| Vol.4 |
|
|
< その2 >
リスクを的確に抽出・分析し、
対応策を日常業務の中に埋め込む
|
|
 自社が抱えるリスクの適切な抽出・分析は事業継続管理の実践の出発点である。分析のキーとなるのが、各リスクの「発生確率」と「被害の大きさ」だ。そして、リスクへの対応策をより確実に実施可能とするポイントは、「危機状態では、普段行っていることしかできない、と認識すること」と奈良先端科学技術大学院大学の山口英氏は強調する。リスク分析の標準的な手法と共に、対応策を実施可能とするための方法について山口氏に尋ねた。
|
|
-事業継続管理を実践していくうえでのポイントは何でしょうか。 |
山口 |
最初にリスク分析を的確に行います。リスクに関する情報を集めて分析するという基本的な作業ですが、できていない企業は数多く見受けられます。 |
-リスク分析は具体的にどう進めればよいのでしょうか。 |
山口 |
リスクには地震や水害などの自然災害をはじめ、人的なものや社会的なものなども含め、さまざまな種類があります。最初に自社の事業に応じて、リスクをリストアップします。政府や研究機関が想定リスクの一覧を公開しているので、参考にするとよいでしょう。対応すべきリスクの順番(プライオリティ)付けには、「発生確率P」に「予想される被害の大きさC」を掛けた値を重み付けに活用するといった方法があります。
リストアップしたリスクは、外的/内的と日常/非日常のマトリクスで分類します。リスクの数が多すぎれば、まずはプライオリティの高いリスクから順に、マトリクスの各領域に手始めにそれぞれ2項目程度書き出すように絞ると、混乱しにくくなるでしょう。 |
-抽出・分類したリスクへの対応はどのように整理していくのでしょうか。 |
山口 |
Pを縦軸、Cを横軸とするチャートを用意し、各リスクをマッピングしていきます。PもCも大きいリスクは、発生しても「回避」できる対策を考えます。例えば、豪雨による河川の氾濫に対しては堤防のかさ上げやバイパス工事などで「回避」します。Pが大きくCが小さいリスクは「予防」します。コンピュータセキュリティなどは、これに相当するケースが多いでしょう。Pが小さくCが大きいリスクは「転嫁」します。具体的には、保険に加入したり、価格にリスク分を上乗せしたりする対策がこれに分類されます。PもCも小さいリスクは「受容」し、発生後の対応策を事前に用意しておきます。
これらの分析方法は、保険業界や情報セキュリティ分野でも使われているスタンダードな手法です。ステークホルダーを一堂に集め、同手法を用いつつ議論すれば、最初の合意形成が得られるでしょう。 |
 ページトップへ
危機状態での対応策を実施可能とする組織や体制を整備
|
|
-危機状態に陥った時、用意した対応策を実際どこまで実施できるかは大切ですよね。 |
山口 |
はい。重要なのは「危機状態では、普段行っていることしかできない」と認識することです。普段行っていること以上の対応策をいくら設けても、いざ危機状態を迎えた際はほぼすべて実施できません。 |
-では、どのように対応策を用意すればよいのでしょうか。 |
山口 |
対応すると決めたリスクについて、経営資源の観点、業務フローの観点からよく考えた対応方針と具体的手順を設計します。そして、重要なのはそれらへの対応策を、日常業務の中に埋め込んでおくことです。普段のオペレーションに含まれている作業なら、危機状態でも実施できるものです。
訓練の度合いによって危機が生じたときの対応力は大きく影響されますので、日常業務に埋め込められない対応策は、研修や訓練などを重ねて、危機状態での実施力を高めていきます。このようにリスクの抽出・分析やBCP策定だけでなく、その実施基盤となる組織や体制の整備は不可欠です。 |
ページトップへ
 山口 英 氏
奈良先端科学技術大学院大学 情報科学研究科 教授
大阪大学情報処理教育センター助手、奈良先端科学技術大学院大学情報科学センター助教授、奈良先端科学技術大学院大学情報科学研究科助教授等を経て、2000年より奈良先端科学技術大学院大学情報科学研究科教授に就任。2004年4月より初代内閣官房情報セキュリティセンター(NISC)情報セキュリティ補佐官、2006年4月より内閣官房電子政府推進管理補佐官を兼務。 |
|
