私達が取材に赴いたのは丁度ISO22301が発行され、BS25999-2の2015年の取り下げが発表された直後でした。ISO化の裏側や今後の事業継続関係の業界としての動きなどを探るべく、BSI本部を訪れました。

対応してくださったのは、Tim McGarr氏。Tim氏はBSIで事業継続に関するマーケティング活動を担当しており、ISO22301の開発にも携わるなど、造詣の深い方です。

Tim氏によれば、ISO22301はBS25999に比べて、経営層のコミットメントを強化する狙いが色濃く反映されているということです。当たり前の話ですが、有事の際の経営層の舵取りが組織の存続可能性を左右し、実効性のあるBCMSを維持運用するには平時からの経営層の関与が不可欠だからです。

また、今日本ではよくBCPの策定方法について、シナリオベース（原因事象）かリソースベース（結果事象）かいう議論がありますが、ISO22301は「インパクト」（経営への影響＝つまり結果事象ベース）に応じて事業継続を考える、というスタンスで作られているため、あらゆる国のあらゆるインシデントに対応できる規格になっている、とのことでした。

実はこの点については、他の取材対象者の方も口をそろえて「インパクトに対しての対応」について言っています。日本のように、地震以外のリスクがあまり懸念されないところと、大小様々なリスクに晒される英国との彼我の違いを感じずにはおれませんでした。

Tim氏の話を伺いながら、思うところがありました。

イギリスは多くの国際標準規格を作り出している国です。情報セキュリティのISO27001、品質のISO9001、環境のISO14001なども英国規格を元に生み出されたものです。なぜ多くの標準規格が生み出されるのか？歴史を振り返ると英国は世界中にその影響力を発揮し、英国内にも世界中から人々が入ってきました。あまりにも多くの価値観が混在した中で、こうした基本的な考え方（よりどころとなる標準）みたいなものが必要だったのではないかと感じます。

そこで、実際に英国内で国際標準規格を利用している人たちの姿勢を見てみると、決してその内容を完全に盲信するという態度ではありません。まずは自分が何をどうしたいのか、ということありきで、国際標準規格はその考え方をサポートするものとして利用する、そんな態度です。

また、英国ではBCPを含め各種マネジメントシステムの計画において、細かい動き方までを原則として規定するようなことはしません。多分、細かく規定することの限界をよく知っているからでしょう。原則は決めるとしても日々起こる予見しようがない事態に対しては、むしろ何度も何度も入念な演習や訓練を行うことで対応しています。

一方で、日本での国際標準規格との付き合い方を考えますと、「要求事項には従順に従う」という態度を大いに感じます。要求事項に従うことは本来の目的ではないはずなのですが、いつのまにか、決められた標準に正確に従うことに価値を感じがちです。また、細部に至るまで予め何でも文書に定め、「完璧な計画」を作成することにあまりに多くの労力を割いています。

有効な事業継続実現のために、何が大切なのか、これからもお客様とともに考えていきたいと思います。では、次回もお楽しみに！