リスク管理Naviリスクマネジメントの情報サイト

ISO22301 2019年版発行!2012年版との違いとは?

掲載:2020年03月30日

コラム

ISO22301(BCMS:事業継続マネジメントシステム)2019年版が2019年10月に正式発行されました。初版は2012年発行となっており、7年ぶりの改訂になります。2012年版で認証取得をされた企業では「2019年版との違いは何なのか」「移行対応には負荷がかかるのか」、といった不安をお持ちの方もいらっしゃると思います。 本稿では、そうした不安を解消するため、ISO22301:2012でBCMSを構築・運用されている企業または認証取得済み企業の方のために2012年版と2019年版の差分と、認証維持のための差分対応をする場合に考慮すべきマイルストーンについて解説いたします。ちなみに、これから初めてISO22301(BCMS)の認証取得をお考えのお客様は、別途「事業継続規格ISO22301認証取得に重要な10のポイント」という小冊子を発行しておりますので、そちらをご利用ください。

         

2012年版と2019年版の変更の狙い

今回の規格改訂の狙いは下記の2点です。

1. 他のISOマネジメントシステム規格(ISO-MS規格)との整合をとるため(形式的な改訂)
ISO9001(QMS:品質マネジメントシステム)やISO14001(EMS:環境マネジメントシステム)、ISO27001(ISMS:情報セキュリティマネジメントシステム)などといった他のISO-MS規格と共通する部分について規格上の足並みを揃えるための改訂です。

なお、共通する部分とは主にISO-MSの屋台骨に相当するPDCAに関連する活動です。具体的には、例えば「ISO-MS導入目的や範囲の決定」「方針書の策定や運用体制の決定」「年間目標や達成計画の策定」「ISO-MSに関わる文書管理」「ISO-MSを運用する人たちの力量管理」「内部監査」「マネジメントレビュー」などがこれに該当します。また、規格上の足並みを揃えるとは、章立て、節と表題や用語の定義などを統一することを意味します。

このように整合をとるのは、2012年以降に制定、改正されるISO-MS規格は原則として「ISO-MS規格の共通要素」の採用が義務付けられているからです。ちなみにISO22301:2012は「ISO-MS規格の共通要素」採用が義務付けられた直後に発行されており、準拠しきれていない部分がありましたが、今回の改訂により完全準拠になります。

 

2. ISO22301認証取得企業の事業継続力向上をより確実なものとするため(本質的な改訂)
7年にわたるISO22301:2012の認証制度運用を通して蓄積されたノウハウを基にした改訂です。とりわけ、事業中断発生後の回復・復旧に対して目立った加筆修正がなされています。

具体的には、事業継続戦略の策定の際に加味すべき要素がより細かく明記されるとともに、事業継続の具体策発動に向けた準備に関する要求事項も盛り込まれました。なお、事業継続戦略とは、組織の主要な事業の中断が起きた、または起こりそうになった際の組織としての総合的な準備・計画・運用の方策のことです。

また、「加味すべき要素がより細かく明記された」とは、2012年度版では「事業影響度分析及びリスクアセスメントの結果に基づいて戦略の選択を行うこと」のみの言及にとどまっていましたが、2019年度版では「事業影響度分析及びリスクアセスメントからのアウトプットに基づいて、組織は、事業の中断・阻害の発生前、発生時及び発生後の選択肢を考慮するための事業継続戦略を特定し、選択しなければならないと表現が変わっている点を指しています(箇条8.3)。さらに事業継続の具体策発動に向けた準備とは、有事にその戦略を確実に機能させるための平時における演習を指します。規格ではこうした演習を平時から実施しておくことを求めています。

このように組織の状況に即した戦略策定が求められたこと、常に具体策発動できるように平時から準備をしておくことが求められるようになったことなどから、事業中断からの回復・復旧を重要視する改訂者の意図をうかがい知ることができます。

2012年版と2019年版の変更点

以下では、前述した変更の狙いに基づいた、具体的な変更点について紹介します。

1. 他のISO-MS規格との整合を目的とした変更点

今回の規格改訂の狙いの一つは「他のISO-MS規格と共通する部分について規格上の足並みを揃えるため」と申し上げましたが、実際に複数のISO-MS規格との比較を通じて、どのように足並みが揃えられたかをご覧いただければと思います。

下表はISO22301の2012年版と2019年版、ISO9001:2015、ISO27001:2013の箇条4.1に記載されている内容を比較したものです。ご覧の通り、ISO22301:2012以外はどのマネジメントシステムを指しているかという違いだけでその他は全く同じ文言となっています。
 

規格 箇条4.1記載内容
ISO22301:2012 組織は、組織の目的に関連し、かつ、そのBCMSの意図した成果を達成する組織の能力に影響を与える、外部及び内部の課題を決定しなければならない。
組織のBCMSを確立し、実施し、維持するに当たって、これらの課題を考慮しなければならない。
組織は、次の事項を特定し、文書化しなければならない。
a)...
b)...
c)...
ISO22301:2019 組織は、組織の目的及び戦略的な方向に関連し、かつ、そのBCMSの意図した結果を達成する組織の能力に影響を与える、外部及び内部の課題を明確にしなければならない
ISO9001:2015 組織は、組織の目的及び戦略的な方向に関連し、かつ、そのQMSの意図した結果を達成する組織の能力に影響を与える、外部及び内部の課題を明確にしなければならない
ISO27001:2013 組織は、組織の目的及び戦略的な方向に関連し、かつ、そのISMSの意図した結果を達成する組織の能力に影響を与える、外部及び内部の課題を明確にしなければならない

【出典:ISO22301:2012, ISO22301:2019, ISO9001:2015, ISO27001:2013】

他にも文言が統一された代表的な例として7章があります。2012年度版では箇条7.4のコミュニケーションにおいても、他のISO-MS規格と違いが見受けられましたが、今回の改訂でISO22301固有の要求事項は8.4.3に移動され、7.4の記載はその他の規格と文言が統一されています。

 

2. ISO22301認証取得企業の事業継続力向上をより確実にすることを目的とした変更点

※クリックすると拡大します


この変更の狙いが最も反映されたのが規格の8章です。他の章に比べ変更箇所が多いため、新旧規格の対比表を作りました。変更箇所が多いといっても、見出しレベルでは大きな変更がないことがわかります。

8章の変更箇所についても、内容の大きな変更というよりは、ISO22301認証取得企業の事業継続力向上をより確実にするという目的を達成するために旧版で求められていた要求事項をより詳述化するといったものです。つまり、ISO22301:2012の認証取得済みの組織が2019年度版に対応するのに莫大な負荷がかかるような変更ではないということです。

【詳細化された箇条と要求事項に沿った対応例】
箇条 変更内容 要求事項に沿った対応例
8.1 「組織は、外部委託したプロセスが管理されることが~」に、サプライチェーンの管理も追加された 事業継続に必要な外部委託先のほか、サプライチェーンについても対応を確認する
8.2.1 事業影響度分析及びリスクアセスメントの手順に加えてあらかじめ定められた間隔でレビューすることが追加された 事業影響度分析およびリスクアセスメントの内容をレビューするタイミングを設定する
8.2.2 事業影響度分析の際、2012年版では経時的影響を評価することが要求されていたが、2019年版では影響の種類とその基準を定義することが求められるようになった 種類や基準の中身の決定については組織に委ねられているため、分析に使用する財務的影響や法的要求などの影響の種類とその基準を定義する
8.3 タイトルに「具体策(Solution)」の文言が追加された。想定されるリスクや影響を基に組織の実態に即した複数の具体策を検討し、複数の具体策から構成される事業継続戦略を立てることを求めている -
8.3.1 「事業の中断・阻害の発生前、発生時及び発生後に対する選択肢を考慮する」という新しい要求が追加された 経時ごとの事業継続戦略を策定する
8.3.5 「具体策の実施」
本箇条は新規要求事項であり、組織は必要なときに決定した事業継続策が発動できるように維持することが求められている
訓練の実施や必要な資源の確保をしておく
8.4.2.3 対応体制の責任、及びチームの能力に関する要求事項が追加された 初動対応、対策本部の体制について新規要求事項と照合し、不足があれば補足する
8.4.4.2 「環境への影響」の配慮に関する要求事項が追加された 事業の中断の結果として環境への影響をどのように管理するのかを含める
8.4.4.3 報告に関する要求事項が追加された
各計画は必要な時と場所で使用可能となっていることが追加された
各計画において報告要件を明確にし、文書化する
8.5 変更と改善を実施するため、演習及び試験の実施結果を受けて、対応を取ることが追加された 演習結果を受けた計画の見直し、課題対応等を行う
8.6 計画及び手順書の評価と更新をタイムリーに行うための項目が、追加された
※2012年版にはなかった箇条のため、新しく追加されたように見えるが、2012年版の9.2.1の内容がこの箇条で代替されたとみなすことができる
以下を実施する
・事業影響度分析、リスクアセスメント、事業継続戦略、具体策、計画及び手順について、適切性、妥当性、有効性の評価
・外部委託先、サプライヤーの事業継続能力の評価
・適用される法的及び規制要件、業界のベストプラクティス、及び独自のビジネス継続性ポリシーと目標への準拠の順守の評価
・該当する文書の更新

これらはむしろ、運用負荷を軽減する変更であるとも言えます。事実、2019年版では2012年版と比較して文書化要求のある項番が減りました。(20項番→16項番)

2012年版で文書化要求のある項番 2019年版で文書化要求のある項番
4.1a 7.2 9.1.1 4.2.2 8.4.2.4
4.2 b 8.2.1 9.2 4.3.1 8.4.3.1
4.3 c 8.2.2 9.3 4.3.2 8.4.4.1
4.2.2 8.2.3 10.1 5.2.2 8.4.5
4.3.1 8.4.1   6.2.1 9.1
4.3.2 8.4.2   7.2 9.2.2
5.3 8.4.4   8.1 9.3.3.2
6.2 8.4.5   8.4.1 10.1.3

ちなみに、2012年版の規格には記載のあった用語のうち、比較的利用が少ないと思われる「MAO(最大許容停止)」や「MBCO(最小事業継続目標)」といった用語群が2019年版では削除されています。

組織はいつまでに対応すべきか

2012年版で認証取得している組織は、2022年10月30日までに2019年版への移行を完了させる必要があります。「国際認定フォーラム(IAF)」と呼ばれるマネジメントシステムの認定機関の年次総会において、ISO22301の2019年版への移行期間は3年間とすることが決定されたためです。ちなみに、あまりお勧めしませんが2021年4月29日までであれば、これから新たにISO22301認証取得を目指す組織が2012年版で認証を受けることも可能です。

【移行スケジュールイメージ】

図:一般社団法人情報マネジメントシステム認定センター「ISO22301:2019への移行について」を基に弊社にて作成

なお、認証取得にあたっては認証審査機関と呼ばれる専門組織に審査申し込みを行う必要がありますが、認証審査機関全てがISO22301:2019版の認証審査を行えるわけではないことに注意が必要です。この点については、認証取得を検討されはじめた段階で、一度、認証審査機関やコンサルティング会社にご相談ください。

ISO22301:2019の邦訳版については、一般財団法人日本規格協会より入手することができます。