リスクマネジメントの専門知識・事例を学ぶ

BCMS の導入及び運用（組織の理解－１．事業インパクト分析）
前回はBCMS プロジェクトを導入するにあたり必要とされる構築ステップについて説明しました。今回は、実際にBCMS を導入し運用するにあたり、最初のかつ重要なステップである、「組織の理解」の目的と「事業インパクト分析」について、主要なポイントをおさえたいと思います。

1. 「組織の理解」の目的(4.1)
「組織の理解」における目的は以下のとおりです。

2. 「事業インパクト分析」 (4.1.1.1)
事業継続マネジメント（BCM）は、従来のリスクマネジメントように全般的なすべてのリスクを対象とするよりも、事業継続のための重要な活動に対する影響とその時間的推移を特に意識しています。このため、組織に対し以下を要求しています。

3. 「事業インパクト分析」と「事業インパクト分析」のために行うべき事項(4.1.1.2)
「事業インパクト分析(Business Impact Analysis, BIA)で行うべき事項は次のとおりです。

それぞれの内容について次のとおり説明します。

(1) BCMS の適用範囲及び目的の決定（前回コラム「事業継続マネジメント③」参照）
事業継続協会（BCI、本部英国）の「事業継続マネジメント（BCM）実践ガイドライン（A Management Guide to Implementing Global Good Practice in Business Continuity Management, 2008）（GPG）」では、戦略レベルでの事業インパクト分析（BIA）の実施は、適用範囲内に含まれる「製品及びサービス」の決定に役立つとしています。
M&A や事業統合などの戦略判断は、取締役会など上位の経営マネジメントにより実施されることがあります。
適用範囲及び目的の決定においては、何が事業継続の対象として保護されるべき「製品及びサービス」（主要な製品及びサービス）で、何が保護されない（主要でない）のかを明確にする必要があります。

(2) 主要な「製品及びサービス」をサポートする「活動」
GPG では、サポートする「活動」として、業務機能（カスタマーサービス、販売、生産）、支援機能（IT、人事、公益事業などの外部支援サービス）、戦略活動（管理、プロジェクト、計画）を例示しています。たとえば、インターネットを通じたネット通販事業者で特に顧客満足度などが事業を左右する組織においては、主要な「製品及びサービス」をサポートする「活動」として、コールセンターなどの業務機能、コールセンターを支える通信基盤、応答記録システム等のIT や通信などの支援機能、品質管理・サポートログ管理等の戦略活動を特定することが考えられます。

(3) 上記「活動」の中断（混乱）によって生じる影響の特定
例えば、コールセンターの通信及びシステムがダウンした場合の事業への影響（機会損失○○億円等）を特定します。

(4) 当該影響が時間の経過とともにどのように変化するかの判断
時間軸として、たとえば中断（混乱）が発生してから復旧するまでの時間的推移のみならず、中断（混乱）がいつ発生するか、復旧後どの程度でどの程度受けた影響から回復できるか等、時間と影響を複眼的に検討する必要があります。また、影響も有形的なものだけではなく無形的なもの（ブランドやレピュテーションなど）についても判断する必要があります。

例： 中断（混乱）が発生してからの時間的推移
・ 中断（混乱）が発生してから中断（混乱）から復旧するまでの時間的推移とこれによる売上損失金額、
・ 中断（混乱）に関するマスコミやメディアによる報道拡大と、これにより被ったブランド価値喪失や風評被害による損失金額と時間的推移による変動、
・ 中断（混乱）収束後、ブランド価値が中断（混乱）前のレベルに復旧するまでの時間的推移とそれまでの累計損失等。

(5) 「最大許容停止時間（maximum tolerable period of disruption, MTPD）」の設定
たとえば、BCMS の適用範囲及び目的に従い、BIA の結果得られた時間的推移とこれに伴う影響判断の結果、ネット通販事業の最大許容停止時間(MTPD)を○時間と定めます。

(6) 復旧すべき「活動」を優先順位に応じて分類
顧客への対応窓口となるコールセンター機能を第一位に、続いて販売管理や流通機能を第二位に、そして給与や勤怠等業務系を第三位にするなど、活動分類と優先順位付を行います。

(7) 上記分類に基づく「重要な活動」の特定
例えばIT、カスタマーサポート対応要員、カスタマーサポート応答記録システム、コールセンターのサイト等、コールセンター機能をサポートする「重要な活動」を特定します。

(8) 「重要な活動」に関連するすべての依存関係（供給者及び外部委託先を含む）の特定
冗長性をとらずにひとつの通信回線に依存したり、特定メーカーの特殊部品に依存していたり、コールセンター拠点が一箇所のみである等、内包する脆弱性や依存性を分析し特定します。

(9) 「重要な活動」が依存している供給者及び外部委託先が提供する「製品及びサービス」に対する、彼らのBCM の取り組みの明確化
実務的には、供給者及び外部委託先選択のための選定基準を指標化します。当該委託先等のサービスレベルの約定、当該委託先等におけるBCM 対応状況や演習等実績の文書による提出などが含まれます。
BS25999-2 への適合性評価や取得状況の確認も実務的には必要となってくると思われます。

(10) 「最大許容停止時間」内での重要な活動の再開における「目標復旧時間（recovery time objectives, RTO）」の設定
「最大許容停止時間(MTPD)」とは、組織の存続が決定的に脅かされることになるまでの時間です。（2.27)
従って、「目標復旧時間（RTO）」を、MTPD の範囲内で、競合他社との優位性、法令等への適合、ステークホルダーの期待その他様々な要因を勘案の上、決定する必要があります。

(11) 各「重要な活動」の再開に必要な「経営資源」の評価
「重要な活動」を再開（復旧）するために必要とされる、「経営資源」を評価・分析するものであり、「経営資源」
には以下のようなものが含まれます。（BS25999-1 6.4 参照）
・ 人数、スキル、知識を含めた、スタッフ・リソース（人々）
・ 必要な作業場所及び設備（サイト）
・ サポートする技術、プラント、装置（技術）
・ 活動が正常に機能し続けられる十分に最新で正確な情報（電子や印刷媒体）、又は仕掛品についての情報（情報）
・ 外部サービス及び供給者（供給者）

事業インパクト分析(BIA)は、BCM の核の概念でもあるため、ワークショップ、アンケート、面談等複数の手法を通じて、隠れた慣習、プロセス、依存性等を顕在化させ事実を正しく把握した上で実施することが、実効あるBIA 並びにその後のリスクアセスメントにつながっていきます。
なお、補足として、BIA においては、「最大許容停止時間（MTPD）」のほか、復旧時に活動を実施できるように、どの時点まで情報を復元しなければならないかを定めた「目標復旧時点（Recovery Point Objectives）」が設定される場合があります。MTPD,RTO,RPO の用語と概念をきちんと理解して、BIA を進めることが実務において肝要となります。
次回は、BCMS の導入及び運用（組織の理解－リスクアセスメント）について説明します。

『月刊ＩＳＯマネジメント』（日刊工業新聞出版社刊）／RMCAリレー連載⑪「企業経営を強化する実践リスクマネジメント講座」／2010年4月号掲載

執筆者：前田　泉（まえだ　いずみ）
　シニアリスクコンサルタント®
　日本ﾘｽｸﾏﾈｼﾞｬｰ&ｺﾝｻﾙﾀﾝﾄ協会　理事
　事業継続協会（BCI日本支部）　理事　事務局長
　URL:http://thebci.jp/
　電子ﾒｰﾙ：imaeda@thebci.jp
　BCM-RM研修コース講師