リスク管理Naviリスクマネジメントのワンストップ情報サイト

ガイドライン

GPG2013

2013年12月20日

GPG2013はGood Practice Guideline(グッドプラクティスガイドライン) 2013 の略称であり、BCI※が2013年3月に公開したBCMS(事業継続マネジメントシステム)の最新ガイドラインです。GPGシリーズは2002年に初版が発行されてから、おおよそ2~3年に一度の頻度で改訂されており、今回は前回のGPG2010発行時から3年を経ての公開になります。

なお、発行元のBCIは1994年にイギリスにて創設されたNPO団体です。BCMSに関わるプロフェッショナル向けの資格制度の立ち上げをはじめ、本ガイドラインのような書籍を発行するなど、BCMSの普及と品質向上に努めている組織です。
※BCI: The Business Continuity Instituteの略

より洗練されわかりやすくなったGPG2013

GPG2013とGPG2010との間に本質的な違いはありませんが、読者の理解を助ける目的で、いくつかの修正が行われています。以下に、代表的な修正箇所を挙げておきます。

1つ目は、当ガイドラインの章を構成する元にもなっていたBCMSに関わる各活動(BCMSライフサイクルの6要素)が、より一般的な名称に変更されました。元々、GPG2010は、BCMSライフサイクルを6つの要素から構成されるものとして捉え、これら要素をその性質に応じて、「マネジメントの実践」と「テクニカルの実践」の2種類に分類していました。GPG2013になり、こうした分類自体に変更は生じていませんが、各要素の名称が変更になっています(下表参照)。

【表:GPG2010とGPG2013におけるBCMSライフサイクル6要素の名称の違い】
実践の種類 BCMSライフサイクルの6つの要素
GPG2010 GPG2013
マネジメントの実践 01. 方針とプログラムの管理 PP1. 方針とプログラムの管理
02. 組織の文化にBCMを組み込む PP2. 組織の文化にBCMを組み込む
テクニカルの実践 03. 組織の理解 PP3. 分析
04. 事業継続戦略の決定 PP4. デザイン
05. BCM対応の開発及び導入 PP5. 実行
06. 演習、維持及びレビュー PP6. 検証

2つ目は、BCMSの国際規格であるISO22301:2012社会セキュリティ:事業継続マネジメント(要求事項) との整合性がより考慮された、という点です。ISO22301:2012、または、その他のBCMSガイドラインなどでもあまり一般的に使用されていない用語は、GPG2013からは削除されました。たとえば、GPG2010では事業影響度分析(BIA)などと並び、要件定義分析(Continuity Requirements Analysis(CRA))という言葉が何度も登場していました。これは、経営資源の観点から事業継続・復旧に関わる要件定義を行う分析手法ですが、ISO22301:2012や他のBCMSガイドラインなどであまり使用されていなかったこともあり、GPG2013からは削除されています。同じISO22301:2012との整合性という観点では、GPG2013の「用語集」の修正も、これに該当します。「用語集」では、GPG以外の有名な基準・ガイドライン(例:ISO22301:2012やGuide73など)で既に定義されている用語については、それらを踏襲する配慮しています(下図参照)。

最後に、視覚的な観点で文書フォーマットが改善されています。GPG2013では、レイアウトのほか、色使い、段落の見せ方などが修正され、従来よりも、より見やすくなったといえるでしょう。

【図:GPG2013「用語集」より】

392_ext_05_2.png

ISO22301:2012との一番の違いは、その目的にあり

BCMSの国際規格であるISO22301:2012-社会セキュリティ:事業継続マネジメントシステム(要求事項)-と、このGPG2013との一番の違いは、その目的にあります。

ISO22301:2012が、組織が導入したBCMSを評価・監査するための基準になることを目的としているのに対し、GPG2013はBCMSを導入する際の役に立つ知識を提供することを目的としています。ISO22301:2012にはBCMSを導入するにあたってその組織が何を(What)を満たすべきかについての記述がありますが、どうやって(How)の記述はありませんが、GPG2013は、BCMSをどうやって(How)組織に導入することが望ましいかを解説しています。

【ISO22301:2012とGPG2013のおもな違い】
ISO22301:2012 GPG2013
目的 導入したBCMSの評価・監査の基準の提示、あるべきBCP・BCMS構築・運用の姿の標準化 BCP・BCMS構築・運用のノウハウの共有、BCMS資格制度のインプットの提示
表現 ~しなければならない(must) ~することが望ましい(Should)
発行年 2012年5月 2013年3月
種別 国際規格(要求事項) ガイドライン
発行元 ISO BCI
価格 12,180円(原本PDF) £24.00(但し、会員は無料)
15,750円(邦訳冊子)
※上表内の金額はいずれも税込み価格

たとえば、ISO22301:2012では事業継続方針を策定すること(=What)を求めていますが、その策定方法については言及しておりません。これに対し、GPG2013の「PP1. 方針とプログラムの管理」では、事業継続方針を策定するための準備ツール(=How)として、「費用便益分析やPESTELO分析、SWOT分析などを使うこともできる」と、紹介しています。

その他のガイドラインとの違い

これまでに触れてきたようにISO22301:2012とGPG2013との違いは、イコール、要求事項とガイドラインの違いを追求するようなものです。では、同じBCMSのガイドライン同士(例:GPG2013やBCMSユーザーズガイド、内閣府の事業継続ガイドラインなど)には、どのような違いがあるでしょうか。他のBCMSガイドラインとGPG2013との最大の違いは、前者が広くBCMSの導入に携わる人を対象としているのに対し、後者は、BCMS導入のプロフェッショナル(専門家)を対象としている点です。

【BCMSガイドライン同士の違い】
  GPG2013 BCMS
ユーザーズガイド
ISO22313:2012 内閣府事業継続
ガイドライン
発行年 2013年3月 2013年5月 2012年12月 2013年8月
発行元 BCI JIPDEC ISO 内閣府
価格 £24.00
(会員は無料)
無料(PDF提供) 6,170円
(原本PDF)
19,950円
(邦訳冊子)
無料
特徴 BCMSプロフェッショナル向けに書かれたノウハウ本 ISO22301のみならず、GPGやISO22313なども引用しながら包括的に解説 国際的な汎用性を持たせたBCMSガイドライン 日本国内の災害の特徴を考慮してHOWを示した日本国内組織向けBCMSガイドライン
※上表内の金額はいずれも税込み価格

GPG2013の意義と利用方法

これまで述べてきたようにGPG2013は、BCMSの最新ガイドラインであり、特にBCMSプロフェッショナルへの情報共有を意識して策定されたものです。また、BCIが運営するCBCI資格制度を受験する際の教科書にもなっています。

このことから、企業においてBCMS導入に携わる者、または、企業に対してBCMSのコンサルティングを行う者などの中で、さらに実践的なBCMS技術を磨きたいと考える人にとって有用なガイドラインであると言えるでしょう。

ちなみに、本ガイドラインは2013年12月現在、まだ原版(英語版)でのみ入手が可能です。日本語が必要な方は、日本語版の発行を今しばらくお待ちいただくか、あるいは、本質的にそう変わらない前版(GPG2010)を入手することをお勧めいたします。

392_ext_05_5.png

(文責:勝俣 良介

小冊子プレゼント

リスクマネジメントにかかわる小冊子PDFを無料でダウンロードいただけます。

情熱コンサルタント宣言

私たちは「本当にお客様の役に立ちたい!」という熱い心を持ったコンサルタント集団です。真の意味でお客様の礎となる支援をいたします。

新着コンサルタントコラム