執筆者:藤 俊満氏(IT&リスクマネジメントコンサルタント)
※所属・肩書は掲載当時のものです。
①業務の棚卸し
まず、やらなければならないことは、皆様の会社にどのような業務があるのかを棚下ろしすることです。組織図や職務分掌から、どのような業務があるのか棚卸しできるのではないかと思います。ここで重要なことは、業務の重要度と業務間のつながりを明確にしておくことです。
②脅威のリストアップ
次にやらなければならないことは業務の妨げになる脅威をリストアップすることです。
脅威には大地震や津波のような自然災害もあれば、発電所のようなライフラインでの事故、新型インフルのような病気の蔓延(パンデミックと呼びます)による要員不足。また他国から攻撃を受けるというような脅威も考えられます。今回の大震災では、2つの自然災害とライフラインの事故、それに放射能の拡散という多重の脅威が発生しており、脅威は連鎖するケースがあることを認識しなければなりません。
③影響度分析
業務と脅威のリストアップが済んだら、業務を横軸、脅威を縦軸とした2次元の表を作成して影響度分析を行います。この場合、脅威は発生場所と大きさ別に設定します。
それぞれの升目には当該業務に脅威が発生した場合の影響度を、例えば5段階で、1段階は影響なしで5段階は業務遂行不可のように記入します。
④対策の実施
影響度分析において重要な業務で大きな影響があると判断されたものから優先度をつけて対応計画を策定して実施していきます。今回の大震災では原発を含め10メートル以下の津波を想定して対策が作られていて、それ以上を想定していなかったことが被害を大きくしたと言われています。防波堤他の高さには限界がありますので、想定を超えた場合の対策を検討しておくことが必要だったのではないかと思います。
⑤事業継続計画策定と予行演習
完全な対策を実施するのは現実的には不可能ですので、対策できない部分については、脅威の発生シナリオをいくつか策定して、その対応方法を文書化して事業継続計画としてまとめます。
計画書は作成したら終わりではなく、定期的に予行演習して不備を改善して実効性を高めていくことが必要です。
皆様の事業継続計画の策定・見直しの一助になれば幸いです。
2011/04/14 発行 IPOかわら版【第8号】掲載