Executive Summary

• いまのBCPは対象不足が起きやすいです
• 介護は感染症と災害が中心でした
• でも停止要因はそれだけではありません
• サイバー停止は現場直撃になり得ます
• BCPをBCM視点で見直す時期です

事業を止める原因は、地震や台風、感染症だけではありません。いまは、システム障害、ランサムウェア、不正アクセス、委託先の停止など、目に見えにくいトラブルでも業務が止まる時代です。本稿では、BCPを「紙で作った計画」で終わらせず、実際に事業を続けるためのBCMとして見直す必要性を整理します。特に介護事業者では、制度対応として感染症と災害のBCPを整えてきたところが多い一方で、サイバーリスクまで視野に入れた継続体制はまだ十分とは言えません。ここを今のうちに見直しておくことが、次の混乱を小さくします。

本文

「BCPは作りました」と言えても、実際に何か起きたときに現場が動けるとは限りません。
ここで大事なのが、BCPとBCMの違いです。

BCPは、何か起きたときにどう動くかをまとめた計画です。
一方BCMは、その計画を見直し、訓練し、現場に根づかせ、実際に事業を続けられる状態を保つ考え方です。計画書があるだけでは不十分で、続けられる仕組みまで含めて考える必要があります。IPAも、BCPは計画であり、それを組織内に浸透させ活用するためにBCMが必要だと整理しています。

介護事業者のBCPが感染症と災害を中心に整備されてきたのには理由があります。厚生労働省は、介護施設・事業所向けのBCP作成支援を感染症や自然災害を前提に進めてきました。また、令和6年度介護報酬改定では、感染症または災害のBCPが未策定の場合に減算対象となる仕組みが導入されました。

ただし、経営として見ると、止まる原因はもっと広いです。
たとえば、利用者情報に関わるシステムが使えない、職員間の連絡網が止まる、請求処理が遅れる、委託先のクラウド障害で記録にアクセスできない、といった事態です。これらは災害ではなくても、現場にとっては「今日の業務が回らない」という意味で同じ重さを持ちます。経済産業省は、サイバーセキュリティを経営者の責務として位置づけ、経営判断として扱うことを求めています。

とくに介護事業は「止めにくい」事業です。
利用者の生活は待ってくれません。訪問、服薬、食事、見守り、連絡、記録、請求など、どれか一つが止まっても現場負荷が一気に上がります。だからこそ、「何が起きても、まず最低限どこまで続けるか」という発想が欠かせません。オールハザード対応とは、すべての災害に完璧対応することではなく、原因が何であっても重要業務を止めにくくする考え方です。

経営者が最初に持つべき視点はシンプルです。
「何が起きるか」より先に、「何だけは止められないか」を決めること。
この順番で考えると、感染症、災害、サイバーの対策がばらばらにならず、一つの継続体制としてつながってきます。

まとめ

• BCPは計画、BCMは続ける仕組みです
• 介護の制度対応は感染症と災害が中心です
• しかし実際の停止要因はもっと広いです
• サイバー停止も事業継続の重大リスクです
• まずは重要業務の優先順位から見直します

次の一手
自社で「絶対に止められない業務」を3つだけ書き出してみてください。

FAQ

Q1. 介護事業者は感染症と災害のBCPだけで法的には足りますか？

制度上はその対応が中心に進められてきましたが、経営として十分とは限りません。実際に業務が止まる原因にはサイバーや委託先障害もあります。

Q2. 個人事業主でもBCMは必要ですか？

必要です。規模が小さいほど、ひとつの停止が売上や信用に直結しやすいためです。

Q3. オールハザード対応は大企業向けでは？

いいえ。全部を重く作る必要はなく、重要業務・連絡・代替手段の3点から始めれば小規模でも進められます。