事業継続ガイドライン(内閣府)
掲載:2011年07月14日
改訂:2024年01月19日
執筆者:取締役副社長 兼 プリンシパルコンサルタント 勝俣 良介
改訂者:取締役副社長 兼 プリンシパルコンサルタント 勝俣 良介
ガイドライン
BCPやBCMに関するガイドラインは国際標準化機構(ISO)が定める国際規格や各国が独自に策定したものなど様々あります。国内では内閣府が策定し、周知に努めている「事業継続ガイドライン」があります。初版(2005年)以降、何回も改定されていますが、最新版は旧版から何か大きく変わったのでしょうか。そもそも国際規格と違いはあるのでしょうか。どちらか一方を活用すればもう片方をカバーできるものなのでしょうか。つまるところ、事業継続ガイドラインは誰がどのように使うと有効なのでしょうか。これらの疑問に答えながら、ポイントを解説します。
事業継続ガイドラインと構成
「事業継続ガイドライン」は、国内企業の事業継続能力向上を目指して内閣府(中央防災会議)が、事業継続計画策定・維持改善上のポイントについての考え方をまとめたもので、組織が効果的・効率的にBCPの整備・運用を行うための手引きです。正式には「事業継続ガイドライン -あらゆる危機事象を乗り越えるための戦略と対応 -」と呼ばれ、経済・社会の変化等を踏まえ、適宜改定されてきました(表1参照)。
| 発行時期 | 策定/改定の目的 |
|---|---|
| 2005年8月 |
|
| 2009年11月 |
|
| 2013年8月 |
|
| 2021年4月 |
|
| 2023年3月 |
|
【表1. 事業継続ガイドラインの改定履歴】
※出典:「事業継続ガイドライン(令和5年3月)の改定にあたって」を元に編集
2023年3月の改定目的は「企業を取り巻く環境変化の反映」と書かれていますが、マイナーなアップデートにとどまります。具体的には、近年のサイバー攻撃の増加や新型コロナ(COVID-19)によるテレワークの普及に合わせた修正がなされています。
事業継続ガイドラインは全8章、約50ページから構成されています(表2参照)。
【表2. 事業継続ガイドラインの構成】
※出典:内閣府「事業継続ガイドライン(令和5年3月)」より一部抜粋
事業継続ガイドラインの位置付け
BCPやBCMのガイドラインとしては、事業継続ガイドラインの他にも、国際規格やBCPの専門機関BCIが発行するGood Practice Guideline(GPG)などがあります(図1参照)。国際規格としてはISO22301(セキュリティ及びレジリエンス-事業継続マネジメントシステム-要求事項)が有名ですが、こちらは厳密にはガイドラインではありません。「基準」と呼ばれるもので、監査や審査・評価などを目的とした規格であり、組織がBCPの整備・運用を行うにあたっての必要最低限守らなければいけない要求事項が記載されているものになります。ISO22301にはISO22313(セキュリティ及びレジリエンス-事業継続マネジメントシステム-ISO 22301の使用に関する手引き)という兄弟規格が存在しており、むしろこちらが事業継続ガイドラインと似た立場にある文書だと言えるでしょう。
まとめますと、事業継続ガイドラインやGPG、ISO22313がHow(何をすることが望ましいか)という観点で書かれたものであるのに対して、ISO22301はWhat(何をしなければいけないか)という観点で書かれたものであると言えます。
【図1. BCPを取り巻くガイドラインと事業継続ガイドラインの位置付け】
ISO22313との比較によって分かる特徴
事業継続ガイドライン位置づけを理解するために、ISO22313と比較すると、事業継続ガイドラインの特徴は次の4点にまとめることができます。
- オールハザードを念頭においている
- 日本国内の事情を考慮している
- グローバルな考え方ともある程度、整合をとっている
- わかりやすさを重視している
1. オールハザードを念頭においている
事業継続ガイドラインは副題に「あらゆる危機的事象を乗り越えるための戦略と対応」とある通り、いわゆるオールハザード的なBCPを意識して書かれています。ISO22313同様に、特定の災害に特化するわけではなく、サイバー攻撃やパンデミック、地震災害など様々な事象に適用できるようにする狙いがあります。
2. 日本国内の事情を考慮している
ISO22313は国際規格である一方で、事業継続ガイドラインは日本企業を意識していることから、ところどころ日本特有の事情を考慮した記載が見られます。具体的には例えば、従来の防災活動とBCMとの違いに言及しています。また、備蓄品や安否確認に言及している点も特徴的です。さらに、2011年に起きた東日本大震災を例に挙げるなどしています。
3. グローバルな考え方ともある程度、整合をとっている
事業継続ガイドラインの参考文献には、ISO22301やISO22313のほか、米国国家標準であるNFPA1600や、リスクマネジメントの国際規格であるISO31000(リスクマネジメント - 原則及び指針)などを挙げており、国際的な考え方との整合性をとろうとする姿勢が伺えます。事実、事業継続ガイドラインが指し示す「方針→分析→戦略→文書化→教育・訓練→改善」といった大枠の流れはこれらの規格とも合致するところです。一方で「ある程度」と述べたのは、違いもあるからです。例えばISO22313は、組織の事情に合わせたBCP活動の目的や範囲設定や見直しのガイドに相当な分量を割いていますが、事業継続ガイドラインからは省かれています。また、事業継続戦略を検討するにあたってのヒントの出し方やその範囲についても一定の違いが見られます(図2参照)。
4. わかりやすさを重視している
事業継続ガイドラインは規格文書と比べて読みやすく、理解しやすいように配慮されています。おそらく解説の軸が「方針→分析→戦略→文書化→教育・訓練→改善」といったBCPに関わる活動におかれているためでしょう。全体の活動の流れを意識して読み進めることができるため、イメージしやすいものと思われます。
| 事業継続ガイドライン | ISO22313:2020 | |
|---|---|---|
| 設備・消耗品 | 〇 | |
| 交通・輸送手段 | △ | 〇 |
| 拠点 | 〇 | 〇 |
| 情報・データ | 〇 | 〇 |
| サプライチェーン | 〇 | 〇 |
| ICTシステム | 〇 | 〇 |
| 要員 | 〇 | 〇 |
| 資金 | 〇 | 〇 |
| インフラ | 〇 | 〇 |
| 法規制対応 | 〇 | 〇 (4.2.2) |
| 地域貢献 | 〇 |
【図2. 各ガイドラインの事業継続戦略におけるカバー項目の違い】
※出典:事業継続ガイドライン(令和5年3月)及びISO22313:2020を元に編集
事業継続ガイドラインの活用法
事業継続ガイドラインは、企業において基本的にはBCPを推進する実務担当者や、その実施状況を評価したり監査したりする方が、参考書として活用すべきものです。ISO22301やISO22313などの国際規格に比べると、読みやすいガイドラインであり、これら国際規格に先んじて読むことをお勧めします。とはいえ、BCPをそれなりに掘り下げて解説していますので、BCPの基礎知識がない方は、BCPの知識や技術を深めるために次のような順番で活用されてはいかがでしょうか。
- 初心者向けの書籍や研修などを通じてBCPの基礎知識を習得する
- 『中小企業BCP(事業継続計画)ガイド~緊急事態を生き抜くために~』を読む
- 事業継続ガイドライン(内閣府)を斜め読みする
- 事業継続ガイドライン(内閣府)を熟読する
- ISO22301やISO22313などの国際規格を読む
- Good Practice Guidelineなどの他のBCPガイドラインにも手を出す
事業継続ガイドラインは内閣府防災情報のWebページから無料で入手することができます。
参考文献
- 事業継続ガイドライン(令和5年3月),内閣府
- ISO22301:2019 セキュリティ及びレジリエンス - 事業継続マネジメントシステム - 要求事項
- ISO22320:2020 セキュリティ及びレジリエンス- 事業継続マネジメントシステム - ISO22301の使用に関する手引き
- Good Practice Guideline Edition7.0, 2023.10, BCI
