BCM/BCP (事業継続) とは？不測の事態に強い会社を作るIT試験の攻略法

3行まとめ

• BCP（事業継続計画）: 災害、システム障害、パンデミックなど予期せぬ事態が発生した際に、中核事業を中断させず、または中断しても許容できる時間内に復旧させるための具体的な「計画」です。これは、単なるITシステムの復旧だけでなく、業務プロセス、人員、設備、サプライチェーンまで含んだ包括的な視点が必要となります。
• BCM（事業継続管理）: BCPを一度策定して終わりにするのではな��、定期的な訓練、見直し、改善を通じて、その有効性を継続的に維持・向上させていくための「プロセス全体」を指します。PDCAサイクルを回しながら、常に変化する環境やリスクに対応できるよう組織全体で管理していくことが重要です。
• 試験のポイント: ITシステムのバックアップや冗長化といった技術的な対策はもちろん重要ですが、試験では、緊急時の要員の確保、代替拠点の選定、協力会社との連携、さらには顧客への情報提供など、「事業全体」の視点から事業継続をどのように実現するかが問われます。ITはあくまで事業継続を支えるツールの一つという認識が求められます。

シラバス上の位置付け

BCMとBCPは、ITパスポートや基本情報技術者試験において、企業の経営戦略とITサービス運用の両面から出題される重要なテーマです。 「マネジメント系 / サービスマネジメント / サー��ス運用 / BCM」では、ITサービスが継続して提供されるための運用管理の側面から、BCMのフレームワークや活動内容が問われます。ITサービスが停止した場合にビジネスに与える影響を最小限に抑えるための計画と管理が焦点となります。 「ストラテジ系 / 企業活動 / システム監査 / BCP」では、企業全体のリスク管理の一環として、BCPの策定プロセスや監査の視点が問われます。システム障害だけでなく、地震や火災、テロといった広範なリスクに対して、企業がどのように事業を継続していくかという経営戦略的な側面が強調されます。

出題キーワード

• BCP (Business Continuity Plan): 事業継続計画のことです。災害やシステム障害、感染症の流行といった緊急事態が発生した際に、企業が重要業務を中断させずに継続したり、万一中断した場合でも目標とする時間内に復旧さ���るための具体的な手順や体制を定めた計画書を指します。なぜ重要かというと、予期せぬ事態で事業が停止すると、売上機会の損失だけでなく、顧客からの信頼失墜やブランドイメージの低下、さらには法的責任に問われるリスクもあるためです。試験では、BCPの目的や策定プロセス、その内容について問われることが多いです。
• BCM (Business Continuity Management): 事業継続管理のことです。BCPを策定して終わりにするのではなく、継続的に改善していくためのマネジメントサイクル全体を指します。具体的には、リスク分析、BCPの策定、従業員への教育・訓練、そして定期的な見直しと改善といったPDCAサイクルを回す活動が含まれます。なぜ重要かというと、環境の変化や新たなリスクの出現に対応し、BCPを常に最新かつ有効な状態に保つ必要があるからです。試験では、BCMがPDCAサイクルの一環としてどのように機能するか、その��ロセス全体が問われます。
• RTO (Recovery Time Objective): 目標復旧時間のことです。災害や障害発生後、いつまでにシステムやサービスを復旧させるかという時間的な目標値を指します。例えば、「ECサイトはシステム障害発生から2時間以内に復旧させる」といった具体的な時間です。なぜ重要かというと、この目標値によって、導入すべきバックアップシステムや冗長化のレベル、復旧手順などが具体的に決まるため、ビジネスへの影響を最小限に抑えるための重要な指標となるからです。試験では、RTOの定義や、ビジネスへの影響度に応じたRTO設定の考え方などが問われます。
• RPO (Recovery Point Objective): 目標復旧時点のことです。災害や障害発生後、どの時点のデータまで復旧させるかという目標値を指します。例えば、「直前1時間前までのデータは必ず復旧させる」といった、許容できるデータ損失の最大値を意味します。なぜ重要かというと、RPOによってバックアップの頻度やデータレプリケーション（複製）の方法が決まり、データ損失による業務への影響度を管理できるからです。試験では、RPOの定義、RTOとの違い、バックアップ戦略との関連性などが問われます。

試験での出題ポイント

試験では、BCPの「目的」や、BCMの「プロセス（PDCA）」、そして復旧の指標であるRTO/RPOの定義が頻出します。これらの概念が、実際のビジネスシーンでどのように活用されるかを理解することが重要です。

1. 事業影響度分析 (BIA): 災害や障害が発生した際に、どの業務が停止すると企業に最も大きな影響を与えるかを評価するプロセスです。具体的には、業務停止による売上損失、顧客への影響、法的責任、ブランドイメージの毀損などを分析し、復旧すべき業務の優先順位を決定します。なぜこれが重要かというと、限られたリソースの中で、最も重要な業務から優先的に復旧させるための根拠となるからです。試験では、BCP策定の最初のステップとして、その目的や分析内容が問われることが多く、実務では経営層を含めた関係者で合意形成し、リソース配分の基準とします。
2. RTO (Recovery Time Objective): 目標復旧時間のことです。システムやサービスが停止した場合に、いつまでに業務を再開させるか、どの程度まで機能を回復させるかという時間的な目標を指します。例えば、オンラインサービスであれば「1時間以内」、社内システムであれば「1日以内」など、業務の重要性に応じて設定されます。なぜこれが重要かというと、復旧が遅れることで生じるビジネスへの損失（売上減少、顧客離れ、信用失墜など）を最小限に抑えるための具体的��目標となるからです。試験では、RTOの定義だけでなく、具体的なシナリオにおいて適切なRTOを設定できるか、またRPOとの関連性も問われます。実務では、このRTOに基づいて、IT部門が具体的な復旧手順や技術的な対策（冗長化、バックアップシステムなど）を選定します。
3. RPO (Recovery Point Objective): 目標復旧時点のことです。災害や障害によってデータが失われた場合、どの時点のデータまで戻せることを許容するかという、データ損失の最大許容範囲を指します。例えば、「直前1時間前までのデータは確実に復旧させる」という目標であれば、1時間分のデータ損失は許容されることになります。なぜこれが重要かというと、RPOによってバックアップの頻度やデータ複製（レプリケーション）の方法が決まり、データ損失による業務への影響度と、それに要するコストのバランスを取ることができるからです。試験では、RPOの定義や、RTOとの違い、そしてバックアップ戦略との関連性が問われます。実務では、データベースのトランザクションログ、差分バックアップ、増分バックアップなど、具体的なデータ保護技術の選択に直結する重要な指標です。

【AIハック】生成AIで最速暗記

BCPを自分ごとに置き換えてAIに問いかけると、重要性がよく理解できます。単に用語を覚えるだけでなく、具体的な状況を想定することで、知識がより深く定着します。

プロンプト例:

「あなたがECサイトを運営しているとします。地震でデータセンターが壊れた場合、注文を止めないための最低限のBCP案を3つ、ITパスポートの用語（バックアップ、代替拠点など）を使って提案してください。」

AIが具体的なシナリオを提示してくれるため、単なる暗記ではなく「対策の論理」として定着します。これにより、試験で応用問題が出題された際にも、論理的に思考し、適切な回答を導き出��力が養われます。

まとめ：事業を「止めない」準備

BCM/BCPは、単なるマニュアル作成やITシステムのバックアップに留まらない、企業全体の生存戦略そのものです。予期せぬ事態が発生した際に、「動ける人」（緊急時の体制や役割分担）と「動くシステム」（ITインフラの復旧、代替手段）を事前に準備しておくことで、ビジネスの中断を最小限に抑え、顧客や社会からの信頼を守ることができます。 RTO/RPOといった具体的な数値目標を意識することは、試験突破のためだけでなく、実務において具体的な対策を検討し、事業継続性の高い組織を構築するために不可欠な知識です。IT初学者の方も、この機会にBCM/BCPが企業経営にとってどれほど重要であるかを理解し、現場で役立つ知識としてマスターしましょう。これは、あなたのキャリアアップにも繋がる重要なスキルとなるはずです。

【この知識をさらに活かすハブガイド】 ITパスポート完全攻略ガイド — BCP・ストラテジ系を含む全分野の学習ロードマップ