「コンチプラン」は英語の「Contingency plan(コンティンジェンシープラン)」の略称で緊急時対応計画のことです。台風や地震などの自然災害や予期せぬシステム障害など不測の事態が起きた際、スムーズに業務を継続・復旧するために作成するマニュアルのことで、金融業界や生活インフラ業界、情報漏洩リスクを伴うIT業界に欠かせない言葉です。

この記事ではリスク管理に不可欠なコンチプランの意味とBCPの違い、企業事例や策定方法をご紹介します。システム管理者はもちろん、事業責任者はぜひ読んでみてください。

  • コンチプランとは?

    災害発生時に事業を継続するために必要なコンチプランについて解説します

コンチプランとは

コンチプランとは英語で「Contingency Plan(コンティンジェンシープラン)」を省略した言葉です。コンティンジェンシーとは「不測の事態」という意味があります。日本語では「緊急時対応計画」。つまり、自然災害や大事故、テロなどの不測の事態が起きたときにどう対応するのかをまとめた行動指針がコンチプランです。

コンチプランは金融・社会インフラ業界に不可欠

金融機関や公的機関をはじめ、情報システムを扱うIT業界など、社会インフラを担う業種は、あらゆるリスクを想定したコンチプランの策定が不可欠です。不測の事態は滅多に起こらないものですが、緊急時に冷静に対応できるかどうかで、その後の対応も変わってきます。

コンチプランを策定することで、自社の被害を最小限に抑えられるだけではなく、取引先や顧客の連鎖損失を食い止めることが可能です。

  • コンチプランとは?

    自然災害や大事故、テロなどが発生した場合のリスク管理について考えてみましょう

コンチプランとBCPの違い

コンチプランと似ている言葉に「BCP(事業継続計画)」があります。どちらもリスクに対して対策をとるものですが、目的が異なります。コンチプランとBCPの違いについて解説します。

BCPは事業継続計画

BCPは英語の「Business continuity planning」の略称です。日本語では「事業継続計画」と呼ばれており、災害や大事故などが起きたあと、スピーディーに事業の継続や復旧を行うために必要な計画です。

コンチプランとの違いは実施するタイミングと計画内容です。リスク対策として災害などが発生した直後に実施するのがコンチプランで、BCPは災害発生後の事業の継続や復旧を目的とした計画になります。

これまでのリスク対策ではBCPがメインでしたが、近年では東日本大震災や豪雨被害など、大規模自然災害が発生していることから、緊急時の初動計画としてコンチプランの策定も求められています。

  • コンチプランとBCPの違いとは?

    コンチプランとBCPは、どちらも災害時の事業継続にあたり不可欠な計画です

コンチプランの策定方法

コンチプランはいくつかのステップに分けて構築することが大切です。事業にあったコンチプランの策定方法をご紹介します

ステップ1 リスクの調査・分析

まずは災害やテロ、大事故など事業継続が困難な状況を想定したリスクを洗い出します。地震や火災においては社員の命の安全が脅かされたり、設備が損壊したりすることも想定されます。また、直接的な被害はなくても、停電による情報システムのトラブル、交通機関の停止なども考えられます。

考えられるリスクに対して現状でどこまで対応できるのか、二次災害をはじめ、被害予測を立てて事業への影響を調査・分析を行いましょう。

ステップ2 被害の予測

リスクの調査や分析をしたら、それによって自社がどれぐらいの害を被る可能性があるのかを予測します。

被害予測は、想定した災害とそれに伴うインフラへの影響をもとに行います。地震や豪雨、台風、火災などの災害は会社の設備に直接的な被害を与えますし、社員の人命を奪う可能性があります。一方で、停電によるネットワークシステムの停止や道路陥没などによる物流の切断も、間接的に企業の事業継続に関わってきます。

過去の事例を参考にしながら、できるだけ具体的な被害予測を立てておくことが重要となってきます。

ステップ3 コンチプランの立案

調査・分析で収集した情報をもとに被害規模を予測したら、リスクにおける対応方法を検討します。

  • 災害発生時の連絡網はどうするのか
  • 緊急時の業務は誰の指揮下でどのように行うのか
  • オフィスが利用不可能となった際の代替オフィスはどこにするのか

対応にかかるコストを想定しつつ、これらの項目に関して計画を立てていきましょう。また、二次災害や三次災害など、過去に事例がない大きな被害を想定し、どうしても被害を食い止めたい箇所を明確にしておくことも重要です。

ステップ4 社員への周知

コンチプランを策定したら、全社員に周知をしマニュアルを共有します。社員を守るには、一人ひとりの危機意識の向上が大切です。コンチプランを共有すれば、全社員が緊急時の対応について知ることができます。

金融やIT企業など情報セキュリティを扱う業種は、情報セキュリティに係わる管理者に役割を担ってもらうため、しっかり理解するまで研修を実施しましょう。

ステップ5 訓練・改善

コンチプランを策定したら、定期的に訓練を行い、事前に問題点を洗い出し改善していきます。あらゆるリスクを想定して見直すことで有効なコンチプランを策定可能です。

いざ緊急事態となった際に「どうしよう」とならないために、本格的にシミュレーションをして訓練を実施することが大切です。金融やIT企業はサイバー攻撃を想定した訓練をするとよいでしょう。問題点の改善後も十分に訓練を行えば、より効果的なコンチプランを策定することができます。

  • コンチプランの策定方法

    コンチプランを策定したら、従業員へ周知し訓練をおこないましょう

コンチプランの企業事例

コンチプランを策定するにあたっては、導入済みの企業の事例を参考にするとよりスムーズとなります。以下にいくつかご紹介します。

野村総合研究所

野村総合研究所は資産運用など情報セキュリティを取り扱っており、情報漏えいなどのリスク対策としてコンチプランを策定しています。緊急事態発生時には緊急対策本部を設置して、システム障害やセキュリティ障害に対応する体制を整備。正社員はもちろん、契約社員も対象に「安否確認システム」で電子メールや電話を使用して安否確認を行うなど災害発生時の訓練も定期的に実施しています。

コンチプランをまとめた「コンティンジェンシーハンドブック」をグループ全社員に配布して情報を共有するなど、緊急事態発生時における行動指針が徹底されています。

日本取引所グループ

日本取引所グループでは、東証市場における売買やデリバティブ市場における取り引きなど、システムや外部インフラに障害が発生した場合の対応策としてBCPとともにコンチプランを策定しています。

株取引は主にシステムを介して行われるため、自然災害に伴う社会インフラ障害などを想定したコンチプランを策定。それぞれのケースに対する考え方などを記載し、定期的に改正もしています。

コンチプラン策定時の注意点

コンチプランの策定には時間がかかるものです。金融やIT業界、社会インフラ業界など業種ごとに想定されるリスクも異なります。万が一を考えるばかりに計画立案が進まないときは、現状で運用してみてから問題点を洗い出してもいいでしょう。

話し合うよりも、実際のインシデントを想定したシミュレーションをすることで、改善点を見つけやすいメリットがあります。

  • コンチプランの企業事例

    コンチプランは定期的な見直しが大切です

コンチプランとBCPを策定してリスクに備えよう

コンチプランとは英語の「Contingency plan」からきている言葉です。日本では金融やIT業界、社会インフラ業界で使われており、あらゆるリスクに備えて対応するために策定されています。同じような意味を持つBCPとは役割が異なるため、コンチプランを策定する意味を理解し、事業にあったものをつくることが肝要です。

有事は起きないことが望ましいですが、近年日本は地震や水害など大きな災害が頻発していることもあり、コンチプランが求められています。この記事で紹介した企業事例や策定方法を参考にして、事業に応じたコンチプランの策定を検討してください。