BCPとコンティンジェンシープラン

BCPとコンティンジェンシープランの違い

ITの分野でも「コンティンジェンシープラン」が問題になることがあります。多くはFISAが発行している「金融機関等におけるコンティンジェンシープラン（緊急時対応計画）策定のための手引書」からその課題意識が出てくることがほとんどです。この時、IT担当役員あるいはIT責任者の頭に浮かぶ疑問が、「会社が進めているBCPと”コンティンジェンシープラン”の違いはなんだろうか」ということでしょう。両者に共通しているのは、Contingency（不測の事態）に備えることですが、相違点もあります。しかし、BCPのほうが大きな概念ですので、IT担当役員あるいはIT責任者の方はそこまで違いに敏感にならなくてもよいかもしれません。

BCP（Business Contingency Plan）

目的は事業を継続させることです。継続の時間軸がポイントとなります。地震があって事業が数日から数か月程度停止することは、実は問題ではありません。その後、地域の復興とともに事業が復旧できるのかどうかが本当の問題です。数日の停止が会社の倒産にまで及ぶのであれば、その数日の停止は許容できませんが、将来的に復旧できるのであれば、いついかなる時にでも業務を継続させる、という考えは正しくありません。

コンティンジェンシープラン（IT）

目的はITシステムを守ることです。一般的には「常に利用可能な状態にする」こと望まれます。が、究極目標はシステム（情報資産）を守ることにありますので、必要に応じて回線を遮断するなどの計画も必要です。多くの場合、サイバー攻撃からの防御、調査のための情報連携、復旧のためのバックアップ整備、停止させないための冗長構成、などが重要です。冗長化だけがポイントではないところが重要です。BCPを構成するひとつの要素になります。（ただし、IT系企業の場合、これこそがBCPだ、とする企業も多いです）

コンチプラン／コンティンジェンシープラン（財務）

目的は資金ショートしないようにすることです。不測の事態による支出の増加や収入の減少の際に、どのように資金を調達するのかがポイントです。多くの場合、保険や、銀行とのコミライン（コミットメントライン）契約をすること、などの事前準備ができていると思います。先進的な企業の場合、保有する有価証券の売却（市場流動性リスク）、グループ企業間での資金の融通、より専門的にはCATボンド（大災害債）の発行などの準備を進めている企業もあります。CATボンドはオリエンタルランド（ディズニーランド運営会社）が発行したことが話題になったことがあります。これもBCPを構成する一つの要素になります。

代替要員、代替ベンダー（オペレーション）

上記と同様に、重要な経営資源であるヒトやベンダーなども、「それが利用可能ではない場合にどうするか」というプランが必要です。日本の多くの企業は、BCP策定においてこのポイントができていないことがほとんどです。

まとめ

BCPは事業そのものを問題にしていますが、それぞれのコンティンジェンシープランの総まとめのような位置づけでもあります。重要な経営資源（ヒト、モノ、カネ、情報（IT）、ベンダー）などの区切りで、Contingency（不測の事態）に対応できる仕組みがあるのかどうかを確認してみることをお勧めします。