BCPにおけるリスクを洗い出そう！リスク分析で優先順位をつけ有事に適切な対応を

はじめに、BCPの策定においてなぜリスク分析が重要になるのか、またBCPにおけるリスク分析の際にはどのような点に注目しておく必要があるかを把握しておきましょう。

リスク分析がなぜ必要なのか

業務にふりかかるリスクで話題にのぼりやすいのは地震などの災害ですが、日常のリスクはもっと身近なところにも潜んでいます。

何らかのトラブルにより業務に支障が出るものはすべてがリスクです。小さなミスから重大な被災まで、リスクの種類も業務へ与える影響の大きさも多岐にわたります。

すべてのリスクに同じように備えることは難しいため、費用対効果を考慮しつつ、リスクごとに対処の仕方を検討し、業務全体で最適な対策を講じる必要があります。

BCPにおけるリスク分析の留意点

BCPは、自組織の事業が中断の危機に瀕した際、最も重要な業務だけは中断させない、中断したとしてもできるだけ早く復旧させるための計画です。

ですからBCPにおけるリスク分析は、「組織として最も危機的な状況とは何か？」を考える、経営の根幹にもかかわる検討です。

また、リスクの洗い出しや重要リスクの優先付けを誤ると、BCP全体としての対策も有効なものではなくなってしまいます。

重要な検討であることを理解した上で、次のような点に注意して取り組んでください。

• 担当者をひとりに任せきらず、各部署から検討する者を集める
• 事前にリスクの種類を整理して可視化し、客観的に検討しやすくする
• リスク評価に必要な基準を整理し、全体最適での判断をしやすくする

ここからは、リスクを可視化するために、組織運営にはどのようなリスクがあるかを見ていきましょう。

BCPで扱うリスクは事業に損失で影響を与えるもので、次のように区分されています。

• 自然災害
• 事故
• オペレーション
• 情報セキュリティ
• 法務
• 内部統制（不正行為）
• 人事・労務
• 労働安全衛生
• 政治的・経済的危機

自然災害リスク

日本の国土は自然災害が発生しやすい地理的条件を抱えているため、自然災害リスクとは常に隣り合わせです。

国が掲げる防災基本計画で定義されている自然災害は、地震、津波、暴風、竜巻、豪雨、地すべり、洪水、がけ崩れ、土石流、高潮、火山噴火、豪雪など。

地震や津波は発生の予測が難しい上に、ひとたび起これば被害は甚大そのもの。インフラが停止すれば中～長期的に影響を残しますし、何より従業員の命が危険にさらされることもあります。

風水害や雪害は、発生そのものを止めることはできませんし、毎年のように被害をもたらしますが、ある程度気象予報などで進路や規模が予測でき、事前避難などの対策を講じることも可能です。 

なお、当社の安否確認システム「安否コール」は、東日本大震災や熊本地震でも問題なく稼働した実績を持ちます。

パソコンだけではなく、スマートフォンからも利用可能のため緊急時でも速やかに従業員の安否状況を確認できます。

事故リスク

社会システムや産業技術の高度化、多様化、複雑化に伴い、様々な事故が発生するリスクも高くなっています。

防災基本計画で定義されている事故災害には、交通災害（海上、航空、鉄道、道路）、原子力事故災害、危険物事故災害、火災（大規模火災、林野火災）が挙げられています。

自然災害の発生と同時に起きる事故もあるため、自然災害リスクと合わせて検討すると効率がよいでしょう。

オペレーションリスク

業務を遂行する中で、良くない結果を招く行為をオペレーションリスクといいます。

例えば、誤発注や受信ミスなどの情報の伝達不良、システムへの入力不良、機械操作の不良、納品物の瑕疵など検査の不良、誤発送などの対応不良、クレーム処理のミスなどコミュニケーション不良など、業務プロセスの中で次の工程に支障が生じる行動はリスクとみなします。

情報セキュリティリスク

情報セキュリティリスクは、業務に支障が生じる情報管理の不良です。

例えば、個人情報や顧客情報などの重要データの消失、漏洩、システムダウン、コンピュータウイルスの汚染、ハッカーによるサーバー攻撃などが挙げられます。

また、専らシステム上のリスクと考えられている情報セキュリティリスクですが、実際には、多くの割合を人的な管理ミスが占めている点に留意しておきましょう。

法務リスク

法律に違反する行為も経営上のリスクになります。

例えば、製造物責任（PL）、知的財産権の侵害などは、意図していなくても法に抵触すれば訴えられてしまいます。

また、知的財産権の被侵害の場合は、逆に経営上の損害を受けてしまうでしょう。

そのほかにも、取引先へ不当に不利益を与える優越的地位の濫用や、消費者に誤解を与える景品表示法違反なども、法務リスクにあたります。

内部統制リスク（不正行為）

内部での不正行為もリスクになります。

例えば、社員の不正行為（窃盗や犯罪など）、無理な資産運用による損失、会計上の不正（架空計上や粉飾決済など）、法に抵触する行為（インサイダー、贈収賄、暴力団対策法違反など）が内部統制リスクに該当します。

人事・労務リスク

人事・労務上にもリスクは潜んでいます。

差別、不適切な人材配置、人的侵害、不法就労など雇用上の問題があると、従業員の士気が下がり、ストライキなどにもつながりかねません。

また、各種ハラスメントなどの問題も、業務に深刻な支障を与えるでしょう。

労働安全衛生リスク

労働環境の衛生面や安全面のリスクも確認しましょう。

ウイルスなどの感染症、安全管理ミスによる事故（労働災害）、過労やストレスからの健康阻害による休職などが、労働安全衛生リスクに当たります。

政治・経済リスク

組織の外で起きる事象でも経営に影響を及ぼすものが潜んでいます。

例えば、国の法律や制度が異なると、同じ行動でもリスクになる場合が生じます。

戦争、革命、テロなどの暴力的な危険は無論のこと、金利、為替、税率などの変動も経営への影響は大きくなるでしょう。

そのほか、業界の動向の変動にも注意が必要です。

競合他社の台頭や、開発した技術の陳腐化、サプライヤーなど協力企業の減少などもリスクになりえます。

BCP策定の要となり、経営戦略としても重要なリスク分析ですが、具体的にはどのように検討していくとよいのでしょうか。

ここからは、リスク分析の方法を簡単にみていきましょう。

リスクの細分化

まず行うのは、リスクの細分化です。

前節で紹介したリスクの各カテゴリーについて、例示したような具体的事象で自組織に影響をあたえるものをもれなく洗い出します。

BCPを策定する際には、カテゴリーごとにリスクを具体的にする細分化を行い、リストアップすることにより、「想定外」の事象をなくしていくことが重要なのです。

リスクのマッピング

リスクの細分化を行ったら、次はリスクをマップ上に並べて整理します。

リスクマップは、縦軸に発生の頻度（発生確率）、横軸に事業への影響度（損害規模）を置いた2軸とし、細分化したリスク事象を一つひとつ、どのあたりに該当するかを検討し、マッピングしていきます。

例えば、地震であれば発生する頻度はそれほど多くないが、影響（損害）は大きい、といった形です。

優先的に検討するリスクの選定

自組織に影響を与えるリスクをすべてマッピングしたら、その中で事業への影響度も発生頻度も高いものを最も重大なリスクとし、BCPで対策を講じるべきリスクの優先度をつけていきます。

リスク分析は、自組織にとってどのリスクが最も重要かを整理し、優先度をつけて選定する検討です。

このリスク分析で得られた「最悪のリスク」に備え、最も重要な業務を中断させない・中断してもできるだけ早く復旧させるための対策をBCP（事業継続計画）で構築します。

リスク分析はBCP策定で前提となる被害想定にも関わる重要なプロセスですから、担当者の作業レベルではなく、経営層を巻き込んで戦略的に検討することをおすすめします。