写真を拡大 (出所)BCI / Horizon Scan Report 2019
BCMの専門家や実務者による非営利団体 BCI(注1)は、英国規格協会(BSI)と共同で、3月に「Horizon Scan Report 2019」を公開した。
Horizon Scanとは、中長期的に将来起こりえる変化や事象を、系統的な調査によって探し出そうとする手法である(注2)。BCIでは2011年から、主にBCI会員を対象として「Horizon Scan Survey」というアンケート調査を毎年実施しており、今回発表された2019年版は8回目の報告書ということになる。これらのうち 6回目と7回目も本連載で過去に紹介しているので(注3)、以前から本連載をお読みいただいている読者の方々は「またか」と思われたかも知れないが、このような調査は継続的に行われて変化が見えるようになるのが重要だと考えているため、本稿ではその第8回目の報告書を紹介する。
調査結果のうち、まず過去12カ月間に経験した最も重大な脅威は「IT・通信の途絶」(IT and telecom outage)、また今後12カ月間に最も懸念される脅威は「サイバー攻撃とデータ漏えい」(Cyber attack & data breach)であり、これらは過去4回にわたって不変である。しかしながら今回の報告書では分析のしかたが大きく変わり、様々な脅威が発生する可能性(もしくは頻度)と影響の大きさとの2軸によるマトリクスにまとめられている。
本稿のトップに掲載した画像は、今後12カ月の間に発生しそうな脅威の評価結果をまとめたものであり、設問として用意された19種類の脅威を、横軸にそれらが発生する可能性の高さ(Likelihood)、縦軸にそれらが発生した場合の影響の大きさ(Impact)をとって整理されている。「サイバー攻撃とデータ漏えい」が発生する可能性と影響の大きさがいずれも大きく、図の最も右上にプロットされている。
また図1は過去12カ月間に経験した脅威の評価結果を同様にまとめたものである。ただしこちらは実際に経験した脅威であるため、横軸が可能性ではなく頻度(Frequency)となっている。
図1.過去12カ月間に経験した脅威(出所)BCI / Horizon Scan Report 2019
これら2つのマトリクスを見比べると、これまで経験した脅威と今後に対する警戒との違いがよく分かる。
例えば「規制の変更」(Regulatory changes)や「政治に関する変更」(Political change)が、図1では左上(影響大、低頻度)にあったものがトップ画像では右下(影響小、可能性高)に移っている。恐らく欧州からの回答が多いために、Brexit の影響が警戒されている結果が現れているのであろう。また、「IT・通信の途絶」の位置があまり変化していないのに対して「サイバー攻撃とデータ漏えい」が図1の右下(影響小、可能性高)からトップ画像の右上(影響大、可能性高)へと変化しているのも興味深い。
なお、ここで「影響」については必ずしも金銭的な影響だけとは限らないが、本報告書では金銭的な影響について独立したセクションが設けられている。これも従来の Horizon Scan Report にはなかったものである。本報告書によると、実際に経験された脅威による金銭的損失の合計額が最も多かったのは「健康および安全に関するインシデント」(Health and safety incident)、次いで「レピュテーションに関するインシデント」(Reputation incident)となっており、これらが突出して大きい。
しかしながら大企業と中小企業では状況が大きく異なる。図2は最も金銭的損失を生んだ脅威が何だったかを企業規模別にまとめたものである。これを見ると「レピュテーションに関するインシデント」が下側の大企業(Large Business)では 2位となっているものの、上側の「SMEs」(small and medium enterprises の略であり中小企業のこと)ではランク外となっており、レピュテーションが主に知名度の高い大企業ならではの脅威であることが明らかに現れている。また「IT・通信の途絶」は中小企業では金銭的損失をもたらす脅威のトップとなっているが、大企業においては4位となっている。恐らく他の脅威と比べて、また企業規模に対して、金銭的な影響が相対的に小さいということであろう。
図2.最も金銭的損失を生んだ脅威(企業規模別) (出所)BCI / Horizon Scan Report 2019
本報告書では他にも、ISO22301の活用状況(認証を取得しているかどうかは別)やBCMに対する投資額の変化など、世界的なBCMの現状を知る手がかりとなる様々なデータが記載されている。過去の同報告書と見比べながらお読みになることをお勧めしたい。
■ 報告書本文の入手先(PDF40ページ/約3.4MB)
https://www.thebci.org/resource/horizon-scan-report-2019.html
注1) BCIとは The Business Continuity Institute の略で、BCMの普及啓発を推進している国際的な非営利団体。1994年に設立され、英国を本拠地として、世界100カ国以上に8000名以上の会員を擁する。http://www.thebci.org/
注2) Horizon Scan について、BSIは危機管理に関する「PAS200」という公開仕様書で「新たなリスクを創出したり、既知のリスクの特性を変化させる可能性のある、潜在的な脅威、機会、および将来の変化に対する、系統的な調査」と定義している(和訳は筆者)。もともとはヨーロッパの医学界や食品安全等の分野で用いられ、近年では政府や企業にも採用されつつある手法のようである。
注3)本連載では 2018年3月13日に2018年版を(http://www.risktaisaku.com/articles/-/5276)、2017年2月27日に2017年版を紹介させていただいた(http://www.risktaisaku.com/articles/-/2435)。また、かつて紙媒体の『リスク対策.com』2014年9月発行vol.45で、2014年4月に公開された2014年版を紹介させていただいた。
(了)
