【事業継続マネジメントの国際規格案を読み解く】第一回~汎用性高いISO22301誕生
掲載:2016年06月25日
執筆者:取締役副社長 兼 プリンシパルコンサルタント 勝俣 良介
コラム
国内で事業継続マネジメントシステム(BCMS)の認証制度(適合性評価制度)が2012年に正式に開始されました。この制度で使用される認証基準はISO22301(社会セキュリティ-事業継続マネジメントシステム-要求事項)です。
ISO22301の位置づけ
ISO22301は、BCMSの第三者認証を受ける際の基準として用いられるのはもちろんのこと、企業や団体においてBCMSの仕組みを構築・導入する際の参考書としての使用が主な用途になります。
ちなみに、ISO22301の補完的位置づけの規格としてISO22313(事業継続マネジメントシステム−指針)があります(表1)。表1 現在、策定が進む“社会セキュリティ”を構成する要求事項および指針一覧
| 国際規格 | 概 要 |
|---|---|
| ISO22300 | 用語 |
| ISO22301 | 事業継続マネジメントシステム-要求事項 |
| ISO22311 | ビデオサーベイランス – データのエクスポートの相互運用 |
| ISO22313 | 事業継続マネジメントシステム-指針 |
| ISO22320 | 緊急事態管理-危機対応に関する要求事項 |
| ISO22322 | 危機管理-公的警告の指針 |
| ISO22323 | 組織のレジリエンシー-要求事項及び指針 |
| ISO22324 | 緊急事態管理-色コードによる警報 |
| ISO TS 22351 | 災害及び緊急事態管理-状況の認識共有 |
表2 ISO22301の目次構成
| 1. | 適用 | 8. | 運用 |
| 2. | 引用規格 | 8.1一般 | |
| 3. | 用語及び定義 | 8.2事業影響度分析及びリスクアセスメント | |
| 4. | 一般要求事項 | 8.3事業継続戦略 | |
| 4.1組織とその状況の理解 | 8.4事業継続手順の確立及び導入 | ||
| 4.2利害県警者のニーズ及び期待の理解 | 8.5演習及び試験の実施 | ||
| 4.3事業継続マネジメントシステムの適用範囲の決定 | |||
| 5. | リーダーシップ | ||
| 5.1リーダーシップ及びコミットメント | 9. | パフォーマンス評価 | |
| 5.2経営者のコミットメント | 9.1監視、測定、分析及び評価 | ||
| 5.3方針 | 9.2内部監査 | ||
| 5.4組織の役割、責任及び権限 | 9.3マネジメントレビュー | ||
| 6. | 計画 | 10. | 改善 |
| 6.1リスク及び機会に対応するための処置 | 10.1不適合及び是正処置 | ||
| 6.2事業継続目的及び達成計画 | 10.2継続的改善 | ||
| 7. | 支援 | ||
| 7.1資源 | |||
| 7.2力量 | |||
| 7.3意識 | |||
| 7.4コミュニケーション | |||
| 7.5文書化した情報 | |||
“ミニPDCAサイクルの理解”が読み解くためのカギ
さて、実際に中身に目を通された方はいらっしゃいますか?やや慣れない構成のためか、“難しい”という印象を持たれた方が多いのではないでしょうか。
理解を困難にする一番の理由は、“規格全体の意図”を正しく把握できていないためと考えられます。マネジメントシステム規格ですから、考え方の全ての基本は継続的改善、すなわち“PDCAサイクル”にあります。したがって、規格を読み解くためには「目次のどこからどこまでがPLAN(計画)であり、DO(実行)であり、CHECK(チェック)であり、またACT(見直し)であるのか」を、しっかりと把握することが重要です。
以下の図(図1)は、当規格に記載されているPDCAサイクルの図に対して、1~10章までの目次をそれぞれ当てはめてみたものです(1章から4章はイントロダクションのため、該当せず)。
理解を困難にする一番の理由は、“規格全体の意図”を正しく把握できていないためと考えられます。マネジメントシステム規格ですから、考え方の全ての基本は継続的改善、すなわち“PDCAサイクル”にあります。したがって、規格を読み解くためには「目次のどこからどこまでがPLAN(計画)であり、DO(実行)であり、CHECK(チェック)であり、またACT(見直し)であるのか」を、しっかりと把握することが重要です。
以下の図(図1)は、当規格に記載されているPDCAサイクルの図に対して、1~10章までの目次をそれぞれ当てはめてみたものです(1章から4章はイントロダクションのため、該当せず)。
図1
内閣府の事業継続ガイドラインとの違い
事業継続マネジメントの分野については、IS(国際規格)化の検討が進む以前より、いくつかの先進国で国家規格やガイドラインの策定がなされていました。イギリスのBS25999※(英国規格協会)やアメリカのNFPA1600(全国防火協会)やANSI/ASISSPC.1(米国規格協会)、日本の事業継続ガイドライン(内閣府)等は、その代表格です。
※本稿でBS25999と記述する際には、BS25999-1:2006(事業継続マネジメント-第1部:実践規範)およびBS25999-2:2007(事業継続マネジメント-第2部:仕様)の両方を指すものとします。
このようにISO22301は世界中のありとあらゆる規模や業種、業態の組織に適用できるように汎用性を意識して策定されたものです。したがって、ある意味当規格は日本で公開されている内閣府の「事業継続ガイドライン」や経済産業省が出している「事業継続計画策定ガイドライン」の内容をも、包含しているもの、ということができます。
ただ一方で、水害やテロ、爆発等といった局所的な災害への対応が要求されやすいイギリス発の規格をベースにしているという理由から「ISO22301は、実は広域災害を想定することの多い日本国内に適してないのでは」という声もあります。その是非はともかく、事地震対策に関しては、世界で起こる地震の20%が集中するという日本が地震対策先進国であることに議論の余地はありません。その意味で、特に地震を想定したBCP策定を考える際にはISO22301やISO22313のみならず、並行して国内の既存のガイドラインを用いることは、メリットこそあれデメリットにはならないはずです。
※本稿でBS25999と記述する際には、BS25999-1:2006(事業継続マネジメント-第1部:実践規範)およびBS25999-2:2007(事業継続マネジメント-第2部:仕様)の両方を指すものとします。
このようにISO22301は世界中のありとあらゆる規模や業種、業態の組織に適用できるように汎用性を意識して策定されたものです。したがって、ある意味当規格は日本で公開されている内閣府の「事業継続ガイドライン」や経済産業省が出している「事業継続計画策定ガイドライン」の内容をも、包含しているもの、ということができます。
ただ一方で、水害やテロ、爆発等といった局所的な災害への対応が要求されやすいイギリス発の規格をベースにしているという理由から「ISO22301は、実は広域災害を想定することの多い日本国内に適してないのでは」という声もあります。その是非はともかく、事地震対策に関しては、世界で起こる地震の20%が集中するという日本が地震対策先進国であることに議論の余地はありません。その意味で、特に地震を想定したBCP策定を考える際にはISO22301やISO22313のみならず、並行して国内の既存のガイドラインを用いることは、メリットこそあれデメリットにはならないはずです。
図2 BCMSのPDCAサイクル
国や災害、文化が異なっても、事業継続に求められる本質的な項目は変わらない
これまで見てきたように、要求事項の構成や表現方法、その他記載内容などに関して、各国が発行済みの事業継続マネジメントの規格やガイドラインの間で多少の違いはあるにしても、事業継続能力を高めるために組織に本質的に求められる項目には、大きな違いはありません。くわえてISO22301は、国際的に知られる規格・ガイドラインの良い部分を多く取り込んだ最新版の事業継続マネジメント規格であり、また、これまで見てきたように他のISO規格との整合性も十分に考慮されたものです。
以上の理由から、BCMS構築をこれから考えようとしている組織であれば導入の足がかりとして、また、BCMSを既に導入済みであれば、グローバルスタンダードとのギャップを知るためのツールとして、当規格を利用することは非常に理にかなっているものと考えます。
さて、今回は以上になりますが、次回の稿ではISO22301のより具体的な中身について迫ってみようと思います。次回をお楽しみに。
以上の理由から、BCMS構築をこれから考えようとしている組織であれば導入の足がかりとして、また、BCMSを既に導入済みであれば、グローバルスタンダードとのギャップを知るためのツールとして、当規格を利用することは非常に理にかなっているものと考えます。
さて、今回は以上になりますが、次回の稿ではISO22301のより具体的な中身について迫ってみようと思います。次回をお楽しみに。
図3 PDCA サイクルで見る ISO/DIS22301 と BS25999-2 の関係
