リスク管理Naviリスクマネジメントの情報サイト

ガイドライン

ISO22316:2017 セキュリティとレジリエンス ― 組織レジリエンス ― 原則と属性

2019年06月21日

ISO22316は2017年に発行された「組織レジリエンス」に関する国際規格であり、正式名称は「Security and resilience - Organizational resilience - Principles and attributes(セキュリティとレジリエンス ― 組織レジリエンス ― 原則と属性)」です(以後ISO22316:2017と表記します)。ここで組織レジリエンスとは「組織が存続し繁栄するために、漸進的な変化や突然の混乱に対して予見、準備、対応、適応する能力」を言います。

ISO22316:2017の特徴

ISO22316:2017はどの組織にも適用できる汎用的な規格です。このほか、次の3つの特徴があります。
  • ガイドラインである
  • BS65000をベースにした規格である
  • 数多くのISOマネジメントシステム規格を包含する

※BS65000:2014の正式名称はBS65000:2014(組織レジリエンスのガイダンス)です。

ガイドラインである

ISO22316:2017は、ISO9001(品質マネジメントシステム)やISO27001(情報セキュリティマ ネジメントシステム)など経営管理の仕組みとして遵守すべき絶対ルール(要求事項)とは異なり、「ガイドライン」、すなわち参考書的な位置づけの文書にあたります。よって、この規格をベースとして第三者が組織の取り組みを評価・認証する認証制度は存在しません。

BS65000をベースにした規格である

ISO22316:2017の前身規格はBS65000です。BS65000はイギリスの国家規格であり、2014年に発行されました。この国家規格は数多くの実績に基づいたものであることから、それをベースとしているISO22316:2017もその信頼性の高さを引き継いだ規格であることがわかります。

数多くのISOマネジメントシステム規格を包含する

ISO22316:2017は、前出のISO9001やISO27001をはじめ、リスクマネジメントの国際規格であるISO31000:2018や危機対応の規格であるISO22310:2013など数々の規格を包含する規格になります。どのように包含するかについては後述します。

組織レジリエンスとリスクマネジメントの違い

組織レジリエンスの目的は「組織が存続し繁栄する(こと)」にあります。他方、この考え方に近いリスクマネジメントの目的は「価値の創造及び保護」※1にあります。また組織レジリエンスが意識する「漸進的な変化や突然の混乱」は、「目的に対する不確かさの影響」※2と定義される「リスク」と同義のようにも見えます。組織レジリエンスとリスクマネジメントとの違いは何でしょうか。

違いは「カバー範囲」と「攻守の力点」にあります。カバー範囲という観点では、組織レジリエンスは、リスクマネジメントと危機管理・BCPを包含したものであるということができます。組織レジリエンスが言わば「平時・有事の両方を想定した活動」であるのに対し、リスクマネジメントは「平時を前提とした活動」になります。ちなみに、前出のISO27001やISO9001などといった個別のISOマネジメントシステムは、リスクマネジメントに包含されます。これらはリスクマネジメント活動の中でも、固有のテーマに焦点を当てたリスクマネジメント活動ということができるでしょう。なお、平時とは「経営資源が整い、考える時間のゆとりがある状態」を言い、有事とはその逆、つまり「経営資源の一部または全部を喪失し、考える時間もゆとりもない状態」を言います。特に有事を想定した備えのことを危機管理やBCP(事業継続計画)と言います。

つぎに攻守の力点の観点では、リスクマネジメントは「守り」に比重がおかれているのに対し、組織レジリエンスは「攻め」に比重がおかれていると言えるでしょう。リスクマネジメントは、その目的が「価値の創造及び保護」にあることからも、厳密には攻守両方を考えた仕組みではあることがわかりますが、それでも今日、多くの組織において取り組まれているのはどちらかといえば「守り」です。組織レジリエンスは、「価値の創造及び保護」はもとより、その先の「繁栄」までを見据えた取り組みです。リスクの防止及び軽減のみならず、ビジネスの改善も重視しています。

※1: ISO31000:2018(リスクマネジメント―指針)より
※2:Guide73(リスクマネジメント―用語)リスクの定義より

【図:組織レジリエンスとリスクマネジメント、危機管理等の関係性を示した概念図】

出典:ニュートン・コンサルティング作成

ISO22316:2017の内容

ISO22316:2017は、「原則」、「レジリエンスの属性」、「レジリエンスに貢献する要素の評価」の3つの章から構成されており、それぞれ次のような意味を持ちます。

 

【表:ISO22316:2017の規格構成とその概要】
章立て 章の位置づけと記載内容(概要)
箇条4. 原則 組織レジリエンスのフレームワーク(枠組み)を支える基本的な考え方を提示しています。以下は、その基本的な考え方についての一部抜粋です。
  • 組織活動のビジョンや目的との適合性を意識すること
  • 組織を取り巻く状況を正しく理解した上での活動にすること
  • トップマネジメントやリーダー陣が活動にコミットすること、等
箇条5. レジリエンスの属性

「原則」を具現化させるための活動要件を提示しています。以下はそうした活動要件の1つ、「トップマネジメントやリーダー陣が活動にコミットする」を実践するための「リーダーによる優先順位付けと必要なリソースの手当」についての要件の一部抜粋です。

  • 信頼・尊敬されるリーダー陣の育成
  • 組織レジリエンス向上のための役割・責任の明確化
  • 失敗・成功から学ぶための情報共有促進
  • 組織レジリエンスを意識した各種意思決定を行うための全階層への働きかけ、など
箇条6. レジリエンスに貢献する要素の評価 組織レジリエンスの向上度合いや、現状とゴールとのギャップを定量的に把握するための評価活動に関する要件を提示しています。以下は、評価を実現するためにトップマネジメントが担うべき責任に関して一部抜粋したものです。
  • 適切な組織レジリエンス目標の設定
  • 組織レジリエンスの程度を把握するための測定指標の決定
  • 受容できるレベル(しきい値)の決定、など

 

規格全体を構成する「原則」、「レジリエンスの属性」、「レジリエンスに貢献する要素の評価」の中身を、お互いの関係性から概念図に落とすと次のような形になります(図中括弧内の番号は規格内の箇条を示します)。

出典:ISO22316:2017を基に筆者作成

ISO22316:2017の使い方

ISO22316:2017は、既に見てきたとおり様々な規格を包含しています。ゆえに、この規格本来の目的である「組織レジリエンスを向上させる仕組みを確立するためのツールとしての活用」はもちろんのこと、既に組織に導入されているであろう様々な仕組み(例:ISOマネジメントシステムやコンプライアンス、ERM、危機管理、内部統制の仕組み等)を整理・統合するフレームワークとしての活用が可能です。また、組織レジリエンスを向上させるために現時点で何が不足しているかの評価ツールとしての活用も可能です。

ただし、ISO22316:2017は全10ページからなり、情報量として決して多いとは言えないため、この前身規格であるBS65000との併用を強くお勧めします。構成が異なりますが、BS65000の部分部分での情報は有益です。たとえば、BS65000では個別のリスクテーマに対するマネジメントシステムとしてどのようなものがあるかについて、次のようにより具体的に言及しています。

※邦訳を含まない原文だと約10ページ程度

 

  • 資産管理(BS ISO 55000)
  • リスクマネジメント(ISO31000)
  • ステークホルダー及び協働マネジメント(BS11000)
  • ・・・
    (BS65000 5.4 Bring Coherenceより一部抜粋)


また、組織レジリエンスにおける成熟度モデルを定義し、提示してくれています。

 

【表:組織レジリエンスの成熟度モデル】
成熟度レベル 概要
Level0:未成熟 組織レジリエンスを強めるためにいくつかの対策が導入された状態
Level1:基本 特定の規律(やフレームワーク)が組織に導入された状態
Level2:管理された 結果に基づき、活動がコントロールされ維持されている状態
Level3:確立された マネジメントが方向性を示し、組織内外の状況や、それらが今後どのように変化するかを理解している状態
Level4:予見可能な 組織レジリエンスが戦略に沿う形で7~8年にもわたり、一貫して実行されている状態
Level5:最適化された 未来または現在のビジネス目標を満たすよう、活動が繰り返され、測定され、評価され、継続的に改善されている状態

出典:BS65000:2014 Figure2組織レジリエンスの成熟度モデルより一部抜粋

 

組織レジリエンスは、単なるリスクマネジメントや危機管理を一歩前進させ、企業成長や永続性の原動力にするための考え方であるとも言えます。単なるリスクマネジメントから脱却したい・・・ISO22316は、そのように考えていらっしゃる企業の方々のヒントになるでしょう。

 

【参考文献】
  • BS65000:2013
  • ISO31000:2018
  • ISO22316:2017
  • Guide83
  • Guide73
  • Organizational Resilience: Whitepaper(BSI)

(執筆:勝俣 良介

当社のWebサイトでは、サイト閲覧時の利便性やサイト運用および分析のため、Cookieを使用しています。こちらで同意をして閉じるか、Cookieを無効化せずに当サイトを継続してご利用いただくことにより、当社のプライバシーポリシーに同意いただいたものとみなされます。
同意して閉じる