マルチハザードBCPにおける事業影響度分析の意義を考える(写真:写真AC)

■事業影響度分析はどこまで必要か?

BCPやBCMに本格的に取り組もうとする時、避けては通れない(実際は避けて通る人の方が多いのですが)要件に「事業影響度分析(BIA:Business Impact Analysis)」があります。事業継続ガイドライン第3版ではその意義と目的について次のように述べています。

何らかのインシデントにより自社の施設が大きな被害を受けたり、重要な事業のサプライチェーンが途絶したりすれば、平常時に実施している全ての事業・業務を継続することは困難となり、重要な事業に必要不可欠な業務から優先順位を付けて継続または早期復旧することが求められる。そこで、事業影響度分析を行うことにより、企業・組織として優先的に継続または早期復旧を必要とする重要業務を慎重に選び、当該業務をいつまでに復旧させるかの目標復旧時間等(RTO)を検討するとともに、それを実現するために必要な経営資源を特定する必要がある(一部、筆者加筆修正)。


つまり災害で事業が中断した際に、主要な製品やサービスを提供し続けるためには、どの業務をいつまでに開始すればよいのか、その目標復旧時間(RTO)を割り出すのがBIAです。

事業継続の世界では、BCPやBCMの中身に一歩踏み込んだ内容になると、例外なくBIAのことが書かれています。果たしてBIAはすべての中小企業にとって必須要件なのか、そしてマルチハザード対応のBCPを考える際にもBIAは必要なのか、今回はこれをテーマに考えてみましょう。