BCPを策定しないリスク

大規模な災害などの緊急事態に遭遇したときに、重要事業を早期に復旧させて、企業を安定して継続させるためにはBCP（事業継続計画または業務継続計画）の考え方が大切です。

一方で、前回のコラムで紹介したように、BCP策定に踏み切れない企業が多いのも実情です。

そこで今回は、BCPを策定しないことによるリスクについて考えてみましょう。

策定義務はあるのか？

一部の業界や組織については、BCP策定が義務付けられています。

たとえば、介護施設・事業所などの社会福祉施設は2024年4月からBCP（業務継続計画）の策定が完全義務化され、未策定の事業者は報酬の減算の対象になるルールとなっています。

また、インフラ（電力・ガス・通信・運輸…）など、公共的な役割を担うために「指定公共機関」に指定されている企業・組織については、防災業務計画の策定が義務付けられており、BCPの性格を内包した計画の作成が法的に義務付けられています。

このような例外はあるものの、大多数の一般企業はBCPを策定する法的な義務は現状ありません。

災害時でも免れない「安全配慮義務」

ただし、策定についての法的義務がないからといってBCPを策定しなくてよいと断じてしまうのは早計です。

BCPの有無以前に、企業には従業員の生命や心身の安全を確報して安心して働けるように配慮する「安全配慮義務」があります。

労働契約法
第5条（労働者の安全への配慮）

使用者は、労働契約に伴い、労働者がその生命、身体等の安全を確保しつつ労働することができるよう、必要な配慮をするものとする。

この安全配慮義務は自然災害に見舞われるなどの非常時でも免責されないことに注意が必要です(1)。災害時における企業の安全配慮義務違反が争点となった裁判を整理した研究では、特に争点になったポイントを抽出すると上位3つは

• 事前のマニュアルや設備の準備

• 被災後の適切な指示

• 情報収集義務

と続いています(2)。これらは防災と密接に関わっていることは言うまでもありませんが、事業継続の観点とも大きく関わってきます。

「人命第一」というのは単に倫理的に大切であるだけでなく、事業継続の観点からも大切だからです。事業継続のためには、従業員という人的なリソースの確保し、必要な対応や仕事を行ってもらえる状態にしておく必要があります。そのためにまずは人命の安全を確保できるように、計画や設備を整えておく必要があるといえます。

サイバーセキュリティーも含め、「オールハザード」に対応したBCPを

また、自然災害とは大きく異なるリスクとして、近年はサイバー攻撃などによりサービスや製品の流通に多大な影響が及ぶケースも相次いでいます。

昨年（2024年）6月にはKADOKAWAグループ・ニコニコ動画が攻撃を受け、長期間に渡ってサービス停止に追い込まれ、最近でもアサヒグループHD（2025年9月〜）やアスクル（2025年10月〜）など、ランサムウェアによる攻撃の被害を受けて影響が長期化している例が見られます。

企業を取り巻くリスクが多様化するなかで、従来の自然災害だけに特化せずに、「オールハザード」に対応したBCPの策定が求められています。企業規模が小さい、BCPに対するリソースを投じづらいという事情がある場合でも、「中小企業向けオールハザード型BCP策定ガイド」（東京商工会議所）のようなツールが既存のBCPをブラッシュアップする手助けになるでしょう。

参考文献

1. 関東弁護士会連合会 (2017) 小冊子『事業継続に求められる企業の安全配慮義務と安全対策』 <https://www.kanto-ba.org/symposium/detail/file/h29_jirei.pdf>

2. 数土武一郎・清原康介 (2024)「自然災害に対する事業継続計画（BCP）と安全配慮義務の概要と関係性」 『人間生活文化研究』(34), p. 61-67 <https://journal.otsuma.ac.jp/2024no34/2024_621.pdf>

『BCP-PREP』のご紹介

BCP-PREPは「災害対策止まりのその先へ オールインワンBCP」をコンセプトに、 BCPに関する課題解決を目指すツールです。