BCP(事業継続計画)とは|ITパスポート試験の頻出ポイント
BCP(事業継続計画)の目的・BCM との違い・RTO/RPO の意味から、ITパスポート試験での出題傾向まで初心者向けに解説します。
BCPとは(一言で)
BCP(事業継続計画)とは、災害・サイバー攻撃・パンデミックなどの危機が発生しても、事業を継続・早期復旧させるための計画です。「中核事業の特定 → 復旧目標の設定 → 代替手段の準備」という流れで構築します。BCM(事業継続マネジメント)はBCPの策定にとどまらず、その運用・見直し・改善サイクル全体を含む上位概念であり、BCPとBCMの違いは試験で問われやすいポイントです。
RTO と RPO ── 必ず押さえる 2 つの指標
RTO(目標復旧時間)は「システムをいつまでに復旧させるか」を示す指標で、例えば「4時間以内に再稼働」という形で設定されます。RPO(目標復旧時点)は「どの時点のデータまで戻すか」を示す指標で、「直近1時間以内のデータは失わない」というように定義します。試験ではRTOとRPOを入れ替えた紛らわしい選択肢が頻出なので、「時間の長さ=RTO、データの新しさ=RPO」と対比して覚えておくと確実です。
ITパスポート試験での出題ポイント
ストラテジ系のリスクマネジメント領域で毎回1〜2問出題されます。BCP・BCM・RTO・RPO・コンティンジェンシープラン(緊急時対応計画)の用語識別が中心で、どれがどの概念を指すかを正確に区別できるかが問われます。災害発生時の意思決定フロー(PDCAサイクルによる継続的改善)も出題されることがあります。
過去問の典型パターン
- 「BCP の説明として最も適切なものはどれか」型
- 「RTO 4 時間と RPO 1 時間の意味する組合せは?」型
- BCP と災害復旧(DR:Disaster Recovery)の違いを問う設問
具体例で理解する
東日本大震災(2011年)以降、上場企業の大半がBCPを策定しており、経営上の必須要件として定着しています。COVID-19ではテレワーク移行が「実質的なBCP発動」となり、業種を超えてBCPの重要性が再認識されました。ランサムウェア被害からの復旧事例では、RTO・RPOの設計精度が復旧コストと時間に直結することが示されています。
関連用語
リスクアセスメントはBCP策定前のリスク洗い出し工程で、セットで学ぶと理解が深まります。内部統制・J-SOXはBCPと密接に関連しており(ストラテジ系まとめで関連問題を演習できます)、情報セキュリティポリシーとの関係では暗号化・バックアップ技術の知識も問われます(暗号化の基礎で詳説)。
学習のコツ
RTO・RPOは「数値が短いほど高コスト」という原則とセットで覚えておくと、設問の前提条件から正解を推測しやすくなります。BCM ⊃ BCP ⊃ DRという階層関係を図でイメージしておくと、類似用語の混同を防げます。経済産業省や中小企業庁のBCPガイドラインは一度目を通しておくと、出題の背景にある考え方を把握できます。
まとめ
BCPは「事業継続のための計画」、BCMは「その運用と改善」という対比を押さえれば用語問題は確実に取れます。RTOとRPOの混同さえ避ければ、ストラテジ系頻出の1問は手堅く得点できます。ストラテジ系を網羅的に演習するならストラテジ系まとめ、本番形式で確認するなら模擬試験を活用してください。