1.はじめに
令和6年1月1日に発生した能登半島地震は記憶に新しく、日本は世界有数の地震大国と言われています。巨大地震などの自然災害や自然災害以外のリスク(感染症やサイバー攻撃等)が顕在化しており、中小企業においても緊急事態発生時に事業を継続するための対策の重要性が高まっています。
企業経営や事業の継続に影響を及ぼす緊急事態発生のリスクに備える方法として、事業継続力強化計画の策定が推奨されていますので、その取り組み方のポイントについてご紹介いたします。

2.新たなリスクの顕在化、サバイバル時代の到来
近年、企業の事業活動に影響を与える自然災害などのさまざまなリスクが顕在化してきており、中小企業の事業継続力強化は喫緊の課題となっています。
企業の事業活動、企業経営に影響を与えるリスクは外部要因として地震、風水害などの自然災害から、感染症、サイバー攻撃、地域紛争などの自然災害以外のリスクが複合的に存在するため、企業はそれらのリスクが発生することを想定して事前に対処していくことが必要となっています。まさにさまざまなリスクによる緊急事態に備えるサバイバル時代が到来しているのかもしれません。

3.事業継続力強化計画策定について
中小企業が今後発生しうる緊急事態に備える対策、計画には、事業継続力強化計画と呼ばれるものがあります。事業継続力強化計画は、BCP(事業継続計画)の入門編、簡易的なBCPと考えることができます。
中小企業の事業継続力強化を支援する国の施策に、「事業継続力強化計画認定制度」があります。事業継続力強化計画認定制度は、中小企業が策定した防災・減災に関する対策、計画を経済産業大臣が「事業継続力強化計画」として認定する制度です。この制度は「中小企業等経営強化法」に基づくもので、自然災害等のリスク認識や事業活動に与える影響を踏まえて、事業継続力を強化するための取組を支援するものです。
経済産業大臣から計画の認定を受けた中小企業は、防災・減災設備に対する税制優遇、低利融資、補助金(ものづくり補助金等)の審査上の加点等の支援を受けることができます。
事業継続力強化計画認定制度では、事業継続力強化計画を「単独型」「連携型」と分けており、自社のみの場合は「単独型」、複数事業者間で連携して計画する場合は「連携型」と呼ばれています。

【計画策定の手順】
事業継続力強化計画の策定は以下のステップに分けて考えて取り組むことができます。
ステップ1:事業継続力強化の目的の検討
ステップ2:災害等のリスクの確認・認識
ステップ3:初動対応の検討
ステップ4:対策方法の検討
ステップ5:平時の推進対応(継続的な定着、改善対応)

ステップ1:事業継続力強化の目的の検討について
自然災害等の緊急事態が発生して事業が継続できなくなると、顧客や取引先、従業員やその家族等に大きな影響が及ぶことになります。事業継続力強化計画は、自然災害等が起こった際に、自社に関連する方々のみならず、社会に与える影響の軽減に資するという意味でも意義があるものです。

ステップ2:災害等のリスクの確認・認識について
例えば、ハザードマップ等を活用しながら、事業所や工場などが立地している地域の災害等のリスクを確認・認識します。また、サイバー攻撃に対しては、まずは、自社の情報資産の洗い出しと緊急事態が発生した際の影響度を考慮してシステムやデータの重要度を把握します。
また、事業停止の影響については、「ヒト(人材)」「モノ(設備・インフラ・建物)」「カネ(リスク対策資金)」「情報(システム、データ)」の4つの切り口から、自社にどのような影響が生じるかを考えるのが良いでしょう。

ステップ3:初動対応の検討について
緊急事態、災害等が発生した直後の初動対応を検討します。主に次のような取り組みが考えられます。
①人命の安全確保、②非常時の緊急時体制の構築、③被害状況の把握、関連者への被害情報の報告、共有

ステップ4:対策方法の検討について
上記のほか、事業が停止した際のヒト、モノ、カネ、情報への影響を踏まえ、災害等に備え事前にどのような対策を実行することが適切か具体的に検討します。この場合でも事業への影響度合いを考慮して優先度の高いものから検討する。また、平常時の業務改善に有効な取り組みから始めるのが良いといえます。

ステップ5:平時の推進対応(継続的な定着、改善対応)について
最初から全ての項目において十分な計画や対策は立てられないかもしれませんので、継続的な定着、改善対応に取り組むことが重要です。例えば、年に1度以上、計画内容の見直し、訓練の実施など行う機会を確保するのが良いでしょう。

【計画策定のポイント】
事業継続力強化計画については、以下のカテゴリー及び、検討内容別に具体的な対策を検討します。

  各脅威共通 自然災害 自然災害以外
地震・水害 サイバー攻撃 地政学リスク
リスク想定 ヒト・モノ・カネ・情報など経営資源への影響 建物・設備の損傷、浸水による破損 サービスの停止、復旧費用、営業損失など 原材料の不足、物流費用上昇
事前対策 仕入先、販売先を増やす、社内外協力体制構築 緊急時対策の策定 セキュリティ対策見直し、サイバー保険 社内施設や体制の二重化、適正在庫の見直し
事後対策 緊急時対応体制や対応基準策定 安否確認、避難対応、被害状況の把握 等 被害状況の把握、関係者・顧客への報告 等 被害状況の把握、関係者・顧客への報告 等
継続的改善 年に1度以上、計画内容の見直し、訓練の実施 等

【計画申請について】
事業継続力強化計画は、「事業継続力強化計画電子申請システム」から電子申請する仕組みになっていますので、該当サイトの案内を確認して申請することになります。

※申請には、G ビズ ID アカウントが必要です。Gビズ ID アカウントの取得には 2 週間程度の期間がかかるため事前に取得しておくのが良いでしょう。

出所:中小企業庁 事業継続力強化計画 事業継続力強化計画策定の手引き 等を参考に作成
https://www.chusho.meti.go.jp/keiei/antei/bousai/keizokuryoku.html

4.サイバー攻撃への備え
自然災害以外のリスクとして、代表的なものにサイバー攻撃のリスクがあります。「標的型メール」と「ランサムウェア」によるセキュリティ事故が企業規模を問わず増加しています。ランサムウェアによって企業のサーバー内のデータが不正に暗号化されて、事業継続ができなくなるなどの被害が発生しています。例えば、病院で事業が数か月間停止した事例や、大手出版社グループの複数のサイトでサービス提供できなくなるような被害が発生して、大きな社会問題となっています。
また、メーカー等のサプライチェーンを狙って大企業の業務を停止させるなどの手法が増えています。この場合、中小企業が不正の入口としてターゲットにされるため、他社の事業に対して影響を与えてしまうことを回避するためにも、中小企業にとってもサイバーセキュリティ対策の強化の重要性が増しています。
事業継続力強化計画では、「連携事業継続力強化計画」の策定が「連携型」として認定対象となっています。サプライチェーン全体でのセキュリティ向上を念頭にして「連携事業継続力強化計画策定の手引き」やIPAの「中小企業の情報セキュリティガイドライン」を参考に対策を検討することをお勧めいたします。

サイバー攻撃への備えの重要ポイントとして、以下のような観点があります。

【経営者が認識すべき3原則】
・情報セキュリティ対策は経営者のリーダーシップで進める
・業務上の関係者(顧客、取引先)への影響を考慮し、自社の外部委託先の情報セキュリティ対策まで考慮する
・業務上の関係者(顧客、取引先)との情報セキュリティに関するコミュニケーションとる

【情報セキュリティサービスの活用】
社内に情報セキュリティ人材が不足している場合は、外部の情報セキュリティサービスを利用することは、情報セキュリティ対策の向上に有効です。

(ご参考)
サイバーセキュリティお助け隊サービス
https://www.ipa.go.jp/security/otasuketai-pr/index.html

情報セキュリティサービス基準適合サービスリスト
https://www.ipa.go.jp/security/service_list.html

【サイバー保険の利用】
サイバーセキュリティ事故が発生した場合、その対策費用や損害賠償責任など多額の費用が発生する可能性があります。これらに備える方法として、サイバー保険がありますので、利用を検討するのも良いでしょう。

(サイバー保険の補償内容の主な例)
•損害賠償責任(損害賠償費用、争訟費用等)
•事故対応費用(事故原因調査、コールセンター設置、記者会見、見舞金の支払、法律相談、再発防止策の策定等)
•利益損害・営業継続費用(喪失利益、収益減少防止費用等)

(ご参考)
日本損害保険協会 サイバー保険とは
https://www.sonpo.or.jp/cyber-hoken/about/

5.地政学リスクへの備え
ロシアのウクライナ侵攻や中東での紛争が継続しています。すでに物流面での制約などからさまざまな物資が不足して価格が上昇するなどの影響が発生しています。このような事態がアジア地域に拡大する可能性も完全には否定できない状況となってきています。
過去の経験から学び中小企業でもできることから影響軽減、生き残りの準備を進めていくのが良いでしょう。
例えば、生産工場や物流拠点を離れた地域に隔地しての二重化、複線化を行っていくことが考えられます。事業遂行力の強化と併せて、原材料の適正在庫の確保や仕入れ先、販売先を増やしていくなど、できることを今から準備していくのが良いでしょう。

6.まとめ
このようなさまざまな緊急事態を引き起こすリスクに対して実効性のある事業継続力強化計画を策定するのは、一朝一夕には行えないかもしれません。経営者や社員の方の意識改革のほか、対策コストも伴うものだからです。しかし、新型コロナウイルスの影響で社会が大きく変わってしまった事例のように、存在は認識していても、実際には検討できていなかったリスクが顕在化する可能性もありますので、企業の経営力強化、生き残りのためにも、事業継続力強化計画の策定及び定期的な改善は避けては通れない課題だと思っています。
また、このような取り組みで行き詰ったときは、さまざまな視点でアドバイスを受けられる専門家やコンサルタントを活用することを積極的に考えてみてはいかがでしょうか。例えば中小企業診断士をはじめとするコンサルタントやさまざまな中小企業支援施策を活用することも、事業継続力強化につながる方法の一つであると思います。

【参考文献・資料】
事業継続力強化計画(中小企業強靱化支援)ポータルサイ
https://kyoujinnka.smrj.go.jp/

中小企業庁 事業継続力強化計画
https://www.chusho.meti.go.jp/keiei/antei/bousai/keizokuryoku.html

IPA 中小企業の情報セキュリティ対策ガイドライン 第3.1版
https://www.ipa.go.jp/security/guide/sme/ug65p90000019cbk-att/000055520.pdf

■坪田修(つぼたおさむ)
中小企業診断士、システム監査技術者、情報セキュリティアドミニストレータ
東京都中小企業診断士協会事業事務局長