡大、交通障害など、原因は異なっても「事業が止まる」という結果に収束します。

BCMの価値は、個別リスクの対策をバラバラに積み上げるのではなく、「重要業務を止めない」ために必要な共通要素（連絡・権限・代替・縮退・復旧）を整理し、優先順位を付けて整備できる点にあります。

導入に向けた具体的なステップ

導入を進める際は、次の順番にすると、現場の負担が増えにくくなります。

1. 経営・現場の合意：目的（守るもの）と対象範囲（どこまで）を決める
2. 重要業務の絞り込み：BIAで優先順位を決める
3. 実行可能な代替策の選択：理想ではなく、実行できる手段を優先する
4. 最低限の訓練を早めに実施：早期に課題を見つけ、改善に回す

「書類を整えてから訓練」ではなく、「訓練して課題を見つけ、書類に反映する」くらいの順番の方が、形骸化しにくい運用になります。

導入の際の課題とその対策

BCM導入でつまずきやすい課題は、次の3つです。

• 全社での理解が揃わない：重要業務と優先順位を明確にし、意思決定者が関与することで揃えやすくなります。
• コストと時間がかかる：全領域を一気にやらず、重要領域から段階的に広げると現実的です。
• 更新できずに古くなる：組織変更や更改時に更新を必須化し、レビューを定期予定として固定すると維持しやすくなります。

BCMの今後

BCMの今後は、「リスクの多様化・複合化」に加え、「外部依存の増加（クラウド、委託、サプライチェーン）」が大きなテーマになります。ITだけ強くしても、委託先や物流が止まれば事業は止まります。

そのため、BCMは危機管理の一要素に留まらず、事業設計・運用設計の品質として扱われる傾向が強まっています。訓練と改善を回し続ける企業ほど、平時の運用の弱点も見えやすくなり、結果的にレジリエンスが高まります。

よくある質問（FAQ）