事業継続計画(BCP)規程
第1章 総則
第1条 (目的)
- 本規程は、〔会社名〕(以下「会社」という。)における自然災害、感染症、サイバー攻撃、テロその他の重大インシデントに備え、人命の安全確保、事業の継続、顧客対応、信用維持を目的として、事業継続計画(以下「BCP」という。)に関し必要な事項を定めるものである。
第2条 (適用範囲)
- 本規程は、会社の全役員及び全従業員に適用する。
- 子会社、業務委託先、派遣社員その他関係者についても、本規程の趣旨に準じて取扱う。
第3条 (想定リスク)
- 本規程において想定するリスクは次の各号のとおりとする。
- 大規模地震、津波、火山噴火
- 台風、豪雨、豪雪その他の風水害
- 新型インフルエンザ等の感染症のパンデミック
- サイバー攻撃(ランサムウェア・標的型攻撃・DDoS 等)、大規模システム障害、長時間の停電・通信途絶
- サプライチェーン障害(重要取引先・委託先の被災、利用クラウドサービスの大規模障害、物流網の寸断、半導体等部材調達の停止)
- テロ、暴動、武力攻撃事態
第2章 BCP の枠組み
第4条 (重要業務の特定)
- 会社は、事業中断による影響度評価(BIA)に基づき、優先的に継続又は復旧すべき重要業務を特定し、毎年見直すものとする。
- 重要業務ごとに、目標復旧時間(RTO)及び目標復旧レベル(RLO)を定める。
第5条 (BCP 発動基準)
- 次のいずれかに該当する場合、代表取締役は BCP の発動を判断する。
- 本社所在地で震度 6 弱以上の地震が観測されたとき
- 政府により緊急事態宣言又はそれに準ずる措置が発令されたとき
- 重要業務が 24 時間以上停止し又は停止する見込みがあるとき
- その他代表取締役が必要と認めるとき
第6条 (対策本部の設置)
- BCP 発動時には、代表取締役を本部長とする緊急対策本部を設置する。
- 対策本部は、初動対応、情報集約、意思決定、対外発信を統括する。
- 本部長が指揮を執れない場合の指揮権の継承順位は、別途定める。
第3章 初動対応
第7条 (安否確認)
- インシデント発生時、全従業員は会社が指定する安否確認システムを通じて自身及び家族の状況を速やかに報告する。
- 各部門長は、所属員の安否を取りまとめ対策本部に報告する。
第8条 (代替拠点・在宅勤務への切替)
- 本社が使用不能となった場合、別途定める代替拠点に対策本部及び重要業務を移転する。
- 通勤困難な状況においては、在宅勤務規程に基づき在宅勤務に切替える。
第9条 (関係者への連絡)
- 対策本部は、顧客、取引先、株主、従業員家族、行政機関等への連絡を、所定の連絡網及び広報チャネルにより行う。
- 対外公表は危機管理規程に定める広報窓口を通じて一本化する。
第9条の2 (サイバー攻撃発生時の特則)
- サイバー攻撃を検知した場合、対策本部は情報システム部門と連携し、被害拡大防止のため、影響を受けるシステム・端末・ネットワークを速やかに隔離する。
- 復旧優先で機器を再起動・初期化することにより、ログ・揮発性メモリ等の証拠が失われないよう、フォレンジック保全(メモリダンプ取得、ディスクイメージ取得、ログ保全)を最優先で実施する。必要に応じて社外のフォレンジック専門事業者を起用する。
- ランサムウェアの被害を受けた場合、攻撃者への身代金の支払いは原則として行わない。支払いの是非については代表取締役の決裁を要するものとし、外部専門家・捜査機関の助言を踏まえる。
- 個人データの漏えい等が伴う場合は、個人情報管理規程に基づき個人情報保護委員会への報告及び本人通知を行う。
第9条の3 (サプライチェーン障害時の特則)
- 重要取引先・委託先・クラウドサービスの障害により会社の重要業務が継続困難となった場合、対策本部は次の各号を検討・実施する。
- 代替調達先・代替サービスへの切替(事前に整備した代替先一覧による)
- 在庫・備蓄の活用、業務優先順位の組み替え
- 顧客への影響説明、納期・品質の調整
- 主要な委託先・クラウドサービスについては、平時から BCP 対応状況・代替手段を確認し、文書化しておく。
第4章 平時の運用
第10条 (訓練・教育)
- 会社は、年 1 回以上、安否確認訓練、対策本部立上げ訓練及び机上訓練を実施する。
- 全従業員に対し、BCP の概要に関する教育を年 1 回実施する。
第11条 (見直し)
- 本規程及び付属の BCP 文書は、毎年 1 回及び重大な事業環境変化が生じた都度、見直すものとする。
第12条 (所管・改廃)
- 本規程は、総務を所管する部が所管する。
- 本規程の改廃は、稟議規程に基づき決定する。
附則
本規程は、〔施行日〕から施行する。