Business Continuity Plan Check Guide

ビジネス影響度分析（BIA）の考え方

使えるBCPとするために

─はじめに─

1

すでにBCPを策定されている企業・団体では、BCP策定前にビジネス影響度分析（以下、BIAという）という活動を実施していると思います。しかし、ただBCPを作ることのみを目的とし、BIAを実施されずにBCPを策定した企業・団体もいらっしゃるのではないでしょうか？

今回取り上げるBIAは、BCPを策定するうえで非常に重要な活動であり、BIAを行わずに策定したBCPは「形だけのもの」になってしまっている可能性があります。

本小冊子「ビジネス影響度分析（BIA）の考え方」では、これからBCPを策定される企業・団体や、BCPの見直しを行う予定の企業・団体向けに、BIAの内容やポイントを簡単に紹介しています。

すでにBCPを策定している方には再確認に、これからBCPを策定される方には事前情報として、お役立て頂ければ幸いです。

© NEC Solution Innovators, Ltd.

2

ビジネス影響度分析（BIA）の考え方

BCPにおけるBIA 3

BIAで行うこと 4

環境分析で注意すべきポイント 6

業務分析で注意すべきポイント 8

まとめ 10

情報セキュリティコンサルティングサービス 11

BCPコンサルティングサービス 12

© NEC Solution Innovators, Ltd.

ビジネス影響度分析（BIA）の考え方

3

BCPにおけるBIABCPにおけるBIA

BCPは、その名の通り、事業を継続するために策定される計画

書ですが、BCPを策定するにあたり、どのような状況を想定したら

よいでしょうか。今実施している業務の手順をただ書き出すだけで

は有事の際に役には立ちません。

有事の際に使えるBCPを策定するために、「有事の際」に何が

起こるのかを想定する必要があります。そして、その想定した状況

で「何ができて」「何ができないのか」を把握し、できないことはでき

るように対策を考える必要があります。

BIAは、事業を継続していくうえでどこにリスクがあり、「何ができ

ないのか」を発見するために非常に重要な手段です。

BCP策定の前段として実施されるBIAの良し悪しが、BCPの出来

を左右するともいえるのです。

次ページからは、BIAの中で実施すべきいくつかのポイントについ

て記載しています。

© NEC Solution Innovators, Ltd.

BIAで行うこと

4© NEC Solution Innovators, Ltd.

ポイント

BIAの主たる目的は、BCPの対象事業における復旧優先業務の

決定と、その目標復旧時間の決定です。このうち、復旧優先業務

の決定のために有事の際の業務課題を洗い出すとよいでしょう。

そのため、主に以下の２つの活動を実施することをお勧めします。

２つの活動とは、業務の周りに潜むリスクを洗い出す「環境分析」

と、業務自体に潜むリスクを洗い出す「業務分析」です。この２つの

活動はそれぞれが重要な意味を持っており、どちらか一方だけだと、

効果的なBIAができません。

業務だけに目を奪われず、業務を取り巻く環境全体を意識して現

状の分析を行うことが重要です。２つの活動はそれぞれ別の観点

での分析となるため、並行して実施することも可能です。

BIA

ビジネス影響度分析（BIA）の考え方

5© NEC Solution Innovators, Ltd.

・ BIAの目的の一つである「復旧優先業務」

の決定のために、２つの活動を行い、課題を洗い出す

・ 「業務」の周りにある建物等の課題を見つける「環境分析」と、業務自体の課題を見つける「業務分析」を行い、課題に対する対策を検討する

まとめ

活動 詳細内容

１ 環境分析 業務を取り巻く「建物」「設備」「周辺施設」「社会インフラ」等に存在するリスクを調査・分析する。

２ 業務分析 業務活動における「人」「システム」「関係者（委託先）」「拠点所在地」等に存在するリスクを調査・分析する。

３ 課題と対策の検討

２つの分析の結果から、業務におけるリスクを洗い出し、対策の方向性を決定し、実施する。

BIAで実施する内容

分析の結果、決定した対策について、BCP活動の中で実施・運用していくことになります。

ビジネス影響度分析（BIA）の考え方

環境分析で注意すべきポイント

6© NEC Solution Innovators, Ltd.

ポイント

「環境分析」では、業務を行うビル等の建物や電気・ガス・水道・

通信といった社会インフラにおける被害想定と、業務への影響を考

えていきます。

業務の内容を意識するのではなく、「業務を行う時に、ビルやビル

内がどのような状態であれば業務できるのか」「業務継続に電気や

連絡手段が必要か」「別の拠点で業務を続けることは可能か」など、

業務を行うための前提条件における課題・障害を見つけることが

求められます。

システムが壊れておらず、従業員も怪我がなく、データも無事とい

う状態であっても、建物が壊れそうな状態であれば、その中で業務

を行う判断はできないでしょう。また、停電状態ではシステムも動き

ません。ビルの自家発電は何時間耐えられるのかということも含め

て、このような業務を取り巻く現状を洗い出すことが重要です。

ビジネス影響度分析（BIA）の考え方

地震の震度想定

震度6強を想定

社会インフラ復旧想定

・ 環境分析では、災害発生時の物理的、技術的な視点での課題を洗い出す

・ 業務を行うための 低条件を把握しておくと、課題が見えやすい

まとめ

業務を行っている建物の耐震強度、非常用電源、サーバ類の設置状況などを確認していきます。

7© NEC Solution Innovators, Ltd.

ビジネス影響度分析（BIA）の考え方

ポイント

業務分析で注意すべきポイント

8© NEC Solution Innovators, Ltd.

「業務分析」では、業務自体の手順の中にあるリスクを見つけて

いきます。業務を行うために必要なものは何でしょうか。まずは「情

報システムとデータ」が必要だと思いますし、そのシステムを動か

す「人」、部品を納入する「外部業者」、一部業務を請け負う「委託

先」等、業務継続のために必要な 小限のモノは何かを把握し、そ

のモノが手に入らない状況がないかを調べていきます。

ここで大事なことは、「代替手段」です。人にしろシステムにしろ、

データにしろ、有事の際には何が起こるかわかりません。その際に

代替手段が考えられていないと、それは大きなリスクとなり、業務

分析における課題となるでしょう。

「環境分析」が業務を取り巻く外側のリスク分析であるのに対し、

「業務分析」は、業務の内側におけるリスク分析となります。

ビジネス影響度分析（BIA）の考え方

9© NEC Solution Innovators, Ltd.

まとめ

・ 業務分析では、システムやデータのバックアップ等の保管状況、業務継続のために 低限必要な要員数などを洗い出す

・ 代替手段が考えられていない場合は、業務におけるリスクとなりえる

業務フロー図 営業業務

部門拠点

業務フロー

システム

外部

全社ITインフラ（社内イントラネット、社員メール）

○○会社（東京）

中期計画

提案活動

見積作成

見積提出

商議検収確認

監査対応

受注更新

XXXシステム

XX（本部） 【全プロセス共通】 XXX部

受注入金確認

清算請求（返納）

納品

各部関係会社

各部関係会社

XX（本部）【＊＊＊＊】 ○○部

業務フロー図

重要資産の対策実施状況

業務に関連する情報システムやデータの保管状況、外部業者との関係性を洗い出すと、どこにリスクがあるか見えてきます。

ビジネス影響度分析（BIA）の考え方

まとめまとめ

本小冊子では、BCPを策定する前段階として、業務およびその環境

に潜在するリスクを洗い出し、リスク対策を検討するというBIAにつ

いて紹介しました。すでに実施されている企業・団体も多いと思いま

すが、BCPの根幹ともいえる重要な活動であることがお分かりいた

だけたかと思います。

本小冊子で記載しているポイントは、BIAの一部に過ぎません。ITシ

ステムに関するBCPであれば、ITシステムにかかわるリスクを洗い

出すことも必要です。

また、世の中の状況は刻々と変化します。BCPを運用し改善してい

くのと同様に、BIAも見直しを行い、新たなリスクや新しい対策を検

討して行くことが求められます。

これからBCPを策定される企業・団体はもちろん、BCPの見直しを

行っている企業・団体においても、今一度BIAを見直し、効果的な

BCP改善を行うとよいでしょう。

弊社では、BIAの見直しを含めたBCP全体の見直し支援も行ってお

ります。そちらもご活用ください。

10© NEC Solution Innovators, Ltd.

ビジネス影響度分析（BIA）の考え方

情報セキュリティ監査及び診断から、セキュリティポリシー策定と計画の立案(セキュリ

ティ対策計画策定)、さらには定着化のための教育・訓練に至るまで、一貫したコンサ

ルティングサービスをご用意しています。

下記は主なサービスメニューです。

コンサルティングサービスにより立案した対策を実現するためのIT実装・設計・構築等

の支援まで一貫したソリューション提供も可能です。

11

NECソリューションイノベータの情報セキュリティコンサルティングサービス

非常時における情報セキュ

リティ対策サービス

BCPと情報セキュリティを考慮し、非常時のセキュリティの考え方（ポリ

シー）の策定を支援します。

マネジメント

サービス

お客様が保有する資産への様々なセキュリティの脅威に対して、組織共通に適切かつ有効な対策を施すための方針である情報セキュリティポリシーの策定や、管理策の検討から導入計画策定までの支援サービスを提供しています。

・情報セキュリティポリシー策定サービス

・情報セキュリティ導入計画策定支援サービス

・情報セキュリティ監査実施サービス

・改訂版ISO/IEC27001による情報セキュリティ見直しサービス

脆弱性診断

サービス

Webアプリケーションの脆弱性診断や脆弱性への対応を支援するサー

ビスを網羅的に提供しています。

・Webアプリ脆弱性診断サービス

・インフラ脆弱性診断サービス

・セキュリティ基準診断サービス

認証取得支援

サービス

情報セキュリティマネジメントの確立に向けた下記の認証取得や、各

認証を指針としたセキュリティレベルの確立を支援します。

・ISMS認証取得支援サービス

・プライバシーマーク認証取得支援サービス

・ISO/IEC15408認証取得支援サービス

© NEC Solution Innovators, Ltd.

ビジネス影響度分析（BIA）から、事業継続方針と計画の立案(BCP策定)、さらには定

着化のための教育・訓練に至るまで、一貫したコンサルティングサービスをご用意して

います。

下記は主なサービスメニューです。

コンサルティングサービスにより立案した対策を実現するためのIT実装・設計・構築等

の支援まで一貫したソリューション提供も可能です。

企画サービス お客様の事業や組織構造を踏まえたプロジェクト企画、社内における

展開プランの立案等を支援します。

ビジネス影響度分析

(BIA)支援サービス

お客様の事業や組織構造を踏まえたプロジェクト企画、社内における

展開プランの立案等を支援します。

BCP策定支援サービス 事業継続の為の戦略（対策）と行動計画の作成を支援します。

（地震災害編、新型インフルエンザ編のリスク別）

地震災害発生時においても、重要業務の継続・復旧目標を実現する

ための初動・復旧計画の策定を支援します。

重要業務の継続と社会的責任を踏まえた計画的な業務の縮退・停止

の戦略や基準、対応行動計画の策定を支援します。

BCP訓練支援サービス BCPの妥当性検証、理解度向上の為に、シナリオベースでの訓練を

実施し、課題と対応方向性の整理を支援します。

地震災害編

新型インフルエンザ編

原子力事故対応編

NECソリューションイノベータのBCP(事業継続計画）

コンサルティングサービス

© NEC Solution Innovators, Ltd. 12

本冊子についてのお問い合わせは下記まで

ＮＥＣソリューションイノベータ

BCPコンサルティングサービス窓口

〒211-8666 川崎市中原区下沼部1753 NEC玉川ルネッサンスシティ S棟26階

E-mail ： bcp-dl@nes.jp.nec.com

●本紙に掲載された社名、商品名は各社の商標または登録商標です。

20151120

(お願い）

より良い資料をご提供するため、本資料につきまして皆様のご意見・ご感想をお聞かせください。

https://www.nec-solutioninnovators.co.jp/sl/bcp/download31_thanks3.html

ＢＣＰ・リスク対策コンサルティングサービスご紹介ページ

http://www.nec-solutioninnovators.co.jp/sl/bcp/