Select Language : English 日本語

NTTコミュニケーションズ

法人のお客さま: English / 日本語
個人のお客さま: English / 日本語

NTT Ltd.

グローバルサイト English

お客さまの課題解決のヒントをお届けするデジタルマガジンICT Business Online

メルマガ登録

BIA(ビジネスインパクト分析)はBCPに必須!その手順と活用方法とは?

印刷

BCP(事業継続計画)では災害時に優先させる業務を選定することが重要です。その際、有力な指針となるのがBIA(Business Impact Analysis=ビジネスインパクト分析)です。これは、災害などで業務やシステムが停止した場合の影響度を評価するための分析で、BCP策定にあたり必ず実行しなくてはならない要素です。今回はBIA実施の目的と必要性、分析の手順と重要なポイント、実際のBCPに活かす方法などを紹介します。

BIAは“使えるBCP”とするための分析

BIAとは災害による被害について分析する「ビジネスインパクト分析」のことです。BCPを策定するには業務を詳しく分析することが極めて重要です。そのためには災害時に最優先して守るべき業務が何かを正しく選定し、優先順位をつける必要があります。BIAはその優先順位を決める基準や具体的な指針となります。業務やシステムが停止した場合に事業に与える影響度を評価するために行うもので、具体的で実用性のあるBCPを策定する際、必ず実行しておきたい分析です。

環境と業務を分析することで具体化する課題と対策

では、BIAはどのような手順で進めていったらよいのかを確認してみましょう。

1.リスクの洗い出しと優先順位の決定

最初に行う内容は、自社に対して考えられるあらゆるリスクの洗い出しです。その上で自社の優先業務が何であるのか明確にし、その業務の遂行に最低限必要なリソースを洗い出します。ここでは自社の業務についていくつかの基準で総合的に点数をつけ、優先順位を決めます。

優先順を決めるための基準には、消費者や取引先への影響度、社会的信用への影響度なども考慮します。災害時にはこのようにして決めた優先順位に従って順に対処していくことになります。

また、優先順位には「最大許容停止時間(MTPD、Maximum Tolerable Period of Disruption)」も関わっています。業務やサービスを復旧させるにはある程度の時間が必要になりますが、いつまでも業務が再開できないと組織の存続が不可能になります。業務が停止していても組織を保てる最終リミットが最大許容停止時間です。この最大許容停止時間が短く、求められる業務の難易度が高いものが優先業務になります。

次に、「目標復旧時間(RTO、Recovery Time Objective)」の算出を行います。これは復旧に要する時間の目標値で、最大許容停止時間よりも短い時間に設定します。目標復旧時間は優先業務に関わる取引先の要請や、優先業務が停止していることで起きる経済的損失にどのくらいの時間なら耐えられるかなどの要素を考慮して算出しましょう。

このように、緊急時には「時間」が大きなファクターとなることを踏まえ、現実に即した時間の設定を行うことがBIAをBCPで活用するための重要なポイントです。

主な用語 説明
BCP(Business Continuity Plan、事業継続計画) 災害や事故などの緊急事態において、重要な事業の継続あるいは早期復旧を可能にするために必要な手続きを記した計画。緊急事態で実行に移す事柄やその手順、平常時に行う活動などの情報を整理し文書化したもの。
BCM(Business Continuity Management、事業継続マネジメント)* BCPを策定し、訓練や見直しなどを重ねて継続的に運用し組織に浸透させて活用していく一連のマネジメント、管理全般のプロセス。
BCMS(Business Continuity Management System、事業継続管理システム)* BCPを継続的に維持し改善するBCMを行うための経営手法。
IMP(Incident Management Plan、インシデントマネジメント計画)* インシデント(事業中断、災害のきざしとなる事柄)が発生した時に取るべき初動対応の行動計画。安否確認や防災対策に加え、被害による事業影響の評価やメディア対応、BCPの発動までを含む。BCPの一部として制定される場合も。
BIA(Business Impact Analysis、事業インパクト分析) 災害などで業務やシステムが停止した場合の影響度を評価するための分析。特定の事業について業務のプロセスや必要な経営資源を特定し、これらの中断が事業に及ぼす影響の分析を行う。この分析結果に基づきBCPが策定される。
  MTPD(Maximum Tolerable Period of Disruption、最大許容停止時間) 事業が中断してから、最大限に許容できる業務中断の最長時間を表す指標。これを超えると事業の存続が不可能になる最大限の時間。
  RTO(Recovery Time Objective、目標復旧時間) 災害などで事業が中断した場合に、いつまでに復旧させるかを示した目標の時間を表す指標。BCPはこの時間内に復旧させることを目指して策定される。
  RLO(Recovery Level Objective、目標復旧レベル)* 災害などで事業が中断した場合に、目標復旧時間(RTO)内に、どの程度まで復旧させるかという目標となる水準。
  RPO(Recovery Point Objective、目標復旧地点)* 災害などで事業が中断した場合に、どの時点のデータを復旧させるかという指針。RPOが1時間ならデータ破損から1時間前のデータを復旧する必要がある。

*のついた用語は直接記事内で記載してはいませんが、BCP、BIAに関連性の高いものであるため合わせて記載しています。

2.必要なリソースの特定

時間軸の次は、必要なリソースの特定です。

優先させるべき業務に対して、物資、人材、情報、資金などどのようなリソースが必要となるのか徹底的に洗い出します。この場合、製造業であれば製品を製造するのに必要な原材料や機器は何か、従業員は何名必要か、使える物流手段は何か、などのリソースを検証していきます。あるいは、地域の中核病院であれば、災害直後の傷病者受け入れ体制構築が優先業務に挙がるでしょう。その場合、トリアージ、外来、病棟、検査、手術の各セクションでどの職務が何名必要か、検査や処置に最低限必要な医療機器や消耗品は何か、患者の搬送や物流確保など輸送手段はどうするか、などの事項が検証材料として考えられます。

ここでポイントとなるのは、自社の業務自体に存在するリスクと、周囲の環境からもたらされるリスクの両方に注意を払うことです。

業務自体のリスクは自社の従業員や取引先、システムやセキュリティに関する脅威のことです。これらのリスクについては緊急時の代替手段を検討しておくことが必須です。

例えば、仕入れ先の被災に備えて代替仕入れ先を確保しておくなどの対策が考えられます。また、代替手段を取りづらいリスクについては復旧の手順を重点的に考えておく必要があります。情報やシステム関連ではクラウドサービスの普及により、現代では代替手段の見通しが立てやすくなりました。保存データの喪失に備えるために遠隔地の複数サーバーにバックアップを行いながら運用したい場合も、クラウドサービスなら自然災害のリスクが少ない国内外の安全な場所にある信頼性の高いデータセンターを使うことができます。従業員が半数しか出勤できないような事態に対応するには、事前にリモートワーク環境を整備しておくことが極めて有効であると考えられます。リモートワーク環境が整備されていれば、オフィスが被災した場合でも、自宅や避難先からクラウド上の業務システムに安全にアクセスすることが可能になり、業務を継続できるのです。

もう一つの環境リスク分析では、企業の業務そのものではなく、水害や落雷、地震などの自然災害で自社設備が倒壊したり、電気やガス、水道などの社会インフラが被害にあい、必要なライフラインがストップしたりする周囲の脅威が検討対象です。建物の耐震性や防火設備、非常用電源の状況、地形や自治体のハザードマップなどを確認し、災害で起こりうる状況が業務にどのような影響を与えるのかを分析します。たとえば、医療機関で停電が想定される場合は、電力が必要な医療機器を使用している患者の生命に関わりますから、非常用電源や自家発電の確保を検討する必要があります。

被害リスクを分析して災害時に対応できる効果的なBCPに

効果的なBIAを行うためには「評価軸」と「時間軸」という2つの基準に照らし合わせて、被害のリスク分析を正確に行うことが大きなポイントです。

評価軸

BIAでは業務の価値を複数の基準で多面的に評価して優先順位をつけることになります。この基準は大きく3方向の視点に分けることができます。

まずは、顧客や取引先、従業員や株主などのステークホルダー(利害関係者)に与える影響です。その企業に関わる組織や人々が業務停止によって具体的にどのような影響を受けるのか考えます。

次に企業自体が受ける影響です。資金繰りや決済など財務的な影響や法律上起きる問題など、法人としての企業や団体そのものが受ける影響は何かという視点でも考える必要があります。

もう一つは企業のブランド価値に与える影響、社会的立場や社会的責任に与える影響です。業務停止で失う企業の信用や、社会全体に影響を与える可能性はどのくらいか、などの要素を検討します。自社が電気、水道など生活インフラに関わる業務であった場合や取引先が医療機関である場合は社会への影響は極めて大きくなります。また、競合他社が少ない場合も社会への影響は大きくなります。

時間軸

また、BIAでは、前述の企業が業務停止状態を許容できる「最大許容停止時間」と、業務を復旧する目安になる「目標復旧時間」、この2つの時間軸も非常に重要です。

目標復旧時間の設定には、納期が遅れた場合の損害の程度や顧客が離れるまでの時間など、評価軸におけるステークホルダーへの影響が特に大きく関わります。時間軸を評価軸と照らし合わせながら分析を進めることが大切です。BIAの最大の鍵はこの「時間軸」を設定し、BCPで正しく活用することにあります。

業務に関する複数の要素を検証するBIAはそれなりに時間とコストのかかる作業です。中には、BIAを行わず目標復旧時間を他社の事例や過去のデータで設定すれば良いと考えるBCP担当者がいるかもしれませんが、それでは現在の取引先の状況や自社の財務状況を踏まえていないため、適切なBCPの策定ができません。

仮にBIAを行う前にBCPを策定し、一般的なデータから「中核業務(企業の主要事業)が24時間停止」と想定したとしましょう。その後に実施したBIAで最大許容停止時間が「16時間」と判明した場合、BCPの計画内容に矛盾があることになります。この場合、被害想定を見直して計画を修正する必要が生じることになり、その分余分な時間とコストがかかってしまいます。

まずBIAを実施し、その結果算出された目標復旧時間に従って実効性のある計画を組むのが最も無駄のない手順です。

BIAを行う最大のメリットは、災害も「ビジネスで起きうる事象の一部である」という冷静な視点でとらえなおし、災害そのものではなく、ビジネス面に的を絞って考えられることです。災害を細部に分けて分析し再定義できるBIAは、BCPを策定する前に必ず実施すべきプロセスだといえます。

関連サービス