今回は、おそらくは多くの皆様が気になっている、事業継続マネジメント認証の国際規格(IS)化の現状について、まとめてみたいと思います。
※注記(2012年6月現在)
当記事は2010年12月に執筆されたもので、現在は既にISO22301は発行されています。ISO22301に関する最新の情報は、下記記事をご参照ください。
事業継続マネジメントの国際規格案を読み解く
BCMの国際規格はISO22301、“社会セキュリティ”の1つです
国内で事業継続マネジメントの認証制度(BCMS適合性評価制度)が開始されてから、早1年近くが経過しました。この制度は英国規格(BS:ブリティッシュスタンダード)であるBS25999-2(事業継続マネジメント-仕様)がベースとなっております。これまでに私自身もコンサルタントとして、この認証取得のため、何社かお手伝いしてきました。
さて、一方で世界に目を向けますと、事業継続マネジメントのIS化に向けて、TC223と呼ばれるワーキンググループが活動しています。ただし、このワーキンググループの取り組みは、事業継続よりも、より広い範囲をカバーする社会セキュリティにテーマの主眼がおかれています。したがって、事業継続マネジメント(正確には、業務継続マネジメント)の規格は、このTC223が策定を進める社会セキュリティの規格・ガイドラインの1つに過ぎません。(※下表にて、ハイライトされたものがこれに該当します)。
業務継続マネジメントには、規格(認証基準として使用されるもの)とガイドライン(実践規範;ベストプラクティス)の2種類があり、それぞれISO22301とISO22313と呼ばれています。
社会セキュリティに関わる規格・ガイドライン(策定中)の一覧
| ISO22300 | Vocabulary (用語) |
|---|---|
| ISO22301 | Preparedness and continuity management systems - Requirements (事業継続マネジメントシステム-要求事項) |
| ISO22311 | Video Surveillance – Export Interoperability (ビデオサーベランス - 相互運用) |
| ISO22313 | Business Continuity management systems - Guidance (事業継続マネジメントシステム - 指針) |
| ISO22320 | Emergency management – Requirements for incident response (緊急事態管理 -指揮命令のための要求事項) |
| ISO22322 | Public Warning System (警報システム) |
| ISO22323 | Management system for resilience in organizations – Requirements and guidance for use (組織のレジリエンシー - 要求事項及び指針) |
| ISO22324 | Colour-coded Alert (緊急事態管理 - 色コードによる警報) |
| ISO TS 22351 | Disaster and emergency management – Shared situation awareness (災害及び緊急事態管理 - 状況の認識共有) |
ISO22301のIS化は2012年4月がターゲット
上の表で示されているとおり、現在広く利用されているBS25999-2(事業継続マネジメント-仕様)のIS版は、ISO22301(業務継続マネジメント-要求事項)になります。この規格は現在、策定過程にあり、順当に行けば2012年4月頃に正式にIS化される予定です。
IS化に至る道のりは長く、大きく6つの段階をクリアする必要があります。ISO22301は現在、4段階目にあり、DIS(国際規格案)が2010年11月に公表されました。
中身は、実質的にBS25999と同じ
DIS(国際規格案)が公表された、とのことで早速、原案を入手(※1)し目を通してみましたが、BS25999とさほど変わりはないというのが、第一印象です。
これは、BS25999が既に国際的に知名度の高い規格であり、認証規格としての実績もあることから、IS化にあたっては、やはりその影響を強く受けたためと考えられます。加えて、両規格共に、ISO9001やISO27001同様、マネジメントシステムを意識した作りになっている(Guide72(※2)に基づいて作成されている)ためと考えられます。事実、ISO22301にも、BS25999同様、方針の策定や内部監査、マネジメントレビュー、継続的改善など、おなじみの言葉が数多く出てきます。
※1. ISO22301(DIS)は、ISO.orgから購入することが可能です。但し、英語版のみになります。(関連リンク参照)
※2. ISO/IEC Guide72:2001「マネジメントシステム規格の正当性及び作成に関する指針]
リスクコミュニケーション重視の傾向が強い
細部を見ると、特に表記や構成といった観点で、異なる部分が見えてきます。たとえば、BS25999では、目標復旧時間(RTO)や最大許容停止時間(MTPD)、インシデントマネジメントプラン(IMP)などといった用語が定義されていましたが、ISO22301ではそのような専門的な用語の使用が極力控えられています。
たとえば以下は、RTOやMTPDに関するISO22301上の要求事項の1つ(8.4.3.3 c)ですが、これら専門な用語は一切使用されていないことが分かります。
“setting prioritized time-frames resuming these activities at a specified minimum acceptable level, taking into consideration the time within which the impacts of not resuming them would become unacceptable.(重要な活動を再開しないことによる影響が組織に受け入れがたいものとなるまでの時間を考慮に入れつつ、これら活動を特定の受容可能な操業水準で再開させる(優先順位付けした目標)時間(枠)を設定すること)”
また、ISO22301では、BS25999にはなかったリーダシップに関する記述が新たに盛り込まれていたり、BS25999ではガイドライン(BS25999-1)としての記述にとどめていたような事項を、明確な要求事項として規定したりしています。
さらに特徴的なことは、リスクコミュニケーションに関する記述が極めて多いことです。単純な比較はできませんが、Communicate/Communicationという言葉がBS25999上では9回程度の出現にとどまっていましたが、ISO22301では44回も頻出します。このISO規格が事業継続マネジメントにおいて、いかにリスクコミュニケーションに対して重きを置いているかを示している一例と言えるでしょう。
ISO22301を待つべきか、待たざるべきか?
さて、これまでBS25999-2とISO22301を比較してきましたが、本質的に極めて似たものであることは疑う余地はありません。加えて、ISO22301は2012年4月にIS化される予定ですが、このスケジュールは100%保証されるわけではありません。
したがって、事業継続マネジメントの認証を考えている組織は、特段の理由が無ければ、IS化を待たず、現行の認証制度(BCMS適合性評価制度)での認証を受けることも正しい選択肢の1つであるように思われます。
認証取得に興味のない組織におかれましても、今回の考察で、現行制度の基準であるBS25999がいかにグローバルスタンダードに近いものであるかがおわかりいただけたかと思います。もし、現時点で、事業継続マネジメントの構築を検討している場合には、BS25999(1および2の両方)を参考にすることが成功への近道であると考えます(※個人的には、BCIから発行されているGood Practice Guidelineの使用のお勧めいたします。このガイドラインも非常に良くできたものです。)
