見出し画像

#1 ビジネスインパクト分析(BIA)とは何か?

昆 正和(BCP・気候リスク管理アドバイザー, 文筆家)

日本のBIAよ、どこへ行った?

事業継続ガイドライン等を通じてBCPが正式に日本に紹介されはじめた2005年頃、私はビジネスインパクト分析(Business Impact Analysis:略してBIA、事業影響度分析とも言う)の研究に熱中していた。熱中の理由は、ビジネスインパクト分析を行うことで防災計画などにはない特徴的なBCPの指標を導くことができるからだ。

ところが、東日本大震災以降、BCPが防災的な色合いを強めるようになると、セミナーでBIAの必要性を説いても、耳を傾けてくれる企業の参加者はいなくなってしまったのである。100人中100人とも「何それ?」「防災とどういう関係があるんだ?」「そんなどうでもいいことは止めて、早くBCPの作り方を教えてくれ」とのご不満顔。

そもそもBIAについては、内閣府の事業継続ガイドラインでも1ページ半の概説にとどまっており、具体的な手順については何も書かれていないのだから仕方がない。BIAを行わなくてもBCPは作れるが、切迫した危機対応状況の中で、少しでも合理的な判断ができるようにするためには、BIAに基づく重要業務のプライオリティを設定しておくにこしたことはないのである。

BIAよ、もう一度

はっきり言えば、今の日本のビジネスインパクト分析(BIA)は廃れてしまった感がある。おそらくBCP策定企業を自負する会社でも、「BIAをやりましたか?」と尋ねれば返答に窮することだろう。こんなことになってしまったのは、ひとえにBIAの意義やメリットがまったく企業担当者に理解されていないからである。BIAがなぜ必要かは、次の3つのメリットを掲げれば十分だろう。

  1. あるインシデントによって業務プロセス全体が停止したとき、どの業務を先に立ち上げ、どの業務の復旧は後回しでよいかの合理的な判断が可能となる。

  2. 上に述べた業務の復旧優先順位に予めタイムフレームを割り当てることによって、いつまでに復旧すべきかゴールが見えやすくなる。

  3. BIAでは各業務に投入されているリソースを洗い出す。これにより、万一重要なリソースが被災しても、その特定と再調達が容易になる。このリソースが特定されていないと、がれきの山を前にして途方に暮れるしかないのだ。

海外ではどうか? 日本と異なり、海外では逆に以前よりもパワーアップしているという印象を受ける。私が研究していた2005~2013年頃よりもより実践性の高いものになっているのだ。実践性が高いとは、BCPに反映させた時、実際に意思決定やプライオリティの判断指標として役に立つということ(このあたり、事情を知っている人以外は意味不明かと思いますがご容赦ください)。

そこで、本記事ではマルチハザードBCPの普及の一環として、BIAにもう一度光を当ててみようと考えたのである。マルチハザードBCPとBIAの関係については第3回目に述べるとして、まずは、BIAの基本について見ていこう。 

ビジネスインパクト分析とは何か?

 一体、ビジネスインパクト分析とは何なのか? 一言で言えば、インシデントがお客様の重要なビジネスプロセスに及ぼす影響を特定し、評価するプロセスである。評価については、次のように、事業の停止にともなう定量的(財務的な影響)及び定性的(金額では測れない影響)な影響を評価する。

  • 売上の損失

  • 製品・サービス提供の遅れ

  • 規制による罰金

  • レピュテーションの悪化

  • 顧客の不満やクレーム

  • 営業コストの増加

  • 契約上の違約金

そしてもう一つ重要なことは、BIAには事業停止による影響の深度や広がりを時系列で評価するプロセスがあることだ。例えば電力会社の送電システム(鉄塔など)がダメージを受け、大規模な停電が発生する。復旧できないまま30分、1時間、6時間、24時間…と経過したとしよう。一般市民はもとより、工場やオフィスビルの停電の影響は時間の経過とともに深刻な事態になっていく。では、いつまで停電の状態が許容されるのか。そこから逆算して「どんなに遅くとも何時間、あるいは何日以内に復旧させなくてはならない」という、目標時間が見えてくる。ざっとこんな感じである。

BIAとリスクアセスメントとの関係

ここまでお読みいただいて、BIAとリスクアセスメントとを混同してしまった人がいるかもしれない。最後に両者の違いを述べておこう。

両者の最も大きな違いの一つは、その目的と結果のデータの使用方法にある。リスクアセスメントは、ビジネスに対する潜在的な脅威を特定・分析するプロセスであり、その事象が顕在化する可能性を評価する。一方、BIAによる評価対象は、破壊的な事象がビジネスの各要素に与える影響、およびその重大性である。

両者のもう一つの違いは、活動の範囲である。リスクアセスメントが対象とする範囲は事業全体の場合もあれば、サイバーセキュリティのように事業の特定の領域について実施することもある。一方、BIAでは、インシデントが事業、特に重要な業務機能にどのような影響を及ぼすかが問題となる。ビジネスプロセスや重要な機能は事業の種類ごとに異なるため、ビジネスへの影響評価を実施する際に採用するアプローチは一つとは限らない。組織によって異なるし、事業の性質によっても異なるのである。

次回は「ビジネスインパクト分析の基本事項」について解説します。


この記事が気に入ったらサポートをしてみませんか?